1. Zweck
Dieses Dokument legt die grundlegenden Prinzipien fest, die alle KI-Aktivitäten bei [Name der Organisation] leiten. Diese Grundsätze setzen die ethische Mindestgrenze für die Art und Weise, wie wir KI entwickeln, beschaffen und betreiben. Jede KI-Richtlinie, jedes Verfahren und jede Governance-Entscheidung in der Organisation muss mit diesen Grundsätzen übereinstimmen.
Wir veröffentlichen diese Grundsätze als Bekenntnis zur öffentlichen Rechenschaftspflicht. Sie spiegeln unsere Werte und unsere Verpflichtung gegenüber den Gemeinschaften, Kunden und Mitarbeitenden wider, die von unseren KI-Systemen betroffen sind.
2. Geltungsbereich
Diese Grundsätze gelten für:
- Alle KI-Systeme unabhängig von der Risikoklassifizierung (hoch, mittel oder niedrig).
- Alle Mitarbeitenden, Auftragnehmer und Partner, die an KI-Aktivitäten beteiligt sind.
- Alle Phasen des KI-Lebenszyklus, von der Ideenfindung bis zur Stilllegung.
- Sowohl intern entwickelte Systeme als auch beschaffte oder integrierte Drittanbieter-KI.
3. Unsere Grundsätze
Platzhaltertext. Füllen Sie mit der Sprache Ihrer Organisation für 3. Unsere Grundsätze aus.
3.1 Fairness und Nichtdiskriminierung
KI-Systeme dürfen keine Ergebnisse erzeugen, die Einzelpersonen oder Gruppen aufgrund geschützter Merkmale wie Rasse, Geschlecht, Alter, Behinderung, Religion oder sozioökonomischem Status unfair diskriminieren.
Wir verpflichten uns zu:
- Bias-Tests vor der Bereitstellung unter Verwendung geeigneter statistischer Methoden und repräsentativer Evaluierungsdatensätze.
- Verwendung von Trainingsdaten, die repräsentativ und ausgewogen sind und auf historische Verzerrungen überprüft wurden, die vom Modell verstärkt werden könnten.
- Dokumentation bekannter Einschränkungen, potenzieller disparater Auswirkungen und der bewerteten demographischen Gruppen.
- Bereitstellung von Mechanismen für Einzelpersonen, um KI-gestützte Entscheidungen, die sie betreffen, anzufechten, im Einklang mit DSGVO Artikel 22 (Recht, keiner ausschließlich automatisierten Entscheidungsfindung unterworfen zu werden).
- Regelmäßige Neubewertung der Fairness nach der Bereitstellung, nicht nur zum Zeitpunkt der Einführung.
3.2 Transparenz und Erklärbarkeit
Personen, die mit unseren KI-Systemen interagieren oder von diesen betroffen sind, haben ein Recht zu verstehen, wie diese Systeme funktionieren und welche Rolle KI bei sie betreffenden Entscheidungen spielt.
Wir verpflichten uns zu:
- Offenlegung, wenn KI in Interaktionen mit Einzelpersonen eingesetzt wird, wie vom EU AI Act Artikel 50 gefordert.
- Bereitstellung von Erklärungen zu KI-gestützten Entscheidungen auf einem dem Publikum und dem Ausmaß der Auswirkungen angemessenen Niveau.
- Pflege von Modellkarten, Datenblättern und Systemdokumentation, die Fähigkeiten, Einschränkungen und bekannte Fehlerarten beschreiben.
- Bereitstellung von Governance-Aufzeichnungen für interne und externe Audits.
- Klare Kommunikation des Konfidenzniveaus und der Einschränkungen von KI-Ausgaben an Endnutzer.
3.3 Rechenschaftspflicht und menschliche Aufsicht
KI entbindet Menschen nicht von der Verantwortung. Jedes KI-System muss einen benannten Verantwortlichen haben, und Menschen müssen sinnvolle Kontrolle über Entscheidungen behalten, die Einzelpersonen oder die Organisation wesentlich betreffen.
Wir verpflichten uns zu:
- Zuweisung eines Modellverantwortlichen für jedes KI-System, der für dessen Verhalten über den gesamten Lebenszyklus rechenschaftspflichtig ist.
- Erfordernis einer menschlichen Überprüfung für Hochrisiko-Entscheidungen vor deren Wirksamwerden, wie vom EU AI Act Artikel 14 gefordert.
- Aufrechterhaltung der Fähigkeit, KI-Systeme jederzeit zu übersteuern, zu korrigieren oder abzuschalten.
- Einrichtung klarer Eskalationswege, wenn KI-Systeme sich unerwartet verhalten.
- Aufzeichnung von Governance-Entscheidungen mit Begründung, damit sie im Nachhinein nachvollzogen werden können.
3.4 Datenschutz und Datensicherheit
KI-Systeme müssen die Privatsphäre des Einzelnen respektieren und die geltenden Datenschutzgesetze einhalten. Daten, die zum Trainieren, Feinabstimmen oder Betreiben von KI verwendet werden, müssen rechtmäßig erhoben, verarbeitet und gespeichert werden.
Wir verpflichten uns zu:
- Erhebung nur der für den angegebenen Zweck erforderlichen Daten (Datenminimierung).
- Einholung einer angemessenen Einwilligung oder Feststellung einer Rechtsgrundlage vor der Verarbeitung personenbezogener Daten.
- Dokumentation der Herkunft, Lizenzierung und Aufbewahrungsfrist aller Trainings- und Evaluierungsdaten.
- Anwendung von Verschlüsselung, Zugriffskontrollen und Anonymisierung, wo angemessen.
- Durchführung von Datenschutz-Folgenabschätzungen für KI-Systeme, die personenbezogene Daten in großem Umfang verarbeiten.
- Respektierung der Rechte Einzelner auf Zugang, Berichtigung und Löschung ihrer von KI-Systemen verwendeten Daten.
3.5 Sicherheit, Cybersicherheit und Robustheit
KI-Systeme müssen unter normalen Bedingungen zuverlässig und unter adversarialen oder unerwarteten Bedingungen widerstandsfähig sein. Sicherheit muss während des gesamten KI-Lebenszyklus berücksichtigt werden, nicht erst nach der Bereitstellung.
Wir verpflichten uns zu:
- Tests auf adversariale Eingaben, Prompt Injection und Fehlermodi vor der Bereitstellung.
- Sicherung der KI-Lieferkette: Modelle, Bibliotheken, Datenpipelines und Infrastruktur.
- Überwachung auf Leistungsverschlechterung, Drift und Sicherheitsausfälle in der Produktion.
- Pflege von Vorfallreaktionsplänen, die KI-spezifische Fehlerszenarien abdecken.
- Gestaltung von Fallback-Mechanismen, damit wesentliche Prozesse bei Ausfall von KI-Systemen fortgesetzt werden können.
3.6 Datenqualität und Data Governance
Die Qualität von KI-Ausgaben hängt von der Qualität der zugeführten Daten ab. Mangelhafte Data Governance erzeugt kumulative Risiken über Fairness, Datenschutz und Sicherheit hinweg.
Wir verpflichten uns zu:
- Festlegung von Datenqualitätsstandards für alle KI-Trainings-, Validierungs- und Produktionsdaten.
- Dokumentation der Datenlineage, damit Herkunft, Transformationen und Abhängigkeiten jedes Datensatzes nachvollziehbar sind.
- Überprüfung von Datensätzen auf Verzerrungen, Repräsentativität und regulatorische Compliance vor der Verwendung.
- Zuweisung von Datenverantwortlichen, die für Qualität und Compliance ihrer Datensätze rechenschaftspflichtig sind.
3.7 Nachhaltigkeit
Die ökologischen Auswirkungen von KI müssen bei Design- und Betriebsentscheidungen berücksichtigt werden. Effizienz ist Teil der Verantwortung.
Wir verpflichten uns zu:
- Bewertung der Rechenkosten und des CO2-Fußabdrucks von Training und Inferenz.
- Bevorzugung effizienter Architekturen, Caching und Feinabstimmung gegenüber redundantem Retraining.
- Verfolgung und Berichterstattung des KI-bezogenen Ressourcenverbrauchs.
4. Anwendung dieser Grundsätze
Platzhaltertext. Füllen Sie mit der Sprache Ihrer Organisation für 4. Anwendung dieser Grundsätze aus.
4.1 In Governance-Entscheidungen
Der KI-Governance-Ausschuss nutzt diese Grundsätze als Basis für die Genehmigung oder Ablehnung von KI-Anwendungsfällen, die Festlegung von Risikoschwellen und die Lösung von Eskalationen.
4.2 In Entwicklung und Testing
Engineering- und Data-Science-Teams beziehen sich auf diese Grundsätze bei Designprüfungen, Datenauswahl, Modellvalidierung und Testing. Algorithmendesign muss Bias-Tests, Fairness-Metriken und adversariale Evaluation als Standardprotokoll beinhalten, nicht als optionale Ergänzungen.
4.3 In der Beschaffung
Drittanbieter-KI-Anbieter werden anhand dieser Grundsätze bewertet. Anbieter-Risikobewertungen umfassen Fragen zu Fairness-Tests, Transparenzfähigkeiten, Datenhandhabungspraktiken und Bereitschaft zur Vorfallreaktion.
4.4 In der Überwachung
Die Überwachung nach der Bereitstellung bewertet, ob eingesetzte Systeme weiterhin im Einklang mit diesen Grundsätzen arbeiten. Drift bei Fairness-Metriken, Bias-Verschiebungen und Sicherheitsvorfälle lösen eine Neubewertung und mögliche Aussetzung aus.
5. Kontinuierliches Lernen
KI-Technologie, Regulierung und gesellschaftliche Erwartungen entwickeln sich schnell. Wir verpflichten uns zu:
- Beobachtung aufkommender Risiken, regulatorischer Änderungen und bewährter Branchenpraktiken.
- Aktualisierung dieser Grundsätze bei Identifizierung neuer Risiken oder Verpflichtungen.
- Teilen von Erkenntnissen aus Vorfällen, Beinahe-Vorfällen und Audit-Feststellungen in der gesamten Organisation.
- Investition in laufende Schulung, damit alle Mitarbeitenden ihre Rolle bei verantwortungsvoller KI verstehen.
6. Regulatorische Ausrichtung
Diese Grundsätze sind ausgerichtet an:
- EU AI Act: Transparenz (Art. 13), menschliche Aufsicht (Art. 14), Genauigkeit/Robustheit (Art. 15), Nichtdiskriminierung (Art. 10), Nutzerbenachrichtigung (Art. 50).
- DSGVO: Automatisierte Entscheidungsfindung (Art. 22), Datenschutz durch Technikgestaltung (Art. 25), Datenschutz-Folgenabschätzungen (Art. 35).
- ISO/IEC 42001: Führungsverpflichtung (Abschnitt 5), Risikobehandlung (Abschnitt 8), interessierte Parteien (Abschnitt 4.2).
- NIST AI RMF: Govern (GV), Map (MP), Measure (MS), Manage (MG) Funktionen.
- OECD-KI-Grundsätze: Inklusives Wachstum, menschenzentrierte Werte, Transparenz, Robustheit, Rechenschaftspflicht.
7. Ausnahmen
Diese Grundsätze kennen keine Ausnahmen. Wenn ein KI-System nicht im Einklang mit diesen Grundsätzen betrieben werden kann, darf es nicht bereitgestellt werden. Wo Spannungen zwischen Grundsätzen bestehen (z. B. Transparenz vs. Sicherheit), bestimmt der KI-Governance-Ausschuss die angemessene Balance für den jeweiligen Kontext, und die Begründung wird dokumentiert.
8. Überprüfung
Diese Grundsätze werden jährlich oder bei wesentlichen Änderungen regulatorischer Anforderungen, der Organisationsstrategie oder Erkenntnissen aus KI-Vorfällen überprüft. Aktualisierungen erfordern die Genehmigung des KI-Governance-Ausschusses.
Dokumentenlenkung
| Feld | Wert |
|---|---|
| Richtlinienverantwortlicher | [KI-Governance-Verantwortlicher] |
| Genehmigt durch | [KI-Governance-Ausschuss / Vorstand] |
| Inkrafttreten | [Datum] |
| Nächste Überprüfung | [Datum + 12 Monate] |
| Version | 1.0 |
| Klassifizierung | Intern |