+49 221 33 77 23-0
Aktuelles Aktuelles IT-Strafrecht   

IT-Sicherheitsrichtlinien für die Nutzung von KI

   
8. August 2025

Update zu IT-Sicherheitsrichtlinien

Die Implementierung von Large Language Models (LLM) wie ChatGPT in den Betrieb bringt eine Vielzahl von Chancen und Möglichkeiten mit sich. So kann der Einsatz von LLMs Arbeitsprozesse vereinfachen und die Effizienz steigern. Spiegelbildlich bergen diese Innovationen aber auch Risiken und werden daher bei der Erstellung von Richtlinien und Arbeitsanweisungen im Unternehmen vermehrt berücksichtigt. Denn der Arbeitgeber kann die Nutzung von LLMs nach billigem Ermessen gestatten, anordnen oder untersagen.

Falsche Ergebnisse

Nicht zuletzt die Fehleranfälligkeit ist ein wesentlicher Schwachpunkt. Unter „Halluzinieren“ wird das Erfinden eines inhaltlich falschen Ergebnisses durch die KI verstanden, das ohne eine Fehlermeldung oder einen Hinweis generiert wird. Da die KI auf öffentlich zugängliche Daten zugreift, kann auch „Data Poisoning“, also die Manipulation öffentlich zugänglicher Daten, zu falschen Antworten führen.  Der Benutzer kennt nur den Prompt und das Ergebnis der KI. Der Weg dorthin bleibt jedoch im Dunkeln, sog. „Black-Box-Phänomen“.

Bedeutung der Ergebniskontrolle

Aufgrund der Eigenschaft von LLMs, teilweise inhaltlich falsche Ergebnisse zu präsentieren (Halluzinieren), ist es wichtig, dass Arbeitnehmer eine Ergebnisüberprüfung durchführen. Die Richtigkeit der Angaben eines Arbeitnehmers ist Teil der Sorgfaltspflichten aus § 241 Abs. 2 BGB. Ein Verstoß kann arbeitsrechtliche Konsequenzen wie eine Abmahnung oder sogar eine Kündigung zur Folge haben. Ob sich hieraus eine allumfassende Prüfungspflicht ergibt, kann davon abhängen, wie ausgereift ein LLM ist, ob es eine Mindestqualität gibt und wie das LLM grundsätzlich funktioniert.

Vorgaben für Unternehmen

Nach dem „EU Artificial Intelligence Act“ werden KI-Systeme je nach Risikograd in vier Kategorien eingeteilt. Erstens gibt es Systeme, die aufgrund eines zu hohen Risikos verboten sind. Liegt ein hohes, aber vertretbares Risiko vor, ergeben sich aus dem Einsatz Pflichten für den Arbeitgeber, wie die menschliche Überwachung der KI und technische Dokumentationspflichten. Kapitel fünf des AI-Acts enthält Transparenzvorschriften, wie etwa Offenlegungspflichten über den Einsatz von künstlicher Intelligenz. Bei einem rein unterstützenden Einsatz von KI ergeben sich für den Arbeitgeber jedoch keine weitergehenden Verpflichtungen.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt in seinem Lagebericht 2024 darüber hinaus, die Worst-Case-Szenarien herauszufiltern und eine Risikoanalyse durchzuführen. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter zu einem kritischen Umgang mit den Ergebnissen der künstlichen Intelligenz angehalten werden. Insbesondere in Bereichen, in denen mit sensiblen Daten gearbeitet wird, wie z.B. im Gesundheitswesen, sollte ein geschulter Umgang mit KI eingefordert werden.

Empfehlungen zum Umgang mit KI im Unternehmen

Wir empfehlen, IT-Sicherheitsrichtlinien dahingehend zu erweitern, dass auch der Umgang mit LLMs verbindlich und allgemeingültig geregelt wird. Um mögliche Unsicherheiten auszuräumen, sollte bereits im Arbeitsvertrag oder in der Betriebsvereinbarung verbindlich festgelegt werden, ob Beschäftigte überhaupt LLMs wie ChatGPT nutzen dürfen. In einer Richtlinie kann die zulässige Nutzung (z.B. für Recherche, Ideengenerierung, Textentwürfe ohne Weitergabe vertraulicher Informationen) und die unzulässige Nutzung (Eingabe von personenbezogenen Daten, vertraulichen Unternehmensinformationen, Geschäftsgeheimnissen oder sicherheitsrelevanten Daten) definiert werden. Sie sollte Vorgaben zur Anonymisierung oder Pseudonymisierung enthalten. In einer IT-Sicherheitsrichtlinie kann weiter festgelegt werden

  • welche Daten für KI-Prozesse verwendet werden dürfen,
  • welche Beschäftigungsgruppen KI nutzen dürfen und
  • welche KI-Programme genutzt werden dürfen.

Eine verpflichtende Schulung der Mitarbeitenden trägt ebenfalls zur Risikominimierung bei.

Fazit

Mitarbeiter und Unternehmen profitieren von einer Handreichung zum Umgang mit LLMs wie ChatGPT. Eine umfassende und allgemeingültige IT-Sicherheitsrichtlinie für die Nutzung von KI ist daher empfehlenswert.


Kontaktieren Sie uns:

 Diana Nadeborn Diana Nadeborn