AAllgemein

AI Acceptable Use Policy (AUP)

Regeln, was Mitarbeitende mit KI dürfen und nicht dürfen
1 Aufrufe

Eine AI Acceptable Use Policy (AUP) ist ein verbindliches Regelwerk, das festlegt, was Mitarbeitende beim Einsatz von KI-Tools dürfen und was nicht dürfen. Sie definiert zulässige Anwendungsfälle, verbotene Inhalte, Sicherheits- und Datenschutzanforderungen sowie Freigabeprozesse – damit KI produktiv genutzt wird, ohne Risiken wie Datenabfluss, Rechtsverstöße oder Fehlentscheidungen zu erzeugen.

Was bedeutet AI Acceptable Use Policy (AUP)?

„Acceptable Use“ bedeutet „zulässige Nutzung“. Eine AI AUP ist daher die KI-spezifische Ergänzung klassischer IT- oder Security-Richtlinien: Sie beschreibt klare Spielregeln für den Einsatz von z. B. ChatGPT, Generative KI (Generative AI) oder internen Large Language Model (LLM)-Anwendungen – inklusive Verantwortlichkeiten und Konsequenzen bei Verstößen.

Wie funktioniert eine AI AUP in der Praxis?

  • Scope definieren: Welche Tools, Teams und Daten sind betroffen (z. B. externe Chatbots, interne Assistenzsysteme, Automatisierungen mit n8n).
  • Erlaubte Use Cases festlegen: z. B. Entwürfe für E-Mails, Zusammenfassungen, Ideengenerierung, Code-Vorschläge – jeweils mit Qualitäts- und Prüfpflicht.
  • Verbotene Nutzung klar benennen: z. B. Eingabe von Kundendaten, Passwörtern oder vertraulichen Dokumenten; Erstellung diskriminierender Inhalte; Umgehung von Sicherheitsregeln (z. B. Jailbreak).
  • Datenregeln & Freigaben: Klassifizierung (öffentlich/intern/vertraulich), Anforderungen an PII Redaction (PII-Schwärzung) und ggf. DLP, sowie Genehmigungsprozesse für neue Tools.
  • Qualität & Kontrolle: Pflicht zur Überprüfung von Ergebnissen wegen Halluzinationen (Hallucinations), Kennzeichnung KI-generierter Inhalte, „Human-in-the-Loop“ für kritische Entscheidungen.
  • Durchsetzung: Schulungen, Logging, Audits, Eskalationswege – eingebettet in AI Governance und Security.

Warum ist eine AI AUP wichtig?

KI kann Produktivität steigern, aber auch neue Risiken schaffen: Daten können unbeabsichtigt an Dritte gelangen, Ergebnisse können falsch oder verzerrt sein, und es können Compliance-Verstöße entstehen (z. B. gegenüber Datenschutz (DSGVO/GDPR) & KI oder dem EU AI Act). Eine AUP reduziert diese Risiken, schafft Klarheit für Mitarbeitende und beschleunigt sichere Adoption, weil nicht jedes Team „bei Null“ starten muss.

Beispiele für typische AUP-Regeln

  • Datenschutz: Keine personenbezogenen Daten in öffentliche KI-Tools; nur freigegebene, datenschutzkonforme Plattformen nutzen.
  • Vertraulichkeit: Keine internen Strategiepapiere, Quellcode-Repositories oder Vertragsinhalte ohne Freigabe hochladen.
  • Transparenz: KI-Ergebnisse dürfen nicht als „Fakten“ weitergegeben werden, ohne Prüfung; Quellen/Belege anfordern, wenn möglich (z. B. via RAG (Retrieval-Augmented Generation)).
  • Automation: Bei Workflows mit Automatisierung (Automation) (z. B. in n8n): keine Tools mit Schreibzugriff auf Produktivsysteme ohne Review; Secrets nur über Secrets Management (Schlüsselverwaltung).
  • Security: Schutz vor Prompt Injection in internen Assistenten; keine Weitergabe von Systemanweisungen (siehe System Prompt (Systemanweisung)) oder internen Prompts.

Was gehört typischerweise in eine gute AI AUP?

Eine praxistaugliche AI AUP enthält mindestens: Tool-Liste (erlaubt/verboten), Datenklassifizierung, Do’s & Don’ts, Prüf- und Freigabeprozesse, Rollen (User, Teamlead, Security/Legal), Vorgaben zur Dokumentation und Hinweise zu Sanktionen. Idealerweise wird sie regelmäßig aktualisiert, weil sich KI-Modelle, Anbieterbedingungen und Regulatorik schnell ändern.