KI-Ethik-Kodex der LEGIER und "SANDIC by LEGIER" Gruppe

Inhaltsverzeichnis
Hinweis: Falls das automatische Verzeichnis leer erscheint, bitte in Word Rechtsklick → „Feld aktualisieren“.
- 1. Präambel & Geltungsbereich
- 2. Grundwerte & Leitprinzipien
- 3. Governance & Verantwortlichkeiten (AI-Ethics-Board, RACI)
- 4. Rechts- & Normenrahmen (EU-AI-Act, DSGVO, DSA, Urheberrecht, Gewerberecht)
- 5. Risiko-Klassifikation & AI-Impact-Assessment (AIIA)
- 6. Datenethik & Datenschutz (Rechtsgrundlagen, DPIA, Cookies, Drittland)
- 7. Modell- & Datenlebenszyklus (ML-Lifecycle, Data Cards, Model Cards)
- 8. Transparenz, Erklärbarkeit & Nutzerhinweise
- 9. Human-in-the-Loop & Aufsichtspflichten
- 10. Sicherheit, Robustheit & Red-Teaming (Prompt-Injection, Jailbreaks)
- 11. Lieferkette, Menschenrechte & faire Arbeit (Modern Slavery, LkSG-analog)
- 12. Bias-Management, Fairness & Inklusion (gefährdete Kunden, Barrierefreiheit)
- 13. Generative KI, Herkunftsnachweise & Kennzeichnung (C2PA, Wasserzeichen)
- 14. Inhalte, Moderation & DSA-Prozesse (Meldung, Beschwerde, Transparenz)
- 15. Domänenspezifischer Einsatz (News, Data, Health, Aviation, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)
- 16. Drittparteien, Beschaffung & Vendor-Risk-Management
- 17. Betrieb, Observability, Notfall- & Wiederanlaufpläne
- 18. Vorfälle & Abhilfe (Ethik, Datenschutz, Sicherheit)
- 19. Metriken, KPIs & Assurance (intern/extern)
- 20. Schulung, Awareness & Kulturwandel
- 21. Umsetzung & Roadmap (0–6 / 6–12 / 12–24 Monate)
- 22. Rollen & RACI-Matrix
- 23. Checklisten (AIIA-Kurz, Datenfreigabe, Go-Live-Gate)
- 24. Formblätter & Vorlagen (Model Card, Data Card, Incident Report)
- 25. Glossar & Referenzen
1. Präambel & Geltungsbereich
Dieser Kodex legt verbindliche Grundsätze, Prozesse und Kontrollen für Entwicklung, Beschaffung, Betrieb und Nutzung von KI in der LEGIER Gruppe fest. Er gilt konzernweit für Mitarbeitende, Führungskräfte, Auftragsverarbeiter, Lieferanten und Partner.
Er integriert vorhandene Konzernrichtlinien (Datenschutz, Digitale-Dienste-Prozesse, Corporate-Governance, Nachhaltigkeit, Menschenrechtspolitik, Modern-Slavery-Statement) und erweitert sie um KI-spezifische Anforderungen.
Ziel ist es, Nutzen und Innovation zu ermöglichen, Risiken beherrschbar zu machen und die Rechte von Nutzer:innen, Kund:innen und der Allgemeinheit zu wahren.
2. Grundwerte & Leitprinzipien
- Menschenwürde und Grundrechte stehen über ökonomischer Effizienz. KI dient Menschen – niemals umgekehrt.
- Rechtskonformität: Einhaltung von EU-AI-Act, DSGVO, DSA sowie sektorspezifischer Normen. Keine Nutzung verbotener Praktiken.
- Verantwortung & Rechenschaft: Für jedes KI-System ist ein verantwortlicher Owner benannt; Entscheidungen sind nachvollziehbar und anfechtbar.
- Verhältnismäßigkeit: Ausgewogenheit von Zweck, Risiko, Eingriffsintensität und gesellschaftlichen Auswirkungen.
- Transparenz & Erklärbarkeit: Angemessene Hinweise, Dokumentation und Kommunikationswege zu Funktionsweise, Datenlagen und Grenzen.
- Fairness & Inklusion: Systematische Bias-Prüfung, Schutz vulnerabler Gruppen, Zugänglichkeit und Mehrsprachigkeit.
- Sicherheit & Resilienz: Security-by-Design, Defense-in-Depth, kontinuierliche Härtung und Überwachung.
- Nachhaltigkeit: Effizienz der Modelle und Rechenzentren (Energie, PUE/CFE), Lebenszyklus-Sicht auf Daten/Modelle.
3. Governance & Verantwortlichkeiten (AI-Ethics-Board, RACI)
AI-Ethics-Board (AIEB): Interdisziplinär (Tech, Recht/Compliance, Datenschutz, Sicherheit, Redaktion/Produkt, People). Aufgaben: Grundsätze fortschreiben, Freigaben erteilen (insb. Hochrisiko), Konflikte entscheiden, Reports überwachen.
Rollen: Use-Case-Owner, Model-Owner, Data Steward, DPO, Security Lead, Responsible Editor, Service Owner, Procurement Lead.
Gremien & Gateways: AIIA-Freigabe vor Go-Live; Change-Advisory-Board bei material Änderungen; jährliche Management-Reviews.
RACI-Prinzip: Klare Verantwortlichkeitszuordnung für jede Aktivität (Responsible, Accountable, Consulted, Informed).
4. Rechts- & Normenrahmen (EU-AI-Act, DSGVO, DSA, Urheberrecht, Gewerberecht)
- EU-AI-Act: Risikobasierter Rahmen mit Verboten, Pflichten für Hochrisiko-Systeme, Dokumentation, Logging, Governance, Transparenzpflichten; gestaffelte Anwendbarkeit ab 2025/2026.
- DSGVO: Rechtsgrundlagen (Art. 6/9), Betroffenenrechte, Privacy-by-Design/Default, Datenschutz-Folgenabschätzung (DPIA), Drittlandübermittlungen (Art. 44 ff.).
- DSA: Plattformprozesse für Meldung, Beschwerde, Transparenzberichte, Risiko-Assessments großer Plattformen.
- Urheber- & Leistungsschutzrechte / Persönlichkeitsrechte: Klare Lizenzketten, Bildnis-/Namensrechte, Hausrecht Dritter.
- Branchenspezifische Vorgaben (z. B. Luftfahrt/Seerecht/Health) sind zusätzlich einzuhalten.
5. Risiko-Klassifikation & AI-Impact-Assessment (AIIA)
Klassifikation:
- Verbotene Praktiken (nicht zulässig)
- Hochrisiko-Systeme (strenge Pflichten)
- Begrenztes Risiko (Transparenz)
- Minimales Risiko
AIIA-Ablauf: Beschreibung Zweck/Scope, Stakeholder, Rechtsgrundlagen, Datenquellen; Risikoanalyse (Recht, Ethik, Sicherheit, Bias, Umweltauswirkungen); Mitigationsplan; Entscheidung (AIEB-Freigabe).
Re-Assessments: Bei Material Changes, jährlich bei Hochrisiko; Dokumentation im zentralen Register.
6. Datenethik & Datenschutz (Rechtsgrundlagen, DPIA, Cookies, Drittland)
- Datenminimierung & Zweckbindung; Pseudonymisierung/Anonymisierung bevorzugt.
- Transparenz: Datenschutzhinweise, Auskunfts- und Löschwege; Portabilität; Widerspruchsmöglichkeiten.
- Cookies/Tracking: Einwilligungs-Management; Widerruf; IP-Anonymisierung; nur freigegebene Tools.
- Drittlandtransfers: Nur mit geeigneten Garantien (SCC/Angemessenheit); regelmäßige Prüfungen der Subprozessoren.
- DPIA: Verpflichtend für risikoreiche Verarbeitung; technische/organisatorische Maßnahmen (TOMs) dokumentieren.
7. Modell- & Datenlebenszyklus (ML-Lifecycle, Data Cards, Model Cards)
Data Lifecycle: Acquisition → Curation → Labeling → Quality-Gates → Versionierung → Retention/Deletion.
Model Lifecycle: Problemdefinition → Architekturwahl → Training/Finetuning → Evaluation (Offline/Online) → Freigabe → Betrieb → Monitoring → Retraining/Retirement.
Data Cards: Herkunft, Repräsentativität, Qualität, Bias-Befunde, Nutzungsbeschränkungen.
Model Cards: Zweck, Trainingsdaten, Benchmarks, Metriken, Limitationen, erwartete Fehlermuster, Do-/Don’ts.
Provenienz & Reproduzierbarkeit: Hashes, Daten-/Modell-Versionen, Pipeline-Nachweise.
8. Transparenz, Erklärbarkeit & Nutzerhinweise
- Kennzeichnung bei KI-Interaktion und KI-generierten Inhalten.
- Erklärbarkeit: Auf Use-Case zugeschnittene, laienverständliche Erklärungen (lokal/global).
- Nutzerhinweise: Zweck, Haupteinflussfaktoren, Grenzen; Feedback- und Korrekturwege.
9. Human-in-the-Loop & Aufsichtspflichten
- Menschliche Aufsicht als Standard bei relevanten Entscheidungen (insb. Hochrisiko).
- Vier-Augen-Prinzip bei redaktionell/gesellschaftlich sensiblen Einsätzen.
- Override-/Abbruch-Funktionen; Eskalationswege; Dokumentation.
10. Sicherheit, Robustheit & Red-Teaming (Prompt-Injection, Jailbreaks)
- Bedrohungsmodellierung (STRIDE + KI-spezifisch): Prompt-Injection, Trainingsdatenvergiftung, Model Theft, Datenschutz-Leakage.
- Red-Teaming & adversarielle Tests; Jailbreak-Prevention; Rate-Limiting; Output-Filter; Secret-Scanning.
- Robustheit: Fallback-Prompts, Guardrails, Rollback-Pläne; Canary-Releases; Chaos-Tests für Safety.
11. Lieferkette, Menschenrechte & faire Arbeit (Modern Slavery, LkSG-analog)
- Menschenrechtliche Sorgfalt: Risikoanalyse, Lieferantenkodex, vertragliche Zusagen, Audits, Abhilfe.
- Modern Slavery: Jährliche Erklärung, Sensibilisierung, Meldewege.
- Arbeitsstandards: Faire Entlohnung, Arbeitszeit, Gesundheitsschutz; Schutz von Hinweisgebenden.
12. Bias-Management, Fairness & Inklusion (gefährdete Kunden, Barrierefreiheit)
- Bias-Prüfungen: Datensatzanalysen, Balancing, Diverse Testgruppen, Fairness-Metriken; dokumentierte Mitigation.
- Gefährdete Kunden: Schutzziele, alternative Kanäle, klare Sprache; keine Ausnutzung kognitiver Schwächen.
- Barrierefreiheit: WCAG-Konformität; Mehrsprachigkeit; inklusive Ansprache.
13. Generative KI, Herkunftsnachweise & Kennzeichnung (C2PA, Wasserzeichen)
- Kennzeichnung: Sichtbare Label/Metadaten für KI-Inhalte; Hinweis bei Interaktionen.
- Herkunftsnachweise: C2PA-Kontext, Signaturen/Wasserzeichen soweit technisch möglich.
- Urheberrechte/Leistungsschutz: Lizenzen klären; Trainingsdaten-Compliance; Rechtekette dokumentieren.
14. Inhalte, Moderation & DSA-Prozesse (Meldung, Beschwerde, Transparenz)
- Meldewege: Niedrigschwellige Nutzer-Meldung; priorisierte Bearbeitung illegaler Inhalte.
- Beschwerdeprozesse: Transparente Begründung, Einspruch, Eskalation.
- Transparenzberichte: Periodische Veröffentlichung relevanter Kennzahlen und Maßnahmen.
15. Domänenspezifischer Einsatz (News, Data, Health, Aviation, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)
- News/Publishing: Recherche-Assistenz, Übersetzung, Moderation; klare Kennzeichnung generativer Inhalte.
- SCANDIC DATA: Sichere KI-/HPC-Infrastruktur, Mandantentrennung, HSM/KMS, Observability, Compliance-Artefakte.
- Health: Evidenzbasierter Einsatz, menschliche Letztentscheidung, keine ungetesteten Diagnosen.
- Aviation/Yachts: Safety-Prozesse, menschliche Aufsicht, Notfall-Prozeduren.
- Estate: Bewertungsmodelle mit Fairness-Checks; ESG-Einbindung.
- Pay/Trade/Trust/Coin: Betrugsprävention, KYC/AML, Marktüberwachung, erklärbare Entscheidungen.
- Cars: Personalisierte Services mit striktem Datenschutz.
16. Drittparteien, Beschaffung & Vendor-Risk-Management
- Due-Diligence vor Onboarding: Sicherheits-/Datenschutz-Niveau, Datenstandorte, Subprozessoren, Zertifikate.
- Verträge: Audit-Rechte, Transparenz- und Abhilfe-Klauseln, SLA/OLA-Metriken.
- Monitoring: Leistungs-KPIs, Befund-/Incident-Austausch, Exit-Pläne.
17. Betrieb, Observability, Notfall- & Wiederanlaufpläne
- Betrieb: Observability (Logs, Metriken, Traces), SLO/SLI-Management, Kapazitätsplanung.
- Notfall: Runbooks, DR-Tests, Wiederherstellungszeiten, Kommunikationspläne.
- Konfigurations-/Geheimnis-Management: Least-Privilege, Rotationen, Härtung.
18. Vorfälle & Abhilfe (Ethik, Datenschutz, Sicherheit)
- Ethik-Incidents: Unerwünschte Diskriminierung, Desinformation, unklare Herkunft – Sofortmaßnahmen und AIEB-Review.
- Datenschutz-Incidents: Meldeprozesse an DPO/Aufsicht; Betroffenen-Info; Ursachenanalyse.
- Sicherheits-Incidents: CSIRT-Abläufe, Forensik, Lessons Learned, Präventionsmaßnahmen.
19. Metriken, KPIs & Assurance (intern/extern)
- Pflicht-KPIs: 100 % AIIA-Abdeckung produktiver KI-Use-Cases; <14 Tage Median-Bearbeitungszeit Beschwerden; >95 % Trainingsquote; 0 offene kritische Audit-Findings.
- Fairness-Metriken: Disparate Impact, Equalized Odds (Use-Case-spezifisch).
- Nachhaltigkeit: Energie-/PUE/Kohlenstoff-Kennzahlen der Rechenzentren; Effizienz der Modelle.
20. Schulung, Awareness & Kulturwandel
- Verpflichtende Trainings (jährlich): KI-Ethik, Datenschutz, Sicherheit, Medienethik; zielgruppenspezifische Module.
- Awareness-Kampagnen: Leitfäden, Brown-Bag-Sessions, Sprechstunden; interne Communities of Practice.
- Kultur: Vorbildfunktion der Führung, Fehlerkultur, Belohnung verantwortungsvollen Handelns.
21. Umsetzung & Roadmap (0–6 / 6–12 / 12–24 Monate)
- 0–6 Monate: Inventur KI-Use-Cases; AIIA-Prozess; Mindestkontrollen; Schulungswelle; Supplier-Screening.
- 6–12 Monate: Red-Teaming ausrollen; erste Transparenzberichte; Energie-Programm; RACI finalisieren.
- 12–24 Monate: ISO/IEC-42001-Ausrichtung; Limited Assurance; kontinuierliche Verbesserung; CSRD/ESRS-Vorbereitung (falls anwendbar).
22. Rollen & RACI-Matrix
- Use-Case-Owner (A): Zweck, Nutzen, KPIs, Budget, Re-Assessments.
- Model-Owner (R): Daten/Training/Eval, Model Card, Drift-Monitoring.
- DPO (C/A bei Datenschutz): Rechtsgrundlage, DPIA, Betroffenenrechte.
- Security Lead (C): Bedrohungsmodellierung, Red-Teaming, TOMs.
- Responsible Editor (C): Medienethik, Kennzeichnungen, Korrekturregister.
- Service Owner (R): Betrieb, SLO, Incident-Management.
- Procurement Lead (R/C): Drittparteien, Verträge, Exit-Pläne.
23. Checklisten (AIIA-Kurz, Datenfreigabe, Go-Live-Gate)
- AIIA-Kurzcheck: Zweck? Rechtsgrundlage? Betroffene? Risiken (Recht/Ethik/Security/Bias/Umwelt)? Mitigation? HIL-Kontrollen?
- Datenfreigabe: Quelle rechtmäßig? Minimierung? Retention? Zugriff? Drittland?
- Go-Live-Gate: Artefakte vollständig (Data/Model Cards, Logs)? Red-Team-Ergebnisse adressiert? Monitoring/DR eingerichtet?
24. Formblätter & Vorlagen (Model Card, Data Card, Incident Report)
- Model-Card-Template: Zweck, Daten, Training, Benchmarks, Limitationen, Risiken, Verantwortliche, Kontakt.
- Data-Card-Template: Herkunft, Lizenz, Qualität, Repräsentativität, Bias-Checks, Nutzungsbeschränkungen.
- Incident-Report-Template: Ereignis, Auswirkungen, Betroffene, Sofortmaßnahmen, Root Cause, Abhilfe, Lessons Learned.
25. Glossar & Referenzen
Glossar: KI-System, Generative KI, Hochrisiko-System, AIIA, HIL, C2PA, Red-Teaming, DPIA, RACI, SLO/SLI.
Referenzen:
- EU-AI-Act
- DSGVO
- DSA
- OECD-AI-Principles
- NIST AI RMF
- ISO/IEC 42001
- Interne Richtlinien (Datenschutz, DSA-Prozesse, Modern Slavery, Sustainability)
Hinweis: Dieser KI-Kodex ergänzt bestehende LEGIER-Richtlinien, wie unter anderem: (Datenschutz, Digitale Dienste, Menschenrechte/Lieferkette, Corporate Governance, Sustainability, Modern Slavery). Er ist integraler Bestandteil des Compliance-Rahmens der LEGIER Gruppe (LEGIER Beteiligungs mbH).