NetX AI-Richtlinie

1. Zusammenfassung

NetX entwickelt und betreibt zwei kommerzielle Softwareprodukte - NetX Digital Asset Management (NetX DAM) und NetX AuthorityAI -, die beide Funktionen der künstlichen Intelligenz enthalten, um Kunden aus den Bereichen Medien, Kulturerbe, Museen, Marken, Sport und anderen Branchen zu bedienen. Dieses Dokument definiert die Prinzipien, Kontrollen und Verantwortlichkeiten, die den Einsatz von KI in unseren Produkten und unseren internen Entwicklungspraktiken regeln.

NetX entwickelt, trainiert oder besitzt keine KI-Modelle. Stattdessen integrieren wir bewährte, kommerziell verfügbare KI-Services von etablierten Cloud-Anbietern, um KI-gestützte Funktionen in unseren Produkten bereitzustellen. Durch diese architektonische Entscheidung wird das Risiko für KI-Modelle bei großen, gut ausgestatteten Anbietern konzentriert, während NetX auf der Integrationsebene konsistente Governance-Kontrollen anwenden kann.

Unsere wichtigsten Verpflichtungen sind:

• Kundendaten werden niemals zum Trainieren von KI-Modellen verwendet - weder von NetX noch von einem unserer KI-Anbieter.
• KI-Outputs, die Menschen betreffen, werden immer von Menschen überprüft.
• Die Daten eines jeden Kunden sind logisch isoliert; Daten werden niemals kundenübergreifend vermischt.
• Sensible KI-Funktionen (wie z. B. Gesichtserkennung) sind optional und erfordern eine bewusste Kundenaktivierung.
• Wir sind GDPR-konform, arbeiten mit einer SOC-2-zertifizierten Infrastruktur und richten unsere Praktiken an den Grundsätzen von ISO 27001 aus.
  
  
  

2. Umfang und Anwendbarkeit

Diese Richtlinie gilt für:

• Alle KI-gestützten Funktionen in NetX DAM und NetX AuthorityAI.
• Alle KI-Dienstintegrationen von Drittanbietern, die von NetX-Produkten verwendet werden.
• Interne Nutzung von KI-Tools durch NetX Engineering- und Produktteams.
• Alle Mitarbeiter, Auftragnehmer und Vertreter von NetX, die mit Kundendaten oder KI-Systemen interagieren.

Diese Richtlinie wird aktuellen und potenziellen Kunden im Rahmen einer Vertraulichkeitsvereinbarung mitgeteilt. Sie wird mindestens einmal jährlich oder bei wesentlichen Änderungen der KI-Funktionen, der Anbieter oder der gesetzlichen Anforderungen überprüft und aktualisiert.



3. KI-Governance und -Aufsicht

3.1 Eigentümer der Steuerung

Die KI-Governance bei NetX liegt in der direkten Verantwortung des Chief Technology Officer (CTO). Der CTO ist der benannte Eigentümer dieser Richtlinie und ist verantwortlich für:

• Genehmigung der Hinzufügung neuer KI-Funktionen oder -Anbieter.
• Jährliche Überprüfung und Aktualisierung dieser Richtlinie.
• Sicherstellung, dass KI-bezogene Vorfälle eskaliert, untersucht und angemessen gelöst werden.
• Kommunikation von Änderungen der KI-Richtlinie an die betroffenen Kunden.

Im Zuge des Unternehmenswachstums beabsichtigt NetX, ein KI-Governance-Komitee einzurichten, um die Aufsicht über die Produkt-, Rechts- und Sicherheitsfunktionen zu erweitern.

3.2 Interne KI-Engineering-Praktiken

NetX-Ingenieure verwenden KI-gestützte Entwicklungstools zur Unterstützung von Softwareentwicklungs-Workflows. NetX ist dabei, formale Richtlinien und Playbooks zu erstellen, um eine konsistente, sichere und überprüfbare Nutzung von KI-Tools in der gesamten Entwicklungsorganisation zu gewährleisten. Diese Richtlinien werden Folgendes umfassen:

• Zulässiger Einsatz von KI-Unterstützung bei der Codegenerierung und -überprüfung.
• Anforderungen an die Überprüfung und Validierung, bevor KI-gestützter Code zusammengeführt wird.
• Beschränkungen bei der Weitergabe von vertraulichen Kundendaten oder proprietärem Quellcode an KI-Entwicklungstools.
• Dokumentationsanforderungen für KI-unterstützte Designentscheidungen.

Bis zur Veröffentlichung offizieller Playbooks unterliegt die gesamte KI-gestützte Entwicklung denselben Peer-Review-, Test- und Qualitätssicherungsprozessen, die für den gesamten NetX-Code gelten.

Alle NetX-Mitarbeiter müssen eine jährliche Sicherheitsschulung absolvieren, die KI-relevante Themen wie Anforderungen an den Umgang mit Daten und die zulässige Nutzung von KI-Tools abdeckt. Die Mitarbeiter absolvieren außerdem eine jährliche GDPR-Schulung. Diese Programme gelten für alle Mitarbeiter und gewährleisten ein grundlegendes Bewusstsein für die Verpflichtungen und Risiken, die mit der Nutzung von KI im gesamten Unternehmen verbunden sind.

3.3 Beaufsichtigung von KI-Drittanbietern

NetX unterhält ein internes Register aller in seine Produkte integrierten KI-Dienstleister. Bevor ein neuer KI-Dienstleister hinzugefügt wird, führt der CTO eine Überprüfung durch, die Folgendes umfasst:

• Praktiken der Datenverarbeitung und -aufbewahrung.
• Vertragliche Verbote für die Nutzung von Kundendaten für das Modelltraining.
• Sicherheitszertifizierungen und Compliance-Stellung.
• Übereinstimmung mit den ethischen Grundsätzen dieser Richtlinie.
• Eine ethikspezifische Bewertung der vorgeschlagenen KI-Fähigkeit, bei der die beabsichtigte Nutzung anhand des NetX-Rahmens für verbotene Nutzung und des Potenzials für Schaden, Voreingenommenheit oder unbeabsichtigte Folgen bewertet wird.

4. KI-Fähigkeiten nach Produkt

4.1 NetX Digital Asset Management

NetX DAM ist eine Digital Asset Management-Plattform für Kunden aus den Bereichen Marken, Museen, Sport und Kulturerbe. Die Plattform wird in SOC-2-konformen Rechenzentren und bei Cloud-Service-Providern gehostet.

Die folgenden KI-gestützten Funktionen sind in NetX DAM verfügbar. Alle KI-Inferenzen werden von Cloud-KI-Diensten von Drittanbietern über API durchgeführt; NetX führt die KI-Modelle nicht direkt aus oder hostet sie.

An die APIs von KI-Anbietern übermittelte Zwischendaten werden von den Anbietern nicht gespeichert, nachdem die API-Antwort zurückgegeben wurde. Dies wurde vertraglich mit unseren KI-Anbietern bestätigt.

Die KI-Funktionen in NetX DAM sind als eigenständige API-Integrationen implementiert und stellen keine Kerninfrastruktur der Plattform dar. Wenn ein KI-Dienst nicht verfügbar ist oder einen Fehler zurückgibt, arbeitet die Plattform normal weiter; die betroffene KI-Funktion wird ohne Beeinträchtigung der Asset-Management-Funktionalität abgebaut. Wenn zum Beispiel die natürlichsprachliche Suche vorübergehend nicht verfügbar ist, bleibt die stichwortbasierte Suche voll funktionsfähig.

4.2 NetX AuthorityAI

NetX AuthorityAI ist eine KI-Anwendung, die speziell für Kulturerbeinstitutionen, Museen und Organisationen mit umfangreichen Archivsammlungen entwickelt wurde. Es handelt sich um ein vollständig in der Cloud gehostetes SaaS-Produkt.

AuthorityAI implementiert eine Retrieval-Augmented Generation (RAG)-Architektur, die es Kunden ermöglicht, Fragen in natürlicher Sprache zu ihren Archivbeständen - Bilder, Videos, Audiodateien, Dokumente und Webinhalte - zu stellen und kontextbezogene Antworten zu erhalten, die auf dem Archiv basieren.

Hauptmerkmale der Architektur und der Verwaltung:

4.3 Interne Entwickler-Tools

NetX-Ingenieure verwenden KI-gestützte Entwicklungstools zur Unterstützung von Codegenerierung, Codeüberprüfung und Dokumentationsworkflows. Die Verwendung dieser Tools unterliegt den in Abschnitt 3.2 beschriebenen internen KI-Entwicklungsrichtlinien.

Die Entwickler sind angewiesen, keine Kundendaten, persönlich identifizierbare Informationen (PII) oder geschützte Anmeldeinformationen in KI-Entwicklungstools einzugeben. Die Einhaltung dieser Anforderung wird in den kommenden Engineering Playbooks formalisiert.

4.4 Überblick über den KI-Datenfluss

Im Folgenden wird beschrieben, wie Kundendaten die KI-Verarbeitung in jedem NetX-Produkt durchlaufen. In beiden Fällen werden die Daten vorübergehend von KI-Diensten verarbeitet und von den Anbietern nicht über die API-Antwort hinaus gespeichert.

NetX DAM - KI-Funktionsverarbeitung:

• Ein Kunde lädt ein digitales Asset (Bild, Video, Dokument) hoch oder verwaltet es innerhalb der NetX DAM-Plattform.
• Wenn eine KI-Funktion aufgerufen wird (z. B. Objekterkennung, OCR, KI-Suche), wird das betreffende Asset oder eine Darstellung davon über einen verschlüsselten API-Aufruf (mindestens TLS 1.2) an den entsprechenden Cloud-KI-Dienst übertragen.
• Der KI-Dienst verarbeitet die Daten und gibt ein Ergebnis zurück (z. B. Objektkennzeichnungen, extrahierter Text, semantische Einbettung). Der Anbieter speichert keine Daten, nachdem die Antwort zurückgegeben wurde.
• Das Ergebnis wird als Metadaten in der isolierten Datenumgebung des Kunden in NetX DAM gespeichert.
• Der Kunde greift über die NetX DAM-Schnittstelle auf die mit KI angereicherten Metadaten zu und bearbeitet sie.

NetX AuthorityAI - RAG Datenfluss:

• Archivinhalte des Kunden (Bilder, Video, Audio, Dokumente, Webinhalte) werden während des Onboardings in die AuthorityAI-Plattform aufgenommen.
• Die Inhalte werden von einem Cloud-KI-Service in Vektoreinbettungen kodiert und in einem speziellen, vom Kunden isolierten Vektordatenspeicher gespeichert. Jeder Kunde hat seinen eigenen isolierten Speicher; es werden keine Daten vermischt.
• Wenn ein Nutzer eine Anfrage stellt, ruft das System semantisch relevante Inhalte aus dem Vektorspeicher des jeweiligen Kunden ab.
• Der abgerufene Kontext wird an ein umfangreiches Sprachmodell weitergeleitet, das eine natürlichsprachliche Antwort auf der Grundlage des Archivs generiert. Zum Trainieren oder Ändern des zugrunde liegenden Modells werden keine Kundendaten verwendet.
• Wenn die Antwort für die Öffentlichkeit bestimmt ist, durchläuft sie einen Genehmigungsprozess, bei dem Historiker oder Fachexperten den Inhalt vor der Veröffentlichung überprüfen und genehmigen.

5. Datenschutz und Sicherheit

5.1 Grundlegende Datenprinzipien

• NetX verwendet keine Kundendaten, um KI-Modelle zu trainieren, abzustimmen oder zu bewerten.
• NetX verkauft, teilt oder lizenziert keine Kundendaten an Dritte zu irgendeinem Zweck.
• Die KI-Verarbeitung von Kundendaten dient ausschließlich dazu, dem Kunden die vertraglich vereinbarten Leistungsmerkmale zu liefern.
• Flüchtige Daten, die an APIs von KI-Anbietern weitergegeben werden, werden vom Anbieter nicht gespeichert, nachdem die API-Antwort zurückgegeben wurde. Dies wird in unseren Vereinbarungen mit KI-Anbietern bestätigt

5.2 Isolierung von Kundendaten

NetX arbeitet als mandantenfähige SaaS-Plattform, und die Isolierung von Kundendaten ist eine grundlegende Designanforderung:

• In NetX DAM befinden sich die Assets eines jeden Kunden in einem logisch getrennten Cloud-Speicher. KI-verarbeitete Metadaten (z. B. Erkennungsmarken, erkannter Text) werden innerhalb der Datengrenze des jeweiligen Kunden gespeichert.
• In NetX AuthorityAI wird der Vektoreinbettungsindex eines jeden Kunden in einem eigenen, isolierten Datenspeicher gespeichert. Innerhalb der RAG-Architektur sind keine kundenübergreifenden Abfragen möglich.
• Die Datenbanken sind für jeden Kundenmieter isoliert.

5.3 Persönlich identifizierbare Informationen (PII)

Kundenarchive können PII enthalten, einschließlich historischer Datensätze, die sich auf Einzelpersonen beziehen, und in einigen Fällen auch aktuelle Inhalte. NetX verwaltet den Umgang mit PII wie folgt:

• Die Gesichtserkennung identifiziert das Vorhandensein von Gesichtern; sie führt keine biometrische Identifizierung durch. Die Zuordnung eines Gesichts zu einer bestimmten Person erfolgt immer durch einen Menschen, nicht durch einen automatischen Vorgang.
• Die Kunden sind dafür verantwortlich, dass ihre Nutzung von PII-haltigen Daten den geltenden Gesetzen entspricht, einschließlich GDPR, staatlichen Datenschutzgesetzen und branchenspezifischen Vorschriften.
• NetX extrahiert, aggregiert oder reichert PII aus Kunden-Assets nicht über die in dieser Richtlinie beschriebenen Funktionen hinaus an.

5.4 KI-Anbieter-Datenvereinbarungen

Vor der Integration eines KI-Dienstleisters prüft NetX vertragliche Verpflichtungen, die Folgendes abdecken:

• Verbot der Verwendung von NetX-Kundeninhalten zum Trainieren von KI-Modellen.
• Bestätigung, dass über die API übermittelte Daten nicht über den Rahmen der Erfüllung der API-Anfrage hinaus gespeichert werden.
• Übereinstimmung mit den GDPR-Anforderungen an die Datenverarbeitung, einschließlich der Datenverarbeitungszusätze, sofern anwendbar.

5.5 Sicherheitskontrollen für KI-Systeme

Die folgenden Sicherheitskontrollen gelten für alle KI-Dienstintegrationen in NetX-Produkten:

• Verschlüsselung bei der Übermittlung: Alle Daten, die zwischen NetX-Systemen und KI-Dienstanbietern übertragen werden, werden mit TLS verschlüsselt, wobei TLS 1.2 als Mindeststandard durchgesetzt wird.
• Verschlüsselung im Ruhezustand: Die in den NetX-Systemen gespeicherten Kundendaten - einschließlich KI-verarbeiteter Metadaten und Vektoreinbettungen - werden im Ruhezustand mit AES-256 verschlüsselt.
• Authentifizierung und MFA : Der Zugriff auf NetX-interne Systeme wird durch SSO-integrierte Multi-Faktor-Authentifizierung kontrolliert. Privilegierte Zugriffsrollen und hochsensible Systeme erfordern zusätzlich eine Hardware-Sicherheitsschlüssel-Authentifizierung, die eine phishing-resistente Authentifizierung für die sensibelsten Zugriffspfade bietet.
• Privilegierte Zugriffsverwaltung: KI-Service-API-Anmeldeinformationen und andere privilegierte Systemanmeldeinformationen werden über ein System zur Verwaltung privilegierter Zugriffe (PAM) verwaltet. Die Berechtigungsnachweise sind für Endbenutzer und allgemeine Mitarbeiter nicht direkt zugänglich.
• Zugriffsüberprüfungen und Rotation der Zugangsdaten: Formelle Zugriffsüberprüfungen werden vierteljährlich durchgeführt. API-Zugangsdaten für KI-Dienste werden in einem vierteljährlichen (90-tägigen) Zyklus ausgetauscht, in Übereinstimmung mit den NIST-Richtlinien zur Verwaltung von Zugangsdaten.
• Schwachstellenmanagement und Patching : NetX führt monatlich und bei jeder Produktveröffentlichung automatische Schwachstellenscans und Penetrationstests durch. KI-spezifische Bedrohungsszenarien - einschließlich Prompt Injection und Manipulation von Modell-Output - sind ausdrücklich in die Bedrohungsmodellierung und das Schwachstellenmanagement von NetX einbezogen. Ergebnisse mit mittlerem und hohem Schweregrad werden für die Behebung priorisiert. Standard-Patches werden monatlich eingespielt; CVEs mit hohem Schweregrad werden unabhängig vom Release-Zyklus noch am selben Tag gepatcht, an dem sie identifiziert werden.
• Protokollierung und Überwachung: Die API-Aufrufe der KI-Dienste werden über die NetX-Infrastruktur zur Beobachtung der Cloud protokolliert. Die Protokolle werden ein Jahr lang aufbewahrt. Die Überwachung umfasst die API-Verfügbarkeit, Fehlerraten, anomale Anforderungsvolumina und unerwartete Datenausgangsindikatoren, wobei Warnungen für Bedingungen konfiguriert werden, die auf einen nicht autorisierten Zugriff oder Integrationsfehler hindeuten.

5.6 Reaktion auf Datenschutzverletzungen und Vorfälle - KI-verarbeitete Daten

NetX unterhält im Rahmen seines Informationssicherheitsprogramms ein allgemeines Verfahren zur Reaktion auf Datenverletzungen. Die folgenden Bestimmungen gelten speziell für KI-verarbeitete Daten:

• Erkennung: NetX überwacht die Integration von KI-Diensten auf anomales Verhalten, unerwartete Datenabflüsse und API-Fehler, die auf einen nicht autorisierten Zugriff hindeuten.
• Klassifizierung: Wenn ein potenzieller Vorfall mit KI-verarbeiteten Daten entdeckt wird, wird der CTO (als KI-Governance-Verantwortlicher) sofort benachrichtigt. Vorfälle werden nach Schweregrad klassifiziert: (1) keine tatsächliche Datenexposition, (2) potenzielle Exposition von nicht sensiblen Metadaten, (3) potenzielle Exposition von PII oder Inhaltswerten.
• Eingrenzung: Betroffene KI-Dienstintegrationen können bis zur Untersuchung ausgesetzt werden. Wenn die Daten eines bestimmten Kunden betroffen sind, wird dieser Kunde innerhalb von 72 Stunden nach der bestätigten Feststellung des Verstoßes benachrichtigt, gegebenenfalls in Übereinstimmung mit den Verpflichtungen gemäß Artikel 33 der DSGVO.
• Untersuchung: NetX führt nach dem Vorfall eine Untersuchung durch, um die Ursache, den Umfang der betroffenen Daten und die Abhilfemaßnahmen zu ermitteln. Anbietervereinbarungen werden überprüft, um die eigenen Verpflichtungen des Anbieters zur Reaktion auf Vorfälle zu bestätigen.
• Abhilfemaßnahmen und Offenlegung: Die Kunden erhalten eine schriftliche Zusammenfassung des Vorfalls, der betroffenen Daten und der getroffenen Abhilfemaßnahmen. Die Aufsichtsbehörden werden gemäß den geltenden Gesetzen benachrichtigt.
• Kontinuierliche Verbesserung: Alle KI-bezogenen Vorfälle werden überprüft, um die Überwachung, die Zugangskontrollen und die architektonischen Sicherheitsvorkehrungen zu verbessern.
  
  
  
  

6. Compliance und rechtlicher Rahmen

6.1 Allgemeine Datenschutzverordnung (GDPR)

NetX ist GDPR-konform. Wir verkaufen in der Europäischen Union über lokale Wiederverkäufer und verfügen über die Richtlinien, Verfahren und unterstützende Dokumentation, die erforderlich sind, um die GDPR-Verpflichtungen als Datenverarbeiter zu erfüllen. Dies beinhaltet:

• Datenverarbeitungsvereinbarungen (DPAs) mit Kunden, sofern erforderlich.
• Dokumentation der rechtmäßigen Grundlagen für die Verarbeitung.
• Verfahren zur Erfüllung der Rechte der Betroffenen (Zugang, Löschung, Übertragbarkeit usw.).
• Verfahren zur Meldung von Datenschutzverletzungen, die an die Fristen der Artikel 33 und 34 der DSGVO angepasst sind.
• Anbieterbewertungen für KI-Anbieter, die als Unterauftragsverarbeiter tätig sind.

Die GDPR-Verpflichtungen in Bezug auf KI-verarbeitete Daten - insbesondere KI-Funktionen, die Bilder von Personen verarbeiten können - werden in unserer DSGVO und in den kundenorientierten Geschäftsbedingungen behandelt. Die Verantwortung für die Schaffung rechtmäßiger Grundlagen für die Verarbeitung personenbezogener Daten, die an NetX übermittelt werden, bleibt beim Kunden.

6.2 SOC 2

Das primäre Rechenzentrum von NetX wird gemäß SOC 2 betrieben. SOC 2 Typ II Berichte sind für Kunden und Interessenten auf Anfrage unter NDA erhältlich.

6.3 ISO 27001-Anpassung

NetX hat seine Verfahren zur Verwaltung der Informationssicherheit an das ISO 27001-Rahmenwerk angeglichen. NetX hat zwar derzeit keine unabhängige Zertifizierung nach ISO 27001 angestrebt, aber das Rahmenwerk bildet die Grundlage für unsere Praktiken in den Bereichen Risikobewertung, Zugriffskontrolle, Incident Management und Supplier Relationship Management - einschließlich der Überwachung von KI-Dienstleistern.

6.4 NIST AI Risk Management Framework

NetX richtet seine KI-Governance-Praktiken am NIST AI Risk Management Framework (AI RMF 1.0) aus, das einen strukturierten Ansatz für das Risikomanagement über den gesamten Lebenszyklus von KI-Systemen bietet. Unsere Ausrichtung erstreckt sich auf die vier Kernfunktionen des Frameworks:

• Verwalten: Der CTO ist der benannte AI-Governance-Verantwortliche mit definierter Rechenschaftspflicht. Die KI-Richtlinie formalisiert die Rollen, Verantwortlichkeiten und ethischen Grundsätze. Ein formelles KI-Governance-Komitee ist geplant, wenn die Organisation wächst.
• Abbildung: Der CTO führt ein internes Verzeichnis der KI-Dienstleister und -Integrationen. Vor der Integration werden die Risiken, der Umgang mit Daten und die Übereinstimmung mit den Vorschriften für jede KI-Funktion geprüft. Verbotene und eingeschränkte Nutzungskategorien sind in Abschnitt 8 definiert.
• Messen: Die Integration von KI-Diensten wird mit Hilfe von Cloud Observability-Tools überwacht. Ein KI-spezifischer Rahmen zur Klassifizierung von Vorfällen (Abschnitt 5.6) definiert Schweregrade. Die Anforderungen an die menschliche Aufsicht sorgen für eine qualitative Überprüfung der Qualität der Ergebnisse bei Anwendungen, bei denen viel auf dem Spiel steht.
• Verwalten: Erkannte Risiken werden durch vertragliche Kontrollen mit Anbietern, architektonische Entscheidungen (Datenisolierung, graceful degradation), menschliche Überprüfungsabläufe und den Prozess der Reaktion auf Vorfälle angegangen. Die Überprüfung der Richtlinien wird durch Zwischenfälle und wesentliche Änderungen ausgelöst.

NetX hat noch keine formelle unabhängige Bewertung anhand der NIST AI RMF in Auftrag gegeben. Eine solche Bewertung wird im Rahmen der laufenden Reifung der Governance in Betracht gezogen.

6.5 Gesichtserkennung - Regulatorisches Bewusstsein

NetX ist sich bewusst, dass die Gesichtserkennungstechnologie in bestimmten Rechtsordnungen besonderen gesetzlichen Anforderungen unterliegt, darunter dem Illinois Biometric Information Privacy Act (BIPA), ähnlichen Gesetzen in anderen US-Bundesstaaten und den einschlägigen Bestimmungen von Artikel 9 der DSGVO (biometrische Daten als besondere Kategorie).

Die Implementierung von NetX ist absichtlich auf die Gesichtserkennung (die Identifizierung, dass ein Gesicht in einem Bild vorhanden ist) und nicht auf die Gesichtserkennung oder biometrische Identifizierung (die Zuordnung eines Gesichts zu einer bestimmten Person) beschränkt. Diese Unterscheidung ist für die rechtliche Analyse von Bedeutung:

• NetX speichert keine biometrischen Vorlagen oder Gesichtseinbettungen.
• Die Zuordnung eines erkannten Gesichts zu einer bestimmten Person wird von einem menschlichen Benutzer vorgenommen, nicht von der NetX-Plattform.

Kunden, die die Gesichtserkennungsfunktion aktivieren und anschließend Identifizierungsworkflows in ihren eigenen Systemen durchführen, sind für die Einhaltung der geltenden biometrischen Datenschutzgesetze in ihrem Land verantwortlich. Kunden wird empfohlen, ihre BIPA, GDPR Artikel 9 und ähnliche Verpflichtungen zu überprüfen, bevor sie diese Funktion aktivieren.

6.6 Andere regulatorische Rahmenwerke

NetX speichert keine medizinischen Daten (HIPAA findet keine Anwendung) oder Zahlungskartendaten (PCI DSS findet keine Anwendung). Wenn Ihr Unternehmen in einem regulierten Sektor tätig ist und eine spezielle Compliance-Dokumentation benötigt, wenden Sie sich bitte an Ihren NetX-Kundenbetreuer.

7. Ethische KI-Prinzipien

Der KI-Ansatz von NetX basiert auf einer Reihe von Grundsätzen, die unsere Werte als Unternehmen und unsere Verantwortung gegenüber den Kunden, ihren Endnutzern und den Personen, deren Inhalte oder Bildnisse in den Kundenarchiven enthalten sein können, widerspiegeln.

7.1 KI als Hilfsmittel

NetX ist der Ansicht, dass KI am wertvollsten ist, wenn sie menschliches Fachwissen ergänzt, anstatt es zu ersetzen. Unsere Produkte sind so konzipiert, dass sie Informationen aufzeigen, Arbeitsabläufe beschleunigen und den manuellen Aufwand reduzieren, ohne dabei das menschliche Urteilsvermögen aus dem Entscheidungsprozess zu nehmen. Wir versuchen nicht, das Fachwissen von Archivaren, Kuratoren, Historikern, Fotografen oder anderen Spezialisten, die das wichtigste Kapital unserer Kunden sind, zu automatisieren.

7.2 Transparenz

NetX informiert seine Kunden transparent darüber, welche KI-Funktionen aktiv sind und wie KI-generierte Inhalte oder Metadaten erzeugt werden. Wir stellen KI-Ergebnisse nicht als endgültige Fakten dar, ohne angemessen darauf hinzuweisen, dass sie KI-generiert sind.

7.3 Menschliche Beaufsichtigung

Die KI-Ergebnisse in unseren Produkten werden von Menschen überprüft, wenn diese Ergebnisse dazu verwendet werden, Entscheidungen über Personen zu treffen oder zu informieren, oder wenn sie in einem öffentlichen Kontext erscheinen:

• Erkennung von Gesichtern: Die NetX-Plattform erkennt, dass ein Gesicht vorhanden ist. Ein menschlicher Benutzer muss dieses Gesicht zusätzlich identifizieren und mit dem Namen der Person kennzeichnen. NetX automatisiert die Identifizierung nicht.
• NetX AuthorityAI: Alle LLM-generierten Antworten, die für die Veröffentlichung bestimmt sind, müssen einen strukturierten Genehmigungsworkflow durchlaufen. Historiker, Archivare und Fachexperten überprüfen und genehmigen KI-generierte Inhalte, bevor sie an die Öffentlichkeit gelangen.

7.4 Sensibilisierung für Genauigkeit und Voreingenommenheit

NetX ist sich bewusst, dass KI-Modelle ungenaue, verzerrte oder unvollständige Ergebnisse liefern können. Wir unternehmen die folgenden Schritte, um dieses Risiko zu bewältigen:

• KI-generierte Metadaten und Antworten werden in der Benutzeroberfläche als KI-generiert gekennzeichnet, damit die Benutzer eine angemessene Skepsis an den Tag legen können.
• Kunden werden ermutigt, menschliche Überprüfungsworkflows zu verwenden - insbesondere bei historisch bedeutsamen oder sensiblen Inhalten.
• Wir überwachen die Ankündigungen der KI-Anbieter auf bekannte Verzerrungen oder Genauigkeitsprobleme und teilen den betroffenen Kunden wesentliche Änderungen mit.

7.5 Keine Verdrängung von Arbeitskräften beabsichtigt

NetX positioniert seine KI-Funktionen nicht als Mechanismus zur Reduzierung der Mitarbeiterzahl in den Unternehmen unserer Kunden. Wir konzipieren unsere KI-Funktionen aktiv, um die Fähigkeiten von Archivaren, Bibliothekaren, Kuratoren und verwandten Fachleuten zu unterstützen und zu erweitern, nicht um sie zu verdrängen.

8. Verbotene und eingeschränkte Nutzungen

Die KI-Funktionen von NetX sind zur Unterstützung von Digital Asset Management, Archivrecherche, Inhaltsorganisation und ähnlichen legitimen kreativen und institutionellen Zwecken gedacht. Die folgenden Verwendungszwecke sind gemäß den Servicebedingungen von NetX und dieser Richtlinie verboten.

8.1 Absolute Verbote

Die folgenden Nutzungen sind unabhängig von der Kundenkonfiguration oder vertraglichen Vereinbarung verboten:

• Generierung von KI-Inhalten, die darauf abzielen, reale Personen zu täuschen, zu verleumden oder falsch darzustellen.
• Verwendung von KI-Funktionen von NetX, um Rückschlüsse auf Personen aufgrund geschützter Merkmale (Ethnie, Religion, Geschlecht, sexuelle Orientierung, Behinderung oder ähnliche Merkmale) zu ziehen oder diese zu klassifizieren.
• Scraping oder Aggregation von NetX KI-Ergebnissen, um abgeleitete KI-Modelle oder Trainingsdatensätze zu erstellen.
• Jegliche Nutzung, die gegen geltendes Recht verstößt, einschließlich Datenschutzgesetze, Antidiskriminierungsgesetze oder Exportkontrollen.

8.2 Eingeschränkte Nutzungen, die eine Rechenschaftspflicht des Kunden erfordern

Die folgenden Nutzungen sind innerhalb der Plattform technisch möglich, erfordern jedoch, dass der Kunde ausdrücklich die Verantwortung für die Einhaltung der geltenden Gesetze und internen Richtlinien übernimmt:

• Aktivieren der Gesichtserkennungsfunktion: Kunden müssen vor der Aktivierung dieser Funktion die relevanten biometrischen Datenschutzverpflichtungen in ihrer Gerichtsbarkeit überprüfen (siehe Abschnitt 6.4).
• Verarbeitung von Archiven mit Bildern von Minderjährigen: Kunden müssen sicherstellen, dass die Verwendung von KI-Analysen für Inhalte, auf denen Minderjährige abgebildet sind, mit den geltenden Gesetzen zum Schutz der Privatsphäre von Kindern übereinstimmt (z. B. COPPA, GDPR-Bestimmungen für Daten von Kindern).
• Veröffentlichung von KI-generierten Inhalten ohne Überprüfung: Kunden, die sich dafür entscheiden, AuthorityAI-Ergebnisse zu veröffentlichen, ohne den Genehmigungsworkflow zu nutzen, übernehmen die volle Verantwortung für die Richtigkeit und Angemessenheit der veröffentlichten Inhalte.

NetX behält sich das Recht vor, KI-Funktionen für Kunden auszusetzen, bei denen eine unzulässige Nutzung festgestellt wird, bis eine Untersuchung und Abhilfe erfolgt ist.

9. Verantwortlichkeiten des Kunden

Als SaaS-Anbieter stellt NetX die in dieser Richtlinie beschriebenen Plattformen und Kontrollen bereit. Die Kunden sind dafür verantwortlich, wie sie diese Funktionen in ihren Unternehmen konfigurieren und nutzen. Zu den Verantwortlichkeiten des Kunden gehören:

• Nur die KI-Funktionen zu aktivieren, die für den jeweiligen Anwendungsfall und den rechtlichen Kontext geeignet sind.
• Festlegung und Durchsetzung interner Richtlinien für die Überprüfung und Genehmigung von KI-generierten Metadaten und Inhalten vor der Verwendung in Folgeentscheidungen oder öffentlichen Mitteilungen.
• Sicherstellung, dass die Endnutzer - sofern gesetzlich vorgeschrieben - darüber informiert werden, dass KI zur Analyse oder Verarbeitung von Vermögenswerten eingesetzt wird.
• Einhaltung der geltenden Datenschutzgesetze für die in ihren Asset-Sammlungen enthaltenen personenbezogenen Daten, einschließlich der Einholung der erforderlichen Zustimmungen vor der Verarbeitung von Bildern von Einzelpersonen.
• Unverzügliche Benachrichtigung von NetX bei Verdacht auf Missbrauch von KI-Funktionen oder bei Sicherheitsvorfällen, bei denen möglicherweise Kundendaten preisgegeben wurden.
• Überprüfung und Annahme der geltenden Nutzungsbedingungen für KI-Funktionen, einschließlich aller funktionsspezifischen Bedingungen.

10. Meldung von KI-Vorfällen

NetX unterhält einen formellen Kanal für Kunden, um Bedenken, unerwartetes Verhalten oder vermutete Vorfälle im Zusammenhang mit KI-Funktionen zu melden. Dieser Prozess ist in den allgemeinen Prozess von NetX zur Reaktion auf Sicherheitsvorfälle integriert.

10.1 Was ist zu melden?

Kunden werden gebeten, Folgendes zu melden:

• KI-Ergebnisse, die materiell ungenau, verzerrt oder schädlich erscheinen.
• Unerwartetes KI-Verhalten (z. B. eine Funktion, die Ergebnisse außerhalb ihres dokumentierten Bereichs liefert).
• Beweise für eine unzulässige Nutzung von NetX AI-Funktionen durch andere Parteien.

10.2 Meldeverfahren

KI-bezogene Vorfälle oder Bedenken sollten über den Standard-Supportkanal von NetX gemeldet werden, wobei in der Betreffzeile "KI-Vorfall" anzugeben ist. Berichte werden innerhalb eines Arbeitstages an den CTO weitergeleitet. NetX bestätigt die Meldung innerhalb eines Arbeitstages und gibt innerhalb von fünf Arbeitstagen eine ausführliche Antwort.

10.3 NetX-Berichterstattung an Kunden

Wenn NetX von einem Vorfall im Zusammenhang mit KI erfährt, der möglicherweise die Daten oder KI-Leistungen eines Kunden betroffen hat, werden wir die betroffenen Kunden gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO) unverzüglich, spätestens jedoch 72 Stunden nach Bestätigung einer Datenverletzung, benachrichtigen. In den Benachrichtigungen werden die Art des Vorfalls, die betroffenen Daten oder Funktionen und die als Reaktion ergriffenen oder geplanten Schritte beschrieben.

11. Überprüfung und Aktualisierung von Richtlinien

Diese Richtlinie wird mindestens einmal jährlich von der CTO überprüft. Eine Überprüfung wird auch durch einen der folgenden Punkte ausgelöst:

• Hinzufügen einer neuen KI-Funktion oder eines KI-Dienstanbieters.
• Eine wesentliche Änderung der geltenden Gesetze oder Vorschriften (z. B. neue KI-spezifische Gesetze).
• Ein bedeutender KI-bezogener Vorfall.
• Eine Änderung der Produktarchitektur von NetX, die den KI-Datenfluss wesentlich beeinflusst.

Anhang: Definitionen