Charta für verantwortungsvollen KI-Einsatz

1. Wie wir KI-Anbieter auswählen

Wir wägen sechs Faktoren für jeden Anbieter und jedes Modell ab, das Produktionsanfragen verarbeitet. Keiner gewinnt allein.

• Leistungsfähigkeit für die Aufgabe. Wir nutzen kein schwaches Modell für wichtige Arbeit, um ein paar Cent zu sparen.
• Inferenzort. Die EU-Residenz-Stufe führt alle KI-Inferenz innerhalb der Europäischen Union durch. Kunden wählen sie beim Onboarding. Auf der Trust-Seite ist beschrieben, was sich bei aktivierter Stufe ändert.
• Trainingsdaten-Richtlinie. Anbieter müssen sich vertraglich, im Rahmen ihrer kommerziellen Bedingungen, verpflichten, die von uns übermittelten Daten nicht zum Modelltraining zu verwenden. Wir unterzeichnen nur mit Anbietern, die das tun.
• Veröffentlichter Sicherheitsrahmen. Wir bevorzugen Anbieter, die eine versionierte Sicherheitsposition veröffentlichen. Anthropic veröffentlicht eine Responsible Scaling Policy. Google DeepMind veröffentlicht ein Frontier Safety Framework. Mistral veröffentlicht seine Sicherheitshaltung.
• Unabhängige Transparenzbewertung. Stanford betreibt den Foundation Model Transparency Index. MLCommons betreibt das AILuminate Safety-Benchmark. Wir zitieren ihre Bewertungen, anstatt eigene zu erfinden.
• Kosten und Latenz. Wir täuschen nicht darüber hinweg, dass diese keine Rolle spielen. Sie entscheiden darüber, ob das Produkt für unsere Kunden erschwinglich bleibt. Sie werden gegen die anderen fünf Faktoren abgewogen — nicht über sie gestellt.

2. Was wir nicht tun

Das sind Regeln. Keine Präferenzen.

• Wir erlauben keinem KI-Anbieter, Kundendaten zu Trainingszwecken zu nutzen. Niemals.
• Wir setzen Corial nicht für militärische, Überwachungs-, waffenbezogene oder politische Einflusskampagnen ein.
• Wir leiten keine Produktionsanfragen an einen Anbieter weiter, der es ablehnt, seine Trainingsdatenquellen oder Sicherheitspraktiken offenzulegen.
• Wir senden keine Nachrichten im Namen eines Kunden an dessen Kontakte, ohne dass der Kunde den Entwurf zuvor gelesen und genehmigt hat. Corial entwirft. Kunden senden.
• Wir verbergen unser Routing nicht. Wenn wir sagen, wir nutzen einen bestimmten Anbieter, nutzen wir ihn. Wenn wir einen Anbieter wechseln, aktualisieren wir die öffentliche Auftragsverarbeiterliste und informieren Kunden 30 Tage im Voraus.

3. Unsere Präferenzen

Soweit die Leistungsfähigkeit es erlaubt, bevorzugen wir:

• In der EU ansässige Anbieter. Mistral AI mit Sitz in Paris gehört zu den Anbietern, an die wir Anfragen weiterleiten.
• KI-Inferenz in der EU-Region. Die Residenz-Stufe deckt das für jeden KI-Aufruf ab (Textgenerierung, Sprachtranskription, Dokumentenanalyse, Web-Recherchen).
• Anbieter mit einem veröffentlichten Sicherheitsrahmen gegenüber solchen ohne.

Ehrlich gesagt liegt die stärkste KI-Leistungsfähigkeit heute noch bei US-amerikanischen Anbietern. Wir haben „nur EU-Anbieter" nicht zur festen Regel gemacht, weil das bedeuten würde, unseren Kunden ein spürbar schlechteres Produkt zu liefern. Die Residenz-Stufe löst die Frage des Datenflusses. Diese Charta löst die Frage der Anbieterauswahl. Wenn europäische Leistungsfähigkeit bei den für unsere Kunden relevanten Workloads aufholt, könnte sich der Standard verschieben.

4. Was wir offenlegen

• Eine öffentliche Auftragsverarbeiterliste, die jeden Dritten abdeckt, der Kundendaten verarbeitet. Aktualisiert 30 Tage vor jeder Ergänzung oder jedem Austausch.
• Eine öffentliche Trust-Seite zu unserer Sicherheits-, Datenverarbeitungs- und Standardkonformitätslage.
• Eine öffentliche Modellkarte, die KI-Anbieter und Modellfamilien im Produktionseinsatz nennt, die Inferenzregion je Stufe und Links zu den Sicherheitsrahmen und Drittbewertungen der Anbieter.
• Einen internen Incident-Response-Plan mit einer 72-Stunden-Breach-Notification-Verpflichtung gemäß Artikel 33 der DSGVO. Sicherheitsmeldungen gehen an security@corial.app.
• Einen Hinweismechanismus unter concerns@corial.app. Offen für alle — Kunden, Mitarbeiter von Auftragsverarbeitern, Mitglieder der Öffentlichkeit — und geschützt durch eine schriftliche Nicht-Repressalien-Zusage. Hinweise gehen direkt an den AI Lead.
• Diese Charta. Mindestens einmal jährlich neu unterzeichnet. Wesentliche Änderungen werden 30 Tage im Voraus bekanntgegeben.

5. Warum eine Charta statt einer Zertifizierung

ISO/IEC 42001 ist der erste KI-Managementstandard. Er wurde 2023 veröffentlicht. SOC 2 gibt es seit Jahren. Beide können auditiert werden. Beide kosten Geld und brauchen Monate. Wir haben die Konformitätsarbeit intern zuerst geleistet und diese Charta parallel veröffentlicht. Wenn eine Kundenbeziehung ein formelles Audit erfordert, werden wir es bezahlen.

Eine öffentliche Charta und ein Drittanbieter-Audit erfüllen unterschiedliche Funktionen. Ein Audit verifiziert, dass wir tun, was wir behaupten. Eine Charta stellt klar, was wir behaupten — in einfacher Sprache, mit einem Namen darauf. Beides hat seinen Wert. Charten bewegen sich schneller, können spezifisch für das unterzeichnende Unternehmen sein und stellen den Gründer öffentlich in die Pflicht. Wir beginnen mit dem, was wir heute unterzeichnen können.

6. Was diese Charta nicht behauptet

• Ich behaupte nicht, KI-Ethik gelöst zu haben. Ich habe Entscheidungen getroffen und sie niedergeschrieben.
• Ich behaupte nicht, dass jeder von uns genutzte KI-Anbieter unkompliziert ist. Alle haben Investoren, Kunden oder Geschäftsbeziehungen, die ich persönlich nicht uneingeschränkt befürworten würde. Die Kriterien in Abschnitt 1 sind die Art, wie wir damit umgehen — nicht die Art, wie wir es leugnen.
• Ich behaupte keine Zertifizierungen, die wir nicht besitzen. „In Übereinstimmung mit einem Standard gestaltet" bedeutet, dass wir seine Kontrollen durchgegangen sind und behoben haben, was wir konnten. Es bedeutet nicht, dass ein Auditor das bestätigt hat.