Die Einführung von Künstlicher Intelligenz (KI) im Unternehmen verspricht Effizienz, automatisierte Analysen und kreative Unterstützung. Doch gerade in sensiblen Bereichen wie Energieversorgung, Verwaltung oder kritischer Infrastruktur ist Vorsicht geboten: KI kann nur dann ein Gewinn sein, wenn sie sicher, rechtskonform und gezielt eingesetzt wird.
Öffentliche KI vs. Eigene Unternehmens-KI
Der Unterschied zwischen öffentlicher KI (z. B. ChatGPT u.a.) und unternehmensintern trainierten Modellen ist entscheidend.
- Öffentliche KI: Sie ist einfach nutzbar, aber es gibt Risiken beim Datenschutz und Urheberrecht. Zusätzlich können alle eingegebenen Daten zur Modellverbesserung (Trainingszwecken) verwendet werden.
- Eigene KI / On-Premise KI: Läuft in der Unternehmensumgebung und ist ideal für sensible oder vertrauliche Informationen. Anbieter wie Microsoft Copilot in geschützter Azure-Umgebung oder OpenGPT Enterprise bieten entsprechende Schutzmechanismen.
Tipp: Prüfen Sie bei jeder Anwendung, wo Daten verarbeitet und gespeichert werden, wer Zugriff erhält, und welche Lizenzbedingungen gelten. Ein internes KI-Governance-Dokument ist Pflicht, ebenso ein Freigabeprozess für neue Tools.
Überprüfung von KI-Ergebnissen – wie geht das zuverlässig?
KI liefert gute Erstentwürfe, aber keine garantierten Wahrheiten.
- Vier-Augen-Prinzip: Lassen Sie Ergebnisse durch Fachpersonen oder Compliance-Verantwortliche validieren.
- Fact-Checking-Tools: Externer Quellenabgleich, z. B. über Google Fact Check Tools oder spezialisierte Tools zur Prüfung für technische Berechnungen helfen bei der Überprüfung von Ergebnissen.
- Protokollierung: Jede KI-gestützte Entscheidung sollte dokumentiert werden (z. B. in einem Ticketsystem oder Audit-Trail).
Praxisbeispiel: Ein Stadtwerk nutzte KI zur Auswertung von Kundenfeedback. Die Ergebnisse waren zunächst irreführend, weil Dialekte als negative Kommentare erkannt wurden. Nach kurzer Feinjustierung durch ein menschliches Audit-Team stieg die Trefferquote der Analyse auf über 85 %.
KI und Urheberrecht bei Bildern
Bei der Nutzung KI-generierter Bilder besteht weiterhin das Risiko, dass Trainingsdaten Inhalte enthalten, die urheberrechtlich geschützt sind.
Geprüfte Anbieter:
- Adobe Firefly: Ist nur mit eigenen Stockmaterialien trainiert und ist mit entsprechender kostenpflichtiger Lizensierung für die kommerzielle Nutzung erlaubt.
- Getty Images Generative AI: Entwickelt mit vollständig eigenem Bildmaterial.
- Midjourney, DALL·E 3: Bietet eine hohe Qualität, allerdings besteht eine rechtlich unsichere Lizenzlage für kommerzielle Zwecke.
Prüftipp: Nutzen Sie Tools wie „Have I Been Trained?“ zur Kontrolle, ob geschützte Bildinhalte in Trainingsdaten vorkommen.
Rechtlicher Hinweis: Nach EU-Urheberrechtsgesetz haftet der Ersteller, nicht der KI-Anbieter. „Unwissenheit schützt vor Strafe nicht.“
KI-Schutz für Diensthandys
Mit steigender mobiler KI-Nutzung wächst das Risiko für Datenabfluss.
Empfohlene Maßnahmen:
- MDM-Lösung (Mobile Device Management) mit KI-Zugriffskontrolle.
- Sperrung öffentlicher KI-Apps für dienstliche Nutzung, außer über geprüfte Unternehmenskanäle.
- Einsatz von App-Sandboxing für KI-Chatfunktionen.
- Schulungen für Mitarbeitende zu Datenschutz und KI-Nutzung auf Smartphones.
Basis-Schulung und Governance-Struktur
Jede KI-Anwendung braucht eine eigene Bewertung hinsichtlich:
- Datenschutz (personenbezogene Daten, DSGVO)
- Sicherheit (Training, Zugriff, Speicherung)
- Lizenz- und Nutzungsrechte
- Transparenz und Nachvollziehbarkeit
Für die Einführung empfiehlt sich eine zweistufige Schulung:
- Grundverständnis, was KI kann, wo liegen die Grenzen.
- Schulung auf das konkrete KI-Tool, was ist bei der Nutzung zu beachten, sprich welche Daten dürfen eingegeben werden, wie ist das Ergebnis zu prüfen usw.
Checkliste: Sicherer und effektiver KI-Einsatz im Unternehmen
Diese Checkliste dient als Leitfaden für die Bewertung, Einführung und regelmäßige Kontrolle von KI-Anwendungen.
- Strategische Vorbereitung
- Zieldefinition: Welche konkreten Aufgaben soll die KI übernehmen (z. Textanalyse, Prozessautomatisierung, Vorhersage)?
- Welches Modell: Öffentliche KI oder On-Premise Lösung
- Kosten-Nutzen-Abwägung: Wirtschaftlicher Mehrwert und bestehende Alternativen prüfen.
- Governance-Festlegung: Verantwortlichkeiten, Freigabeprozess und Auditintervalle definieren.
- Datenschutz & Compliance
- DSGVO-konform: Werden personenbezogene Daten verarbeitet? Wenn ja, mit Einwilligung oder Berechtigungsgrundlage.
- Datentransfer prüfen: Fließen Daten außerhalb des europäischen Rechtsraums (z.B. über Cloud-API)?
- Vertragliche Vereinbarungen: Lizenzbedingungen, Datenschutzerklärungen und Nutzungsrechte dokumentieren.
- Audit-Trail: Ergebnisse der KI müssen nachvollziehbar und nachprüfbar gespeichert werden.
- Informationssicherheit
- Zugriffsrechte: KI-Anwendungen nur für autorisierte Mitarbeitende zugänglich.
- MDM-Integration: Diensthandys und mobile Geräte über zentrale Sicherheitssteuerung schützen.
- Cloud-Sicherheit: Verschlüsselung und separate Datenräume („Data Sovereignty Zones“) verwenden.
- Incident Response: KI-Einsatz im Notfallplan bzw. ISMS berücksichtigen.
- Qualitätskontrolle der KI-Ergebnisse
- Vier-Augen-Prinzip: Fachliche Review der durch KI erstellten Inhalte oder Analysen.
- Bias-Tests: Gibt es systematische Verzerrungen in den Ergebnissen?
- Regelmäßiges Retraining: Modelle regelmäßig mit aktuellen, validierten Daten füttern.
- Dokumentation: KI-Version, Trainingszeitpunkt und Quellen eindeutig vermerken.
- Urheberrecht & Inhaltssicherheit
- Bilder und Textquellen prüfen: Nur freigegebene oder eigens erstellte Inhalte verwenden.
- KI-Tool auswählen: Bevorzugt Anbieter mit transparenten Trainingsdaten.
- Rechtsprüfung: Vor Publikation oder Produktivsetzung durch Juristen oder Compliance-Teams prüfen lassen.
- Beweisführung: Bei generativen Inhalten immer Herkunftsnachweis (Source Tag) abspeichern.
- Schulung & Awareness
- Mitarbeiterschulung: Grundlagen der KI-Nutzung, Datenschutz und rechtliche Risiken.
- Praxisübungen: „Gute vs. riskante“ KI-Beispiele durchspielen.
- Rollenbezogene Trainings: Fachbereiche lernen, KI-Ergebnisse korrekt zu hinterfragen.
- Kommunikation: Interne Richtlinie zur Nutzung öffentlicher KI-Systeme veröffentlichen.
Whitepaper und Checklisten finden Sie z. B. auch bei:
Was Sie auch interessieren könnte:
Seminar:
“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.
Hören Sie rein!