Künstliche Intelligenz verändert derzeit rasant die Arbeitswelt. Ob automatisierte Textgenerierung, intelligente Datenanalysen oder Chatbots im Kundenservice: Unternehmen setzen zunehmend auf KI-gestützte Anwendungen, um Prozesse effizienter zu gestalten und Wettbewerbsvorteile zu erzielen. Doch mit den neuen Möglichkeiten wachsen auch die Risiken. Insbesondere der Schutz sensibler Daten rückt in den Fokus.
Darauf weist Dr. Johann Sell, Software Development Team Lead bei Mip Consult, hin. „KI-Tools werden häufig schneller eingeführt, als Unternehmen ihre Auswirkungen bewerten können. Viele Organisationen wissen nicht genau, welche Daten verarbeitet werden, wo sie gespeichert sind und ob sie möglicherweise an Dritte weitergegeben werden.“ Insbesondere cloudbasierte KI-Dienste bergen Risiken. So können vertrauliche Unternehmensinformationen oder personenbezogene Daten unkontrolliert an externe Anbieter übermittelt werden.
Fortschritt, aber fehlende Transparenz bei Datenflüssen
Oft fehlt die Transparenz darüber, ob Daten für Trainingszwecke genutzt oder dauerhaft gespeichert werden. Dadurch entsteht für Unternehmen ein erhebliches Compliance-Risiko – insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). Ein zentrales Problem ist darüber hinaus die sogenannte Schatten-IT: Mitarbeitende greifen eigenständig auf frei verfügbare KI-Anwendungen zu, ohne dass die IT-Abteilung oder der Datenschutzbeauftragte dies freigegeben haben.
„Was gut gemeint ist, kann schnell zum Sicherheitsproblem werden“, so Sell. „Wenn Mitarbeitende sensible Informationen in öffentliche KI-Tools eingeben, verlieren Unternehmen die Kontrolle über ihre Daten. Im schlimmsten Fall drohen Datenschutzverletzungen, Imageschäden und hohe Bußgelder.“ Gerade in wissensintensiven Bereichen wie HR, Vertrieb oder Entwicklung werden KI-Tools häufig genutzt, um Texte zu generieren, Auswertungen zu erstellen oder Entscheidungen vorzubereiten – oft ohne zu bedenken, welche Daten dabei preisgegeben werden.
Klare Regeln auf der Agenda
Statt pauschaler Verbote plädiert Sell für einen strukturierten, von Governance getriebenen Ansatz: „Unternehmen benötigen belastbare Leitplanken für den Einsatz von KI, die organisatorische, rechtliche und technische Aspekte gleichermaßen abdecken“, betont der Experte. Dazu zählen verbindliche KI-Richtlinien mit klar definierten Use Cases, Risikokategorien und Verantwortlichkeiten, standardisierte Freigabe- und Review-Prozesse sowie verpflichtende Schulungen, die über reine Anwenderkenntnisse hinausgehen. „Mitarbeitende müssen verstehen, wie Modelle trainiert werden, welche Daten verarbeitet werden und wo systemische Risiken wie Halluzinationen, Bias oder Datenabfluss entstehen können. Ohne dieses Verständnis ist ein verantwortungsvoller Einsatz nicht möglich.“
Darüber hinaus empfiehlt Sell eine bewusste Architekturentscheidung: Unternehmen sollten prüfen, ob datenschutzkonforme Eigenlösungen realisierbar sind, etwa durch On-Premise-Deployments von Large Language Models, den Einsatz von Private-Cloud-Instanzen oder speziell gehärteten SaaS-Angeboten mit vertraglich fixierten Datenflüssen, Logging-Mechanismen und Audit-Rechten. „Entscheidend ist, dass Unternehmen die Kontrolle über Trainingsdaten, Prompts und Outputs behalten.“
Privacy- und Security-by-Design als technische Basis
Neben der organisatorischen Governance ist die technische Umsetzung ein zentraler Erfolgsfaktor. „Privacy-by-Design und Security-by-Design müssen integraler Bestandteil der KI-Architektur sein und können nicht – wie der Zusatz ‚by-Design‘ eigentlich schon sagt – nachträglich als Add-ons hinzugefügt werden“, so Sell.
Konkret bedeutet dies unter anderem eine konsequente Datenminimierung entlang der gesamten Pipeline, die Verschlüsselung von Daten im Ruhezustand und bei der Übertragung, moderne Zugriffskonzepte je nach Unternehmen – etwa über Rollen (RbAC) oder Aufgaben (TbAC) –, getrennte Mandantenstrukturen sowie eine saubere Trennung von Entwicklungs-, Test- und Produktionsumgebungen. „Diese Maßnahmen sind keine Kür, sondern Voraussetzung, um KI-Systeme nachhaltig, compliant und vertrauenswürdig im Unternehmen zu betreiben.“
Technik und Datenschutz von Anfang an mitdenken
Zu den wichtigsten Handlungen gehören regelmäßige Datenschutz-Folgenabschätzungen (DPIA), um potenzielle Risiken frühzeitig zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Laut Sell ist auch die Dokumentation der eingesetzten Systeme und Datenflüsse essenziell. Er zeigt auf: „KI kann ein echter Wettbewerbsvorteil sein – aber nur, wenn sie verantwortungsvoll eingesetzt wird. Datenschutz und Innovation schließen sich nicht aus. Wer beides zusammendenkt, schafft nachhaltiges Vertrauen bei Kunden, Partnern und Mitarbeitenden.“ Unternehmen, die klare Strukturen schaffen, sind langfristig besser aufgestellt. Sie profitieren nicht nur von den Effizienzgewinnen durch KI, sondern positionieren sich gleichzeitig als verantwortungsbewusste und zukunftsorientierte Arbeitgeber.
