Künstliche Intelligenz (KI) verändert derzeit rasant die Arbeitswelt. Ob automatisierte Textgenerierung, intelligente Datenanalysen oder Chatbots im Kundenservice – Unternehmen setzen zunehmend auf KI-gestützte Anwendungen, um Prozesse effizienter zu gestalten und Wettbewerbsvorteile zu erzielen. Doch mit den neuen Möglichkeiten wachsen auch die Risiken. Besonders der Schutz sensibler Daten rückt in den Fokus. Darauf weist Dr. Johann Sell, Software Development Team Lead bei der mip Consult GmbH, hin. „KI-Tools werden häufig schneller eingeführt, als Unternehmen ihre Auswirkungen bewerten können. Viele Organisationen wissen nicht genau, welche Daten verarbeitet werden, wo sie gespeichert sind und ob sie möglicherweise an Dritte weitergegeben werden.“ Insbesondere cloudbasierte KI-Dienste bergen Risiken. Vertrauliche Unternehmensinformationen oder personenbezogene Daten können unkontrolliert an externe Anbieter übermittelt werden.
Hohe Innovationskraft – aber unklare Datenströme
Oft fehlt Transparenz darüber, ob Daten für Trainingszwecke genutzt oder dauerhaft gespeichert werden. Für Unternehmen entsteht dadurch ein erhebliches Compliance-Risiko – insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). Ein zentrales Problem ist darüber hinaus die sogenannte Schatten-IT: Mitarbeitende greifen eigenständig auf frei verfügbare KI-Anwendungen zu, ohne Freigabe durch IT-Abteilung oder Datenschutzbeauftragte. „Was gut gemeint ist, kann schnell zum Sicherheitsproblem werden“, so Sell. „Wenn Mitarbeitende sensible Informationen in öffentliche KI-Tools eingeben, verlieren Unternehmen die Kontrolle über ihre Daten. Im schlimmsten Fall drohen Datenschutzverletzungen, Imageschäden und hohe Bußgelder.“ Gerade in wissensintensiven Bereichen wie HR, Vertrieb oder Entwicklung werden KI-Tools häufig genutzt, um Texte zu generieren, Auswertungen zu erstellen oder Entscheidungen vorzubereiten – oft ohne zu bedenken, welche Daten dabei preisgegeben werden.
Klare Regeln auf der Agenda
Statt pauschaler Verbote plädiert Sell für einen strukturierten, governance-getriebenen Ansatz: „Unternehmen benötigen belastbare Leitplanken für den Einsatz von KI, die organisatorische, rechtliche und technische Aspekte gleichermaßen abdecken“, betont der Experte. Dazu zählen verbindliche KI-Richtlinien mit klar definierten Use-Cases, Risikokategorien und Verantwortlichkeiten, standardisierte Freigabe- und Review-Prozesse sowie verpflichtende Schulungen, die über reine Anwenderkenntnisse hinausgehen. „Mitarbeitende müssen verstehen, wie Modelle trainiert werden, welche Daten verarbeitet werden und wo systemische Risiken wie Halluzinationen, Bias oder Datenabfluss entstehen können. Ohne dieses Verständnis ist ein verantwortungsvoller Einsatz nicht möglich.“ Darüber hinaus empfiehlt Sell eine bewusste Architekturentscheidung: Unternehmen sollten prüfen, ob datenschutzkonforme Eigenlösungen realisierbar sind, etwa durch On-Premise-Deployments von Large Language Models, den Einsatz von Private-Cloud-Instanzen oder speziell gehärteten SaaS-Angeboten mit vertraglich fixierten Datenflüssen, Logging-Mechanismen und Audit-Rechten. „Entscheidend ist, dass Unternehmen die Kontrolle über Trainingsdaten, Prompts, und Outputs behalten.“
Wichtiges Fundament
Neben organisatorischer Governance ist die technische Umsetzung ein zentraler Erfolgsfaktor. „Privacy-by-Design und Security-by-Design müssen integraler Bestandteil der KI-Architektur sein und können nicht – wie der Zusatz „by-Design“ eigentlich schon sagt – nachträgliche als Add-ons hinzugefügt werden“, so Sell. Konkret bedeutet dies unter anderem konsequente Datenminimierung entlang der gesamten Pipeline, Verschlüsselung von Daten im Ruhezustand und bei der Übertragung, moderne Zugriffskonzepte je nach Unternehmen, wie etwa über Rollen (RbAC) oder Aufgaben (TbAC), getrennte Mandantenstrukturen sowie eine saubere Trennung von Entwicklungs-, Test- und Produktionsumgebungen. „Diese Maßnahmen sind keine Kür, sondern Voraussetzung, um KI-Systeme nachhaltig, compliant und vertrauenswürdig im Unternehmen zu betreiben.“
Technik und Datenschutz von Anfang an mitdenken
Regelmäßige Datenschutz-Folgenabschätzungen (DPIA), um potenzielle Risiken frühzeitig zu erkennen und geeignete Gegenmaßnahmen zu ergreifen, gehören zu den wichtigsten Handlungen. Auch die Dokumentation der eingesetzten Systeme und Datenflüsse ist laut Sell essenziell. Er zeigt auf: „KI kann ein echter Wettbewerbsvorteil sein – aber nur, wenn sie verantwortungsvoll eingesetzt wird. Datenschutz und Innovation schließen sich nicht aus. Wer beides zusammendenkt, schafft nachhaltiges Vertrauen bei Kunden, Partnern und Mitarbeitenden.“ Unternehmen, die klare Strukturen schaffen, zeigen sich langfristig besser aufgestellt. Sie profitieren nicht nur von den Effizienzgewinnen durch KI, sondern positionieren sich gleichzeitig als verantwortungsbewusste und zukunftsorientierte Arbeitgeber.
Weitere Informationen finden Sie unter https://www.mip-consult.de/
mip Consult GmbH
mip Consult ist ein 2003 gegründetes Beratungs- und Softwareunternehmen mit Fokus auf Datenschutz, Informationssicherheit, IT-Beratung und Softwareentwicklung. Das Unternehmen bietet praxisnahe Beratung zu Datenschutz und Informationssicherheit und unterstützt Unternehmen dabei, regulatorische Anforderungen effizient umzusetzen. Ein weiterer Schwerpunkt liegt auf der Entwicklung individueller Softwarelösungen, die komplexe Geschäftsprozesse digital abbilden und unterschiedliche Datensilos intelligent miteinander verknüpfen. Mit einem interdisziplinären Team aus Beratenden, Juristen und IT-Experten verfolgt mip Consult einen ganzheitlichen Ansatz, der Mensch, Technologie und Prozesse gleichermaßen berücksichtigt.
