Mit dem Einzug von künstlicher Intelligenz (KI) in die Arbeitsprozesse von Unternehmen übernehmen Rechts- und Complianceabteilungen eine neue Rolle: Sie sind nicht mehr nur für die Risikominimierung zuständig, sondern gestalten durch KI-Governance aktiv die Datenstrategie mit – insbesondere im Hinblick auf Struktur, Kontrolle und Verantwortlichkeit bei der Einführung von KI-Tools wie Microsoft Copilot.
Einer Untersuchung der Information Security Media Group (ISMG) zufolge gaben über 80% der befragten Führungskräfte an, dass die Gefahr zusätzlicher Datenlecks ihr hauptsächliches Bedenken gegen die Einführung von generativer KI im Unternehmen sei. Ein massiver Hemmschuh also, mit dem sich auch Rechtsabteilungen befassen sollten.
Chancen und Risiken von KI
KI kann die Arbeit von Wissensarbeitern deutlich effizienter machen – etwa bei der Entwicklung von Marketingstrategien, der Erstellung von Budgetvorschlägen, der Wettbewerbsanalyse oder der Zusammenfassung von Fallakten. Doch gerade diese Leistungsfähigkeit birgt Risiken: KI kann sensible Daten aufdecken, die bislang durch unklare Zugriffsrechte oder mangelndes Bewusstsein geschützt waren.
Vor der breiten Einführung von KI war der Umgang mit Daten und Zugriffsrechten oft uneinheitlich – sowohl zwischen Unternehmen als auch innerhalb einzelner Abteilungen. Führungskräfte und Mitarbeitende wussten häufig nicht, welche sensiblen Informationen zugänglich waren – und verließen sich darauf, dass diese mangels Kenntnis nicht gefunden werden konnten. Heute können KI-Tools wie Microsoft Copilot oder ChatGPT auf sämtliche Daten zugreifen, für die ein Nutzer berechtigt ist – und dadurch vertrauliche Inhalte wie Geschäftsstrategien, anwaltliche Kommunikation oder personenbezogene Daten unbeabsichtigt offenlegen.
Drei typische Fälle sind in der Praxis zu beobachten:
Fahrlässige Datennutzung
Nutzer teilen sensible Daten mit öffentlichen, generativen KI-Chatbots. Verschiedene Untersuchungen zeigen, dass in erschreckend vielen Fällen vertrauliche Daten arglos in Prompts eingebunden werden. Einmal geteilt, können diese Informationen in zukünftigen Antworten wieder auftauchen – auch bei Dritten.
Fahrlässiges Oversharing
Nutzer erteilen Datei- und Ordnerfreigaben an sehr viele andere Nutzer, ganze Teams oder gar das gesamte Unternehmen. Die freigegebenen Dateien werden durch interne KI-Applikationen wie Copilot in ihren Antworten verarbeitet und referenziert, auch wenn die jeweiligen anfragenden Nutzer gemäß der geltenden Vertraulichkeitsrichtlinien nicht berechtigt wären, darauf zuzugreifen.
Datenleak durch verärgerte Mitarbeiter
Eine potentielle Folgegefahr von Oversharing sind Mitarbeiter, die aufgrund von Unzufriedenheit mit dem Unternehmen gezielt solche vertraulichen Informationen mittels generativer KI abfragen und missbräuchlich einsetzen. Zugriffsrechte sind ursprünglich für manuelle Arbeitsprozesse konzipiert worden. Zwar hatten Nutzer oft Zugriff auf Tausende Dateien, doch ohne gezielte Suche blieben diese meist verborgen. KI verändert das grundlegend: Sie analysiert den gesamten Datenbestand und generiert neue Inhalte – mit dem Risiko, sensible Informationen offenzulegen. Daraus ergibt sich die Notwendigkeit einer bewussten und vorsichtigen Datenstrategie.
Den Datenbestand verstehen
Bevor KI aktiviert wird, sollten Rechtsteams den gesamten Datenbestand kritisch prüfen. Dazu gehören:
- Speicherorte der Daten
- Zugriffsrechte
- Definition sensibler Informationen
Innerhalb der Microsoft-Cloud etwa gibt es verschiedene Tools, um veraltete Daten, sensitive Informationen aus sicherheitsrelevanten Artefakten und auffällige Nutzeraktivitäten wie das Kopieren von sensiblen Daten auf externe Medien zu identifizieren.
Die Identifikation sensibler Inhalte ist der erste Schritt, um Zugriffsrechte gezielt einzuschränken, ohne die Daten selbst zu gefährden.
Diese Analyse bildet die Grundlage für eine verantwortungsvolle KI-Einführung – nicht nur im Hinblick auf Datenschutzgesetze, sondern auch für die Frage, welche Daten aus regulatorischen Gründen aufbewahrt, welche gelöscht und wie Zugriffsrechte angepasst werden sollten.
Die Qualität der Daten spielt eine entscheidende Rolle für die Ergebnisse von KI-Anwendungen. Viele Unternehmen haben über Jahre Daten angesammelt – KI zwingt nun zur längst überfälligen Bewertung von Datenqualität und -relevanz.
Klassifizieren und schützen
Nicht alle Daten sind gleich – und Sicherheitsmaßnahmen sollten dies widerspiegeln. Hochsensible Inhalte müssen verschlüsselt, überwacht und nachverfolgt werden. Weniger sensible Daten benötigen zwar weniger Schutz, sollten aber ebenfalls kontrolliert werden.
Hier kommen Tools wie Microsoft Purview ins Spiel. Mit Hilfe von trainierbaren Klassifizierungen und Sensitivitätskennzeichnungen können Unternehmen kritische Daten automatisch identifizieren und schützen. Echtzeitmaßnahmen wie Data Loss Prevention (DLP) und Insider-Risikomanagement greifen auf diese Klassifizierungen zurück, um riskante Aktionen zu blockieren, Nutzer zu warnen oder Alarme auszulösen.
Schulung und Sensibilisierung
Technische Schutzmaßnahmen allein reichen nicht aus. Schulungen und Sensibilisierung sind entscheidend für eine ganzheitliche Compliance. Viele Mitarbeitende sind nicht darauf vorbereitet, KI sinnvoll zu nutzen – insbesondere im Hinblick auf die Formulierung von Eingaben („Prompts“) und die Auswirkungen auf Datenzugriffe.
Trainings sollten sowohl das „Wie“ als auch das „Warum“ vermitteln:
- Wie schreibt man effektive Prompts?
- Warum sind KI-Inhalte besonders schützenswert?
- Wie unterscheiden sich die Anforderungen je nach Fachbereich?
Und: KI ist keine Suchmaschine, sondern ein intelligenter Assistent – der klare Anweisungen und kritische Kontrolle benötigt.
Ein belastbares Rahmenwerk schaffen
Eine perfekte KI-Governance gibt es nicht. Jede Form der Informationsweitergabe birgt Risiken – etwa unbeabsichtigte Offenlegung sensibler Daten oder fehlerhafte KI-Antworten. Zu viele Freigaben erhöhen das Fehlerrisiko, zu strenge Einschränkungen behindern die Zusammenarbeit.
Ein verantwortungsvolles Rahmenwerk findet die richtige Balance – abgestimmt auf die Risikobereitschaft des Unternehmens. Es sollte systematische Verfahren zur Kontrolle von Datenzugriffen, zur Überwachung von KI-Interaktionen und zur Prüfung von Ergebnissen enthalten. Empfehlenswert ist ein „Minimalzugriffsmodell“, bei dem Nutzer nur auf die Informationen zugreifen können, die sie für ihre Arbeit benötigen.
KI verantwortungsvoll einführen
Vor 18 Monaten hat Epiq sein Programm zur verantwortungsvollen KI-Einführung gestartet – mit dem Ziel, Unternehmen zu befähigen, das volle Potential von KI zu nutzen und gleichzeitig höchste Standards bei Datenschutz und Compliance einzuhalten. Das Programm umfasst zehn Schritte – von der ersten Bestandsaufnahme über die schnelle Bereitstellung von Copilot bis hin zum langfristigen Schutz vor Datenüberexposition (siehe Abb. 1)
Seitdem verzeichnen Inhouse-Teams ein starkes Interesse an KI-Tools, die Produktivität steigern, Genauigkeit verbessern und neue Arbeitsweisen ermöglichen. Doch eines ist klar: Ohne eine klar definierte Datenstrategie überwiegen die Risiken.
Fazit
Künstliche Intelligenz kann die Arbeitswelt grundlegend verändern – vorausgesetzt, sie wird mit Bedacht und klarer Zielsetzung eingeführt. Wer in die sorgfältige Analyse und Klassifizierung von Daten investiert, Mitarbeitende gezielt schult und technische Schutzmaßnahmen proaktiv umsetzt, kann die Vorteile von KI nutzen, ohne Sicherheit oder Compliance zu gefährden.
