Zum Hauptinhalt springen
HubSecure
Menü

Blog

KI am Arbeitsplatz: 7 Governance-Regeln, die jedes Unternehmen vor dem Einsatz von Copilot braucht

Microsoft Copilot, Google Gemini und ChatGPT Enterprise werden in Geschäftsprozessen in rasantem Tempo eingesetzt. Hier sind die Governance-Regeln, die Ihr Unternehmen, Ihre Daten und Ihre Kunden schützen.

· Von HubSecure Strategy

Microsoft Copilot ist nun in vielen Microsoft 365-Abonnements enthalten. Google Gemini wird in Google Workspace-Umgebungen aktiviert. ChatGPT Enterprise wird in Anwaltskanzleien, Finanzberatern und Arztpraxen auf der ganzen Welt erprobt. KI findet schneller Eingang in Geschäftsprozesse, als Governance-Rahmen aufgestellt werden können.

Dies ist kein technologisches Problem. Es ist ein Datenverwaltungsproblem — und Datenschutzbehörden in Europa, dem Vereinigten Königreich und dem Golf beginnen, es ernsthaft zu untersuchen.

Regel 1: Wissen Sie, welche KI-Tools in Ihrer Organisation aktiv sind

Bevor Sie KI regeln können, müssen Sie diese inventarisieren. Die meisten Organisationen entdecken, dass mehr KI-Tools aktiv genutzt werden als gedacht — weil Mitarbeiter kostenlose oder Testversionen adoptiert haben, lange bevor IT etwas genehmigt hat.

Ihr KI-Inventar sollte abdecken: jedes Tool, das ein Mitarbeiter nutzt, um Informationen über Kunden oder Geschäftsvorgänge zu verarbeiten — einschließlich Microsoft Copilot, Google Gemini, ChatGPT, KI-Funktionen in Projektmanagement-Tools und KI-Zusammenfassungen in E-Mail-Clients.

Regel 2: Klassifizieren Sie, was KI sehen darf und was nicht

Das Governance-Rahmenwerk muss definieren, welche Datenkategorien KI-Tools verarbeiten dürfen, welche menschliche Überprüfung vor KI-Einbindung erfordern und welche vollständig verboten sind.

Eine praktische Klassifikation:

  • KI-erlaubt: interne Verfahren, öffentlich zugängliche Dokumente, Tagesordnungen ohne vertrauliche Inhalte
  • KI-geprüft: Kundenkommunikation, Vertragsentwürfe — KI darf unterstützen, aber das Ergebnis muss vor der Nutzung von einem Menschen überprüft werden
  • KI-eingeschränkt: Gesundheitsdaten, rechtlich privilegierte Kommunikation, nicht-öffentliche Finanzdaten, Passwörter und Anmeldedaten

Regel 3: Legen Sie den Datenspeicherort für KI-Verarbeitung fest

Wenn Ihr KI-Tool ein Dokument verarbeitet, wo findet diese Verarbeitung statt? Für Microsoft Copilot innerhalb der Grenzen Ihres Microsoft 365-Tenants — aber das Modell wird von Microsoft in seinen Rechenzentren betrieben. Für ChatGPT werden Daten an OpenAI-Server gesendet.

Unternehmen, die personenbezogene Daten gemäß der DSGVO verarbeiten, müssen dokumentieren können, wo KI-Verarbeitung personenbezogener Daten stattfindet und auf welcher Rechtsgrundlage. Prüfen Sie den AVV Ihres KI-Tools, bevor Sie es in Arbeitsabläufen mit personenbezogenen Daten einsetzen.

Regel 4: Erstellen Sie eine Richtlinie zur akzeptablen Nutzung von KI

Die Richtlinie sollte abdecken: welche Tools für welche Zwecke genehmigt sind, welche Informationskategorien Mitarbeiter in KI-Tools eingeben dürfen, was niemals eingegeben werden darf (Passwörter, Kunden-PII, rechtlich privilegierte Inhalte), welche Überprüfung vor externer Nutzung KI-generierter Inhalte erforderlich ist, und wie unangemessene Nutzung gemeldet wird.

Regel 5: Dokumentieren Sie KI-unterstützte Entscheidungen

Wenn KI bei einer wesentlichen Geschäftsentscheidung mitwirkt, muss diese Mitwirkung dokumentiert werden: welches Tool genutzt wurde, welche Eingaben gemacht wurden, was das KI-Ergebnis war und welche menschliche Entscheidung getroffen wurde. Regulatoren in Finanzdienstleistungen, Gesundheitswesen und dem Rechtssektor beginnen dies explizit zu fordern.

Regel 6: Schulen Sie Mitarbeiter vor der Bereitstellung

Spezifische Schulungspunkte: keine Kundennamen oder identifizierenden Informationen in Consumer-KI-Tools eingeben; KI-generierte Inhalte zu Kunden oder regulierten Angelegenheiten müssen von einer qualifizierten Person überprüft werden, bevor sie verwendet werden; unerwartete KI-Ausgaben melden, nicht einfach löschen.

Regel 7: Bauen Sie den Audit-Trail auf

Die Frage, die Regulatoren nach einem KI-bezogenen Vorfall stellen, ist nicht „Haben Sie eine KI-Richtlinie?”. Es ist „Können Sie mir zeigen, was passiert ist?”. Das erfordert einen Audit-Trail: eine Aufzeichnung, welche KI-Tools wann, von wem, für welche Daten und mit welchem Ergebnis verwendet wurden.

Die Mehrzahl der Unternehmen, die Copilot oder andere KI-Tools eingesetzt haben, hat dies getan, ohne einen der sieben obigen Schritte abzuschließen. Der Governance-Rahmen ist für ein Unternehmen jeder Größe in Wochen erreichbar, nicht in Monaten.