Die häufigsten Verstöße gegen KI-Richtlinien in Unternehmen

Die Einführung von KI in mittelständischen Unternehmen schreitet schnell voran. In vielen Fällen geht sie schneller voran, als Richtlinien, Kontrollen und Aufsicht mithalten können. Für IT-Führungskräfte entsteht dadurch ein stilles, aber wachsendes Risiko. KI-Tools sind bereits in die tägliche Arbeit integriert, doch nur wenige Unternehmen haben klare Regeln für den Einsatz dieser Tools.

Warum KI-Richtlinien so häufig scheitern

In den meisten Unternehmen erfolgt die Einführung von KI nicht über einen formellen Prozess, sondern über einzelne Teams. Entwickler nutzen KI-Tools, um die Entwicklung zu beschleunigen. Analysten verwenden sie, um Daten zusammenzufassen. Marketingteams nutzen sie, um Inhalte zu entwerfen. Diese Tools wirken harmlos, da sie leicht zugänglich und oft kostenlos oder kostengünstig sind.

Das Kernproblem ist nicht böswillige Absicht. Das Problem ist die unkontrollierte Nutzung. Mitarbeiter fügen häufig interne Inhalte in KI-Tools ein, ohne zu verstehen, wohin diese Daten gelangen, wie sie gespeichert oder wiederverwendet werden können.

Wenn die Einführung von KI informell erfolgt, kommen Richtlinien in der Regel erst später, wenn überhaupt. Bis dahin sind riskante Muster bereits in die Arbeitsabläufe eingebettet.

Fehler 1: Keine klaren Regeln, welche Daten mit KI-Tools geteilt werden dürfen

Einer der häufigsten Fehler ist das Fehlen klarer Datengrenzen. Viele Unternehmen verfügen über allgemeine Datenschutzrichtlinien, aber diese Richtlinien wurden vor der weit verbreiteten Nutzung großer Sprachmodelle verfasst. Oftmals wird darin nicht erläutert, ob Mitarbeiter Folgendes einfügen dürfen:

• Quellcode
• Kundendaten
• Interne Dokumente
• Vorfallberichte
• Anmeldedaten oder Konfigurationsdetails

Ohne klare Regeln treffen Mitarbeiter ihre eigenen Entscheidungen. Bekannt gewordene Vorfälle zeigen, dass Mitarbeiter Quellcode und vertrauliche Notizen in öffentliche Chatbots eingefügt haben, wodurch potenzielle Risiken und der Verlust von geistigem Eigentum entstanden sind. 

Die meisten kommerziellen KI-Anbieter sammeln die von den Benutzern bereitgestellten Eingaben. Einige nutzen diese Interaktionen, um zukünftige Modellversionen zu trainieren. Ihr proprietärer Code, Ihre Kundendaten und strategischen Dokumente werden Teil eines Datensatzes, auf den Sie nicht zugreifen, den Sie nicht prüfen und nicht löschen können¹.

Fehler 2: Die Annahme, dass KI-Tools sicher sind, weil sie beliebt sind

Ein weiterer Fehler besteht darin, Popularität mit Sicherheit gleichzusetzen. Tools wie ChatGPT oder ähnliche Assistenten sind weit verbreitet und bekannt. Dies kann ein falsches Gefühl der Sicherheit vermitteln. IT-Teams gehen möglicherweise davon aus, dass ein Tool, das weit verbreitet ist, bereits den Erwartungen des Unternehmens entspricht.

In Wirklichkeit sind die meisten universellen KI-Tools für den breiten Verbrauchereinsatz konzipiert und nicht für regulierte Geschäftsumgebungen. Sie sind nicht automatisch auf interne Sicherheitsrichtlinien, Datenaufbewahrungsanforderungen oder branchenspezifische Compliance-Verpflichtungen abgestimmt.

Oftmals entstehen Lücken in der Governance, weil KI-Tools nicht wie andere Software offiziell geprüft, genehmigt oder eingeschränkt werden.

Fehler 3: Ignorieren von KI-Halluzinationen als Geschäftsrisiko

KI-Systeme generieren selbstbewusst klingende Texte, die manchmal sachlich falsch sind. In der Fachsprache wird dies als Halluzination bezeichnet. In der Geschäftswelt bedeutet dies, dass Fehler in Ihre Dokumente, die Sie programmieren, und Ihre Kundenkommunikation gelangen können, ohne dass dies jemand bemerkt.

Ohne Richtlinienkontrollen gibt es oft keine Anforderungen für eine Validierung oder Überprüfung. Halluzinierte Ergebnisse landen oft in Geschäftsdokumenten, weil Teams den Antworten der KI zu leichtfertig vertrauen.

Für IT-Führungskräfte entsteht dadurch ein Haftungsrisiko. Entscheidungen können auf der Grundlage von Inhalten getroffen werden, die autoritär erscheinen, aber nicht auf verifizierten Daten beruhen.

Fehler 4: KI ist von bestehenden Compliance-Rahmenwerken ausgeschlossen

Wenn Ihr Unternehmen Kundendaten in Europa verarbeitet, unterliegen Sie den Verpflichtungen der DSGVO, gegen die KI-Tools stillschweigend verstoßen. Das Problem ist klar: Wenn KI-Systeme auf Datenbanken mit personenbezogenen Daten zugreifen, muss dieser Zugriff gemäß den Datenschutzgesetzen dokumentiert, offengelegt und begründet werden.

Die meisten Datenschutzbestimmungen für Unternehmen wurden jedoch eingeführt, bevor KI-Tools weit verbreitet waren. Sie regeln, wie Kundendaten zwischen internen Systemen und externen Partnern übertragen werden. Sie legen fest, wie lange Daten aufbewahrt werden und wer darauf zugreifen darf. Sie befassen sich jedoch selten mit der Frage, ob ein KI-System diese Daten verarbeiten darf oder was passiert, wenn diese Verarbeitung auf Servern erfolgt, die Sie nicht kontrollieren.

Das Ergebnis ist eine Compliance-Lücke. Ihre Datenschutzrichtlinie erklärt, wie die Daten Ihrer Kunden geschützt werden. Wenn jedoch ein Mitarbeiter diese Daten in ein externes KI-Tool einspeist, verstoßen Sie möglicherweise gegen Versprechen, von denen Sie gar nicht wissen, dass Sie sie gegeben haben. 

Fehler 5: Keine genehmigte Liste von KI-Tools

Eine weitere häufige Lücke ist das Fehlen einer validierten Tool-Liste. In vielen Unternehmen wählen die Mitarbeiter KI-Tools selbstständig aus. Einige verwenden browserbasierte Tools. Andere installieren Erweiterungen oder integrieren APIs direkt in Arbeitsabläufe. IT-Teams entdecken dies oft erst nach einem Vorfall oder einer Prüfung.

Ohne eine genehmigte Liste können IT-Verantwortliche nicht:

• Konsequente Sicherheitskontrollen durchsetzen.
• Anforderungen zur Datenlokalisierung sicherstellen.
• Protokollierung oder Überwachung anwenden.
• Effektiv auf Vorfälle reagieren.

Fehler 6: KI nur als Produktivitätswerkzeug betrachten

KI wird intern oft als Produktivitätssteigerer dargestellt. Diese Darstellung kann das politische Denken einschränken. Wenn KI nur als Möglichkeit zur Zeitersparnis angesehen wird, überspringen Unternehmen möglicherweise die Risikoanalyse. Sie fragen sich möglicherweise nicht:

• Welche Daten werden offengelegt?
• Wem gehören die Ergebnisse?
• Wie wird das Modell trainiert?
• Was passiert mit unseren Eingaben?

Diese engstirnige Sichtweise ignoriert langfristige Risiken, darunter die Offenlegung von geistigem Eigentum, Compliance-Risiken und den Verlust der Kontrolle über sensible Informationen.

Unabhängige Untersuchungen zeigen, dass die Offenlegung von Daten nach wie vor eine der teuersten und schädlichsten Formen von Geschäftsrisiken darstellt, insbesondere für mittelständische Unternehmen³.

Fehler 7: Keine Rechenschaftspflicht für die Nutzung von KI

Schließlich scheitern viele KI-Richtlinien, weil niemand die Verantwortung dafür übernimmt.

Oft gibt es keine klare Antwort auf Fragen wie:

• Wer genehmigt KI-Tools?
• Wer aktualisiert die KI-Richtlinie?
• Wer überprüft die KI-Nutzung?
• Wer reagiert auf KI-bezogene Vorfälle?

Ohne Verantwortlichkeiten bleiben Richtlinien Theorie. Die Nutzung verbreitet sich ohne Aufsicht. Wenn Probleme auftreten, ist die Verantwortung unklar.

Warum diese Versäumnisse jetzt wichtig sind

Diese Richtlinienversäumnisse sind von Bedeutung, weil die Einführung von KI immer schneller voranschreitet und nicht langsamer wird. Mittelständische Unternehmen befinden sich in einer schwierigen Lage. Sie sind groß genug, um einer behördlichen Kontrolle zu unterliegen, verfügen jedoch oft nicht über die Ressourcen großer Unternehmen.

Eine schwache KI-Governance erhöht die Wahrscheinlichkeit von:

• Verstöße gegen den Datenschutz.
• Nichteinhaltung gesetzlicher Vorschriften.
• Verlust von geistigem Eigentum.
• Betriebsfehler.
• Reputationsschäden.

Für das mittlere IT-Management ist dieses Risiko sowohl persönlicher als auch organisatorischer Natur. Lücken in der Governance treten häufig erst bei Audits, Vorfällen oder Überprüfungen durch die Geschäftsleitung zutage, wenn es bereits zu spät ist.

Der Weg nach vorn: Transparenz und Kontrolle als Ausgangspunkt

Das Ziel ist nicht, die Nutzung von KI zu blockieren. Es geht darum, sie unter Kontrolle zu bringen. Der erste Schritt für jeden IT-Verantwortlichen im Mittelstand besteht darin, zu verstehen, wie KI-Tools heute tatsächlich im Unternehmen eingesetzt werden. Auf welche Tools greifen die Mitarbeiter zu? Welche Daten fließen durch sie hindurch? Wo landen diese Daten?

Die meisten Unternehmen stellen fest, dass sie weit weniger Transparenz haben, als sie angenommen hatten. Die Tools sind oft browserbasiert und umgehen herkömmliche IT-Kontrollen. Die Nutzung ist auf verschiedene Teams verteilt, ohne dass eine zentrale Nachverfolgung stattfindet. Die Kluft zwischen offizieller Richtlinie und tatsächlicher Praxis ist groß.

Um diese Lücke zu schließen, sind Governance-Maßnahmen in Bezug auf validierte Tools, Datenlokalisierung und klare Richtlinien dafür erforderlich, welche Informationen mit KI-Systemen geteilt werden dürfen und welche nicht. Dazu müssen Compliance-Programme aktualisiert werden, um KI als Kategorie der Datenverarbeitung zu berücksichtigen. Außerdem sind Überprüfungsprozesse erforderlich, die die spezifischen Risiken berücksichtigen, die KI-generierte Inhalte mit sich bringen.

Wie Upsun Ihnen hilft, die Lücken zu schließen

Upsun hilft dabei, KI-Richtlinien mit dem Tagesgeschäft zu verbinden, indem es Kontrollen sichtbar, wiederholbar und durchsetzbar macht.

• Git-gesteuerte YAML-Konfiguration: Infrastruktur, Dienste und Zugriffsregeln werden in versionskontrolliertem YAML definiert, wodurch Änderungen überprüfbar und als Code leicht zu überprüfen sind.
• Automatische Vorschau pro Zweig: Jede Änderung kann in einer isolierten Vorschauumgebung ausgeführt werden, mit Unterstützung für das Klonen von Daten und die Anwendung von Bereinigungen. So können Teams KI-bezogene Workflows vor der Produktion sicher testen.
• Multi-Service-Orchestrierung: Anwendungen, APIs und unterstützende Dienste werden gemeinsam bereitgestellt und verwaltet, wodurch das Risiko von nicht verwalteten Skripten oder getrennten KI-Komponenten verringert wird.
• Integrierte Beobachtbarkeit und APM: Integrierte Protokollierung und Performance-Überwachung erleichtern es, Verhalten, Performance und Ausfälle in allen Umgebungen vom ersten Tag an zu verfolgen.
• Compliance- und Sicherheitskontrollen auf Plattformebene: Upsun arbeitet unter etablierten Sicherheits- und Compliance-Frameworks, die IT-Teams eine kontrollierte Grundlage für die Ausführung KI-fähiger Workloads neben regulierten Systemen bieten. Dies unterstützt interne Governance-Bemühungen, indem die Infrastruktur an anerkannte Standards angepasst wird. Weitere Informationen finden Sie im Upsun Trust Center.

Zusammen helfen diese Features IT-Teams dabei, die Geschwindigkeit der Entwickler mit der operativen Aufsicht in Einklang zu bringen. 

Quellen

1. OpenAI, „Richtlinien zur Datennutzung und -speicherung“.
   https://openai.com/policies
2. Europäische Kommission, „DSGVO“.
   https://gdpr.eu
3. IBM, „Bericht über die Kosten von Datenverstößen 2024“
   https://www.ibm.com/reports/data-breach
4. TechRadar-Berichterstattung über die Ergebnisse von Dataiku zu Schatten-KI (https://www.techradar.com/pro/businesses-are-losing-control-of-ai-and-bosses-are-starting-to-despair)
5. Zusammenfassung von Cybernews zu den Datenlecks bei Samsung (https://cybernews.com/security/chatgpt-samsung-leak-explained-lessons/)
6. Stellungnahme des EDPB zu KI-Modellen und den Grundsätzen der DSGVO (https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en)
7. EDPB-Leitfaden „KI-Datenschutzrisiken und deren Minderung” (https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-privacy-risks-mitigations-large_en)
8. Leitlinien der britischen Datenschutzbehörde ICO zu KI und Datenschutz (https://ico.org.uk/for-organisations/uk-dsgvo-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection/)