Managed Service Provider in Deutschland (MSP) | Managed IT Services für Unternehmen von München bis Hannover, von Rosenheim und Landshut bis Passau

KI - Spagat zwischen Innovation und Compliance

Künstliche Intelligenz und Compliance. Risiken vermeiden. Innovationskraft ausbauen.

Kommt Ihnen das bekannt vor? Ein Mitarbeiter soll eine Präsentation zur Geschäftsplanung erstellen. Was liegt näher, als dafür ein leistungsstarkes KI-Tool aus dem Internet zu nutzen? Einfach die Zahlenkolonnen und die Namen der Kostenstelleninhaber hochladen, ein paar Designentscheidungen treffen – und voilà! Das Ergebnis kann sich sehen lassen, und das in Rekordzeit.

Risiken der Schatten-IT

Doch während diese Schatten-IT auf den ersten Blick die Effizienz steigert, lauern im Verborgenen massive Risiken: Datenschutzverletzungen und die Gefährdung sensibler Geschäftsgeheimnisse. Denn, der eben beschriebene Slide Generator, aber insbesondere die leistungsstarken Sprachmodelle auf Basis von neuronalen Netzwerken wie GPT, stammen aus den USA.  Das bedeutet, dass der direkte Einsatz dieser sogenannten Large Language Modelle (LLM) in Unternehmen aus Datenschutzgründen nicht ohne weiteres zulässig ist.

Es gibt zwar Ausnahmen für Anwendungsfälle, bei denen keine personenbezogenen Daten oder vertraulichen Firmeninformationen zum Einsatz kommen, aber das sicherzustellen, kann ziemlich knifflig werden. Abweichungen zu erkennen und entsprechend zu handeln, ist schwierig bis unmöglich. 

KI-Strategie ist notwendig

Deshalb aber die KI-Technologien zu ignorieren oder zu verbieten ist keine Option. Denn Fachleute aus Wirtschaft, Forschung und Informationstechnologie prognostizieren eine gewaltige KI-Technologiewelle – noch größer als das, was das Internet und das WWW ausgelöst haben.

KI wird alle Bereiche unserer Gesellschaft nachhaltig und mit hoher Durchdringung erfassen. Deshalb ist es sinnvoll, die KI-Entwicklung und deren Tools vorausschauend in einer KI-Strategie einzubinden. Das ist zwar mit erheblichen Herausforderungen, insbesondere im Bereich Datenschutz und Informationssicherheit verbunden, aber durchaus beherrschbar. 

 

Microsoft Copilot datenschutzkonform nutzen

Wie sieht es beispielsweise mit dem Einsatz von Microsoft Copilot in Unternehmen aus, besonders wenn es um die strengen Datenschutzanforderungen geht?

Microsoft 365 Copilot ist ein KI-gestütztes Produktivitätstool, das die Nutzer bei ihren täglichen Aufgaben innerhalb der Microsoft 365-Applikationen mit Entwürfen, Zusammenfassungen, Übersetzungen oder Antworten auf Fragen unterstützt. Um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren, nutzt Copilot eine Kombination aus LLMs, einem KI-Algorithmus, Deep Learning-Techniken und umfangreichen Datensätzen. Es gibt vortrainierte Modelle in den LLMs, wie zum Beispiel GPT-4 von OpenAI. 

Künstliche Intelligenz datenschutzkonform im Unternehmen nutzen

Im Gegensatz zu generischen Modellen wie GPT oder Gemini, kann Copilot durch den Echtzeitzugriff auf die Daten der jeweiligen Kunden aus Microsoft Graph benutzer-, unternehmensspezifische und kontextbezogene Antworten liefern. Microsoft bezeichnet diesen Prozess als 'Grounding'."

Daten bleiben in der EU

Ein datenschutzkonformer Einsatz von Microsoft wird aber erst durch weitere Mechanismen möglich. Microsoft hat sich verbindlich verpflichtet, für europäische Kunden klare Datengrenzen einzuhalten, sodass die Daten der europäischen Nutzer innerhalb der EU bleiben und der Datenverkehr nicht über EU-Grenzen hinausgeht. Copilot erfüllt damit die Anforderungen an die Datenresidenz gemäß den Microsoft-Produktbedingungen und dem Datenschutznachtrag. Seit dem 1. März 2024 ist Microsoft 365 Copilot also offiziell als abgedeckter Workload in den Microsoft Produktbedingungen aufgenommen.

Sicherheit durch Berechtigungsmodelle

Das Berechtigungsmodell in Microsoft 365 kann gewährleisten, dass keine Daten ungewollt zwischen Benutzern, Gruppen und Kunden weitergegeben werden. So zeigt Microsoft 365 Copilot ausschließlich Daten an, auf die jeder einzelne Nutzer tatsächlich zugreifen kann und nutzt dabei dieselben Steuerelemente, die auch in anderen Microsoft 365-Diensten zum Einsatz kommen. 

Wichtig zu wissen: Eingabeaufforderungen, Antworten und Daten, auf die über Microsoft Graph zugegriffen wird, fließen nicht in das Training von Foundation LLMs ein und auch nicht in die, die Microsoft 365 Copilot nutzt.

Das sind zwar notwendige, aber leider noch keine hinreichenden Maßnahmen und Eigenschaften. Deshalb braucht es Schulungen und Sensibilisierung der Mitarbeitenden, passende technische und organisatorische Maßnahmen (TOM), Durchführung einer Datenschutzfolgeabschätzungen und die Nutzung von Sensibilitäts-Labels von Microsoft Purview Information Protection – um nur einige der wichtigsten Punkte zu nennen.

 

Lokale Large Language Modelle (LLM)

Das zweite Szenario dreht sich um „lokal betriebene LLMs“. Kurz zur Erklärung: Das bekannteste Sprachmodell ist GPT von OpenAI. Es handelt sich dabei um ein Foundation Model, das mit enormen Textmengen trainiert wurde, um natürliche Sprache zu verarbeiten. Diese Modelle lernen Texte fortzusetzen, indem sie statistische Beziehungen zwischen Wörtern herstellen und so ein Verständnis für Syntax, Semantik und Ontologie der Sprache entwickeln. Das Training und der Betrieb solcher Modelle kosten Milliarden – also nichts, was man einfach so in einem Unternehmensnetzwerk aufbauen kann. 

lokale LLMs für spezifische Aufgaben anstatt Foundation Models

Smarte Alternativen zu GPT

Aber es geht noch smarter. Mit Llama (Meta), Mistral oder Phi (Microsoft) gibt es Large Language Modelle, die ebenfalls auf der Transformer-Architektur aufsetzen. Deren Nutzung ist (fast) kostenfrei; das beinhaltet auch den kommerziellen Einsatz unter der Community License. Im Vergleich zu GPT sind diese Modelle geradezu winzig und laufen auf „unternehmenstypischer“ Hardware. Diese kompakten generativen Sprachmodell könne datenschutzkonform eingesetzt werden. Sie schützen sensible Daten, indem sie im eigenen Netzwerk oder in der Cloud eines abgeschirmten Mandanten bereitgestellt werden. Das bedeutet volle Kontrolle und kein Abfluss der Daten in ein Nicht-EU-Land.

Auch wenn diese Modelle vielleicht nicht Goethes gesammelten Werke rezitieren können, so liefern sie in speziellen Fällen sogar bessere Ergebnisse, da sie gezielt mit relevanten Daten gefüttert werden. Während Foundation Models auf großen Datensätzen trainiert werden, bezeichnet man die Anpassung an spezifische Aufgaben als Fein-Tuning. 

Einsatzfelder LLMs

Wenn so ein Modell zum Beispiel mit medizinischen Datensätzen nach dem Schema Symptom-Diagnose-Therapie “feingetunt”, wird, erhält man mit einem vorgeschalteten Chatbot einen leistungsfähigen, medizinische Assistenten. Durch dieses kontrollierte Fein-Tuning erhält man zuverlässige Ergebnisse – im Gegensatz zu Foundation Models, die manchmal bzw. nachweislich „halluzinieren“.

Weitere Einsatzfelder können sein: Kundenservice mit Chatbots, die Kundenanfragen effizient und präzise beantworten. Im Bereich Wissensmanagement mit der Erstellung von internen Wissensbasen, die Mitarbeiter schnell und einfach durchsuchen können oder für personalisierte Anschreiben wie die Bereitstellung von maßgeschneiderten Angeboten für die Kunden.

 

Fazit:

Die Effizienzsteigerung durch innovative KI-Tools steht in einem Spannungsfeld mit den Herausforderungen des Datenschutzes. Während der Einsatz von KI, wie z. B. Microsoft 365 Copilot vielversprechende Lösungen für Unternehmen bietet, erfordert er gleichzeitig ein durchdachtes Management von Risiken und Compliance. Um die Potenziale der KI verantwortungsvoll zu nutzen, ist es entscheidend, eine proaktive KI-Strategie zu entwickeln, die sowohl technologische Innovation als auch den Schutz sensibler Daten in den Mittelpunkt stellt. Letztlich entscheidet nicht nur die Technologie über unseren Erfolg, sondern auch unser Umgang mit ihr – eine kluge Balance zwischen Fortschritt und Verantwortung wird der entscheidende Faktor sein, um das volle Potenzial der KI auszuschöpfen.