Immer häufiger erreichen uns Anfragen von Kunden, die den Microsoft Copilot einsetzen wollen. Waren die Lizenzkosten des MS Copilot bisher relativ hoch, befinden sich diese nun in einem massentauglichen Niveau.
Grundsätzlich sollte es vor dem Einsatz von KI im Unternehmen eine entsprechende KI-Richtlinie geben. Wir bieten hierfür eine entsprechende Vorlage an.
KI-Tools, egal ob der Copilot von Microsoft, ChatGPT, AI-Compilation bei Zoom oder anderer Hersteller sind zunächst einmal nur eine Software oder Tools, welche immer sauber und entsprechend den Anforderungen konfiguriert werden müssen.
Aber die Kontaktaufnahme VOR Einsatz des Produktes mit der Fragestellung: „Gibt es datenschutzrechtliche Bedenken?“, die immer häufiger bei uns ankommt, ist natürlich berechtigt und richtig.
Immer wenn personenbezogene Daten verarbeitet werden, sind die Grundsätze für die Verarbeitung personenbezogener Daten entsprechend Artikel 5 DSGVO einzuhalten.
Dementsprechend ist es zwingend erforderlich, dass dieses Tool sauber eingerichtet und gründlich konfiguriert sowie mit den entsprechenden maximal notwendigen Berechtigungen versehen wird.
In der Regel geht es beim Einsatz von MS-Copilot um die Sammlung und Auswertung von Informationen zu bestimmten Punkten sowie die Darstellung und Auswertung an einer zentralen Stelle. Dieses können zum einen unterschiedlichste Quellen im Internet sein, dies können aber auch unterschiedlichste Quellen innerhalb des Unternehmensnetzwerkes sein.
Bei letzterer Variante hat die sichere Konfiguration und Einrichtung von MS-Copilot die allerhöchste Priorität. Falsch konfiguriert hätte Copilot, um entsprechend Informationen sammeln, auswerten und darstellen zu können, ungewollte hohe Berechtigungen im Unternehmensnetzwerk. Fälschlicherweise sogar die „Super-Berechtigung“ auf alle Daten des ERP-Systems und entsprechender Umgebungen und Dienste.
Werden diese Zugriffsberechtigungen falsch oder evtl. nicht gesetzt, könnte dadurch auf Bereiche und Daten zugegriffen werden, auf die kein Zugriff bestehen soll, oder die besonders sensibel sind. Hinzu kommt die Zusammenfassung unstrukturierter Daten ganz ohne Berechtigungen. Beispielsweise in Videokonferenzen, E-Mails und/oder Teams-Telefonaten, welche transkribiert werden oder aus Eingaben von anderen Prompt-Anfragen (Eingaben der Nutzer).
Startet beispielsweise ein Mitarbeiter später eine Abfrage zum Lohn- und Gehaltsvergleich aller Mitarbeitenden würden hier die Ergebnisse aus dem „Wissen“ der KI, hier Copilot, generiert und ausgegeben werden. Das bedeutet, dass eventuell ein Mitarbeiter im Vertrieb problemlos in der Lage wäre, eine Vergleichsanalyse aller Gehälter im Unternehmen zu starten. Optional auch vielleicht eine Auswertung der Urlaubs- oder Krankheitstage wozu er aber eigentlich gar nicht berechtigt sein dürfte.
Dementsprechend ist es hierbei besonders wichtig, die Berechtigungen derartiger KI-Tools entsprechend sensibel zu setzen und Konfigurationen von Sperrbegriffen sowie Regelungen der Nutzung einzurichten.
Zudem ist das Tool als Applikation im Verzeichnis der Verarbeitungstätigkeiten bei den involvierten Verarbeitungen aufzunehmen und zu dokumentieren.
Für die Basis der KI-Richtlinie finden Sie in unserem Vorlagenportal ein entsprechendes Muster.
Darüber hinaus finden Sie eine Checkliste mit Prüfkriterien nach DSGVO „Datenschutzkonforme künstliche Intelligenz“ vom Bayerischen Landesamt für Datenschutzaufsicht unter diesem Link.
Ebenfalls den Tätigkeitsbericht Datenschutz 2023 der Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg, in dem dieses Thema ebenfalls ausführlich behandelt wird unter diesem Link. Insbesondere wird hier noch einmal auf die Möglichkeiten des Einsatzes von KI, hier ChatGPT, an Schulen eingegangen und eine Checkliste bereitgestellt. Diese kann durchaus auch von Unternehmen genutzt werden.
Bei Fragen oder Anmerkungen zu dem Thema stehen wir Ihnen gerne beratend und unterstützend wie gewohnt zur Verfügung.
Denn auch beim Einsatz von KI gilt: Datenschutz verhindert nicht- Datenschutz regelt und ermöglicht!
Haben Sie Fragen, Wünsche oder Anregungen? Melden Sie sich gerne oder nehmen auch an unseren offenen Sprechstunden teil.