Da KI zunehmend in Unternehmensabläufe integriert wird, übernehmen Führungskräfte im Rechts- und Compliance-Bereich eine neue Rolle: Sie verwalten nicht nur Risiken, sondern gestalten auch die Datenstrategie für die Struktur, Kontrollen und Verantwortlichkeiten, die für einen verantwortungsvollen Einsatz von KI erforderlich sind, einschließlich unternehmensweiter Tools wie Copilot für Microsoft 365.

In dieser Reihe wird untersucht, wie Rechts- und Compliance-Teams die Verantwortung für eine verantwortungsvolle KI-Bereitschaft übernehmen können.

Das Versprechen und die Fallstricke 

KI bietet ein leistungsstarkes neues Werkzeug zur Optimierung der Aufgaben von Wissensarbeitern, wie z. B. die Erstellung von Marketingstrategien, Finanzbudgetvorschlägen, Wettbewerbsanalysen und Zusammenfassungen von Kundendienstfällen. Allerdings bergen genau die Fähigkeiten, die KI so attraktiv machen, auch das Risiko einer übermäßigen Offenlegung sensibler Daten. 

Vor der weit verbreiteten Einführung von KI unterschieden sich die Methoden zur Datenspeicherung und zum Datenzugriff zwischen den Unternehmen und sogar zwischen den Funktionen. Benutzer und sogar Führungskräfte hatten oft nur ein begrenztes Verständnis davon, welche sensiblen Informationen für wen zugänglich waren, und verließen sich auf das mangelnde Bewusstsein der meisten Mitarbeiter, um sensible Dokumente sicher aufzubewahren. Heute können tools wie Microsoft Copilot auf alle Daten zugreifen und diese anzeigen, für deren Anzeige der Benutzer eine Berechtigung hat. Dadurch können versehentlich sensible Inhalte (z. B. Geschäftsstrategiedokumente, vertrauliche Mitteilungen oder personenbezogene Daten (PII)) offengelegt werden, die niemals für eine breite Öffentlichkeit bestimmt waren.

In der Vergangenheit wurden Zugriffskontrollen für manuelle Arbeitsabläufe entwickelt. Ein Benutzer hatte zwar Zugriff auf Tausende von Dateien, aber ohne Suchfunktion oder direkte Navigation würde er die meisten davon nie finden. KI ändert dies. Sie synthetisiert und zeigt Informationen aus dem gesamten Datenbestand an und erzeugt so neue Inhalte, die sensible Details gefährden. Diese Veränderung erfordert einen bewussten und vorsichtigen Ansatz für die Datenverwaltung.

Ihre Datenbestände verstehen

Bevor KI eingesetzt werden kann, müssen Rechtsabteilungen ihre gesamte Datenlandschaft genau unter die Lupe nehmen. Dazu gehört es, zu wissen, wo Daten gespeichert sind, welche Zugriffsberechtigungen bestehen und welche Art von Informationen in Ihrem Unternehmen als „sensibel“ gelten. Die Festlegung von Kriterien für sensible Informationen ist ein wichtiger erster Schritt, um Zugriffsberechtigungen zu beschränken, ohne Daten ungeschützt zu lassen.

Diese Entdeckungsphase ist die Grundlage für die Implementierung von KI. Dabei geht es nicht nur um die Einhaltung von Datenschutzgesetzen, sondern auch darum, zu verstehen, welche Daten aus regulatorischen Gründen aufbewahrt werden müssen, was vertretbar gelöscht werden sollte und wie streng die Benutzerberechtigungen geändert werden sollten.

Die Qualität der Daten Ihres Unternehmens spielt eine wichtige Rolle für die Erzielung effektiver Ergebnisse. Die Realität bei der Nutzung von KI zur Verbesserung von Arbeitsabläufen und Produktivität ist, dass Ihre Ergebnisse anders aussehen werden, wenn die Qualität der Daten zu wünschen übrig lässt. Viele Unternehmen sammeln seit Jahren Daten, und der Aufstieg der KI zwingt sie nun zu einer längst überfälligen Bewertung der Datenqualität und -aufbewahrung.

Klassifizieren und schützen

Nicht alle Daten sind gleich, und Ihre Sicherheitskontrollen sollten dies widerspiegeln. Hochsensible Inhalte sollten verschlüsselt, nachverfolgt und überwacht werden. Weniger sensible Daten erfordern möglicherweise weniger strenge Kontrollen, sollten aber dennoch überwacht werden.

Hier kommen verantwortungsbewusste KI-Experten und Tools wie Microsoft Purview ins Spiel. Durch den Einsatz trainierbarer Klassifizierer und Sensitivitätskennzeichnungen können Unternehmen die Identifizierung und den Schutz kritischer Daten automatisieren. Echtzeit-Tools für Data Loss Prevention (DLP) und Insider-Risikomanagement reagieren dann auf diese Klassifizierungen, um riskante Aktionen zu blockieren, Benutzer zu warnen oder Warnmeldungen auszulösen.

Aufklären und befähigen

Selbst die besten technischen Kontrollen können nicht jeden Fehler verhindern. Die Aufklärung und Schulung der Benutzer sind für eine ganzheitliche Compliance unerlässlich. Viele Fachleute sind nicht darin geschult, Prompt Engineering oder die Feinheiten des Einsatzes von KI richtig zu nutzen. Die Ergebnisse eines gut ausgearbeiteten und spezifischen Prompts eines Benutzers unterscheiden sich stark von denen eines neuen Benutzers, der die KI nur vage anweist.

Die Schulung der Benutzer sollte sich sowohl auf das „Wie” als auch auf das „Warum” konzentrieren. Bringen Sie den Benutzern bei, wie sie effektive Eingabeaufforderungen schreiben, und helfen Sie ihnen dabei, die Auswirkungen von KI-Inhaltsberechtigungen zu verstehen. Schulen Sie verschiedene Funktionsteams separat anhand von Anwendungsfällen, die direkt auf ihre Arbeit zutreffen. Erinnern Sie die Benutzer schließlich daran, dass KI keine Suchmaschine ist, sondern ein Mitarbeiter, der klare Anweisungen und kritische Aufsicht benötigt.

Aufbau eines widerstandsfähigen Rahmens

Unternehmen müssen akzeptieren, dass kein verantwortungsbewusster KI-Rahmen perfekt sein kann. Jeder Grad der gemeinsamen Nutzung von Inhalten kann Risiken mit sich bringen, wie z. B. die unbeabsichtigte Offenlegung sensibler Daten und KI-Eingabeaufforderungen und -Antworten, die nicht wie beabsichtigt funktionieren. Die Weitergabe von zu vielen Informationen kann die Implementierungsbemühungen behindern und die Wahrscheinlichkeit von Fehlern im Zusammenhang mit einem breiten Datenzugriff oder der Verwaltung von Eingabeaufforderungen erhöhen. Andererseits führen übermäßig restriktive Schemata für die gemeinsame Nutzung zu einem Stillstand der Zusammenarbeit.

Ein verantwortungsbewusstes KI-Framework berücksichtigt dies und findet auf der Grundlage der akzeptierten Risikobereitschaft des Unternehmens die richtige Balance. Um die Zusammenarbeit zu ermöglichen und gleichzeitig die damit verbundenen Risiken zu mindern, sollten Unternehmen systematische Verfahren zur Bekämpfung der übermäßigen Offenlegung von Daten einführen, KI-Interaktionen kontinuierlich überwachen, Ergebnisse prüfen und die Zugriffskontrollen verbessern. Die Verwendung eines „am wenigsten permissiven” Zugriffsmodells, bei dem Benutzer nur Zugriff auf Informationen haben, die für ihre Aufgaben relevant sind, wird dringend empfohlen.

Verantwortungsbewusste Einführung von KI

Vor achtzehn Monaten brachte Epiq sein Angebot „Responsible AI and Copilot Readiness” auf den Markt, mit dem Ziel, Unternehmen dabei zu unterstützen, das volle Potenzial von KI auszuschöpfen und gleichzeitig höchste Standards in Bezug auf Datensicherheit und Compliancen. Das Angebot umfasst zehn Schritte, beginnend mit einer Bewertung, der schnellen Bereitstellung von Copilot für die Benutzer in Schritt drei und dem langfristigen Schutz vor übermäßiger Datenexposition in den Schritten vier bis zehn.

Seitdem verzeichnen Rechtsabteilungen ein stark gestiegenes Interesse an KI-Tools, die die Produktivität des gesamten Unternehmens steigern, die Genauigkeit verbessern und neue Arbeitsweisen ermöglichen. Während Unternehmen sich beeilen, diese Technologien einzuführen, ist eines klar geworden: Ohne eine klar definierte Datensicherheitsstrategie überwiegen die Risiken die Vorteile.

Fazit

KI hat das Potenzial, die Arbeitswelt zu verändern, aber nur, wenn sie sorgfältig und bewusst eingesetzt wird. Durch Investitionen in Datenermittlung, Klassifizierung, Benutzerschulungen und proaktiven Schutz können Unternehmen die Vorteile der KI nutzen, ohne die Sicherheit oder Compliance zu beeinträchtigen.

Halten Sie Ausschau nach dem ersten Teil dieser Blogreihe: Strategie, Planung und Klassifizierung.
 

Jon Kessler, Vizepräsident und Geschäftsführer, Information Governance, Epiq

Jon Kessler ist Vizepräsident und Geschäftsführer für Information Governance im Bereich Legal Solutions bei Epiq, wo er ein globales Team leitet, das sich darauf konzentriert, Kunden dabei zu helfen, den Wert von Microsoft Purview durch Responsible AI- und Copilot Readiness-Services zu erschließen. Sein Team berät in einer Vielzahl von Governance- und Compliance-Bereichen, darunter Microsoft Copilot, Datenschutz, Insider-Risiken, Legal Hold, Records Management und M&A-Datenprozesse. Unter seiner Führung wurde das Team als Microsoft Compliance Partner of the Year ausgezeichnet, 2022 und 2024 als Finalist und 2023 als Gewinner.

Seit Jon die Position des VP und GM übernommen hat, hat er die Größe und den Umsatz des Geschäftsbereichs Information Governance verdoppelt und gleichzeitig die Abstimmung mit dem Compliance-Ökosystem von Microsoft vertieft. Mit seinem Hintergrund in digitaler Forensik und eDiscovery hat er über 600 forensische Untersuchungen geleitet, als Sachverständiger vor Bundes- und Landesgerichten fungiert und schult regelmäßig Regierungsbehörden und Fortune-500-Unternehmen in den Bereichen KI, Compliance und Rechtstechnologie.