Frolopiaton Palm | Freepik
Kommt Ihnen das bekannt vor? Ein Mitarbeiter soll eine Präsentation zur Geschäftsplanung erstellen. Er pickt sich ein leistungsstarkes KI-Tool aus dem Web, lädt die Zahlenkolonnen und die Namen der Kostenstelleninhaber und voilà! Das Ergebnis kann sich sehen lassen, und das in Rekordzeit.
Risiken der Schatten-IT
Doch während diese Schatten-IT auf den ersten Blick die Effizienz steigert, lauern im Verborgenen massive Risiken: Datenschutzverletzungen und die Gefährdung sensibler Geschäftsgeheimnisse. Denn, der eben beschriebene Slide Generator, aber insbesondere die leistungsstarken Sprachmodelle auf Basis von neuronalen Netzwerken wie GPT, stammen aus den USA. Somit ist der direkte Einsatz dieser sogenannte Large Language Modelle (LLM) in Unternehmen aus Datenschutzgründen nicht ohne weiteres zulässig.
Es gibt zwar Ausnahmen für Anwendungsfälle, bei denen keine personenbezogenen Daten zum Einsatz kommen, aber Abweichungen zu erkennen und entsprechend zu handeln, ist schwierig bis unmöglich. Deshalb aber die KI-Technologien zu ignorieren oder zu verbieten ist keine Option.
Notwendigkeit einer KI-Strategie
Die KI-Entwicklung und deren Tools sollten vorausschauend in einer KI-Strategie eingebunden werden. Auch wenn das mit erheblichen Herausforderungen, insbesondere im Bereich Datenschutz und Informationssicherheit verbunden ist, so ist es durchaus beherrschbar.
Welche konkreten Maßnahmen lassen sich also ergreifen, um die Nutzung von Microsoft Copilot sowohl datenschutzkonform als auch effizient zu gestalten?
Microsoft 365 Copilot liefert benutzerspezifische Antworten
Microsoft 365 Copilot ist ein KI-gestütztes Produktivitätstool, das die Nutzer bei ihren täglichen Aufgaben innerhalb der Microsoft 365-Applikationen unterstützt. Um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren, nutzt Copilot eine Kombination aus LLMs, einem KI-Algorithmus, Deep Learning-Techniken und umfangreichen Datensätzen. Es gibt vortrainierte Modelle in den LLMs, wie zum Beispiel GPT-4 von OpenAI. Im Gegensatz zu generischen Modellen wie GPT oder Gemini, kann Copilot durch den Echtzeitzugriff auf die Daten der jeweiligen Kunden aus Microsoft Graph benutzer-, unternehmensspezifische und kontextbezogene Antworten liefern.
Daten bleiben innerhalb der EU
Ein datenschutzkonformer Einsatz von Microsoft wird aber erst durch weitere Mechanismen möglich. Microsoft hat sich verbindlich verpflichtet, für europäische Kunden klare Datengrenzen einzuhalten, sodass die Daten der europäischen Nutzer innerhalb der EU bleiben. Seit dem 1. März 2024 ist Microsoft 365 Copilot also offiziell als abgedeckter Workload in den Microsoft Produktbedingungen aufgenommen.
Sicherheit durch Berechtigungsmodelle
Das Berechtigungsmodell in Microsoft 365 kann gewährleisten, dass keine Daten ungewollt zwischen Benutzern, Gruppen und Kunden weitergegeben werden. So zeigt Microsoft 365 Copilot ausschließlich Daten an, auf die jeder einzelne Nutzer tatsächlich zugreifen kann und nutzt dabei dieselben Steuerelemente, die auch in anderen Microsoft 365-Diensten zum Einsatz kommen.
Mitarbeiterschulungen notwendig
Das sind zwar notwendige, aber noch keine hinreichenden Maßnahmen. Deshalb braucht es Schulungen und Sensibilisierung der Mitarbeitenden, passende technische und organisatorische Maßnahmen (TOM), Durchführung einer Datenschutzfolgeabschätzungen und die Nutzung von Sensibilitäts-Labels von Microsoft Purview Information Protection - um nur einige der wichtigsten Punkte zu nennen.
the style is candid image with natural 53663 | Freepic
Lokale LLMs und deren Herausforderungen
Das zweite Szenario dreht sich um lokal betriebene LLMs. Das bekannteste Sprachmodell ist GPT von OpenAI. Es handelt sich dabei um ein Foundation Model, das mit enormen Textmengen trainiert wurde, um natürliche Sprache zu verarbeiten. Diese Modelle lernen Texte fortzusetzen, indem sie statistische Beziehungen zwischen Wörtern herstellen und so ein Verständnis für Syntax, Semantik und Ontologie der Sprache entwickeln. Das Training und der Betrieb solcher Modelle kosten Milliarden - nichts, was man einfach in einem Unternehmensnetzwerk aufbauen kann.
Smarte Alternativen zu GPT
Aber es geht noch smarter. Mit Llama (Meta), Mistral oder Phi (Microsoft) gibt es Large Language Modelle, die ebenfalls auf der Transformer-Architektur aufsetzen. Deren Nutzung ist (fast) kostenfrei; das beinhaltet auch den kommerziellen Einsatz unter der Community License. Im Vergleich zu GPT sind diese Modelle geradezu winzig und laufen auf "unternehmenstypischer" Hardware. Diese kompakten generativen Sprachmodell könne datenschutzkonform eingesetzt werden. Sie schützen sensible Daten, indem sie im eigenen Netzwerk oder in der Cloud eines abgeschirmten Mandanten bereitgestellt werden. Das bedeutet volle Kontrolle und kein Abfluss der Daten in ein Nicht-EU-Land.
Effizienz durch gezieltes Fine-Tuning
Da diese Modelle gezielt mit relevanten Daten gefüttert werden (Fine-Tuning), liefern sie für spezielle Aufgaben oftmals zuverlässigere Ergebnisse als die Foundation Models. Mit einem vorgeschalteten Chatbot entstehen daraus leistungsfähige Assistenten für den Kundenservice oder zur Optimierung internen Abläufe.
Fazit
Der Schlüssel liegt also nicht darin, ob KI genutzt wird, sondern wie sie genutzt wird – verantwortungsbewusst, datenschutzkonform und zielgerichtet.
COC AG