Mit der Verbreitung generativer KI-Tools wie ChatGPT wächst der Trend zur Nutzung privater Accounts solcher Anwendungen im beruflichen Kontext – ein Phänomen, das als Bring Your Own AI (BYOAI) bekannt ist. Mitarbeitende setzen künstliche Intelligenz (KI) zunehmend ein, um ihre Produktivität zu steigern und Aufgaben effizienter zu bewältigen, auch wenn solche Tools nicht durch das Unternehmen bereitgestellt werden.
Doch die Nutzung privater Zugänge für KI-Tools birgt nicht zu unterschätzende Risiken: Ohne unternehmensinterne Regelungen können sensible Informationen an unkontrollierte KI-Plattformen gelangen, was nicht nur Datenschutzbedenken, sondern auch weitere Compliance-Fragen aufwirft.
Was bedeutet Bring Your Own AI?
Bring Your Own AI bezeichnet den zunehmenden Trend, dass Mitarbeitende private KI-Tools in den Arbeitsalltag integrieren. Dies wird schnell problematisch, da solche Anwendungen in der Regel weder von der IT-Abteilung des Unternehmens noch von dem Datenschutzbeauftragten geprüft oder überwacht werden.
Das Phänomen BYOAI ist das Ergebnis mehrerer Entwicklungen:
- Zum einen sind generative KI-Tools wie ChatGPT oder DALL-E mittlerweile auch für private Nutzer leicht zugänglich und in ihrer Effizienz und Anwendung attraktiv.
- Zum anderen stehen viele Unternehmen noch vor der Herausforderung, eigene KI-Lösungen zu entwickeln, einzuführen oder unternehmensinterne KI-Strategien zu etablieren, was dazu führt, dass Mitarbeitende auf selbstgewählte KI-Anwendungen zurückgreifen, um individuelle Arbeitsprozesse zu optimieren.
Eine aktuelle Umfrage des Digitalverbands Bitkom unterstreicht diesen Trend:
- Rund 34 Prozent der Unternehmen in Deutschland berichten, dass ihre Mitarbeitenden private KI-Accounts nutzen, wobei ein beträchtlicher Teil dieser Nutzung unbeaufsichtigt oder ohne klare Richtlinien erfolgt.
- Davon geben vier Prozent der Unternehmen an, dass private KI-Nutzung weit verbreitet sei, 13 Prozent berichten von Einzelfällen, während 17 Prozent annehmen, dass private KI-Zugänge zumindest gelegentlich eingesetzt werden.
Insgesamt stellt BYOAI Unternehmen vor erhebliche Herausforderungen, insbesondere in den Bereichen Datenschutz und Informationssicherheit.
Risiken und Herausforderungen von BYOAI
Die Nutzung privater Zugänge für KI-Tools im Arbeitsumfeld birgt erhebliche Risiken und Herausforderungen, die Unternehmen nicht unterschätzen dürfen. Bei unkontrollierter und unüberwachter Verwendung solcher Anwendungen entstehen insbesondere folgende Problemfelder:
Datenschutz-Risiken
Die Nutzung nicht autorisierter KI-Tools im Unternehmensumfeld kann zu erheblichen Datenschutzrisiken führen, wenn personenbezogene Daten involviert sind.
Auftragsverarbeitungsvertrag und Anforderungen nach Art. 28 DSGVO
In Fällen, in denen mittels der KI-Tools personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden, gelten die Anbieter der KI-Tools in der Regel als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Laut Art. 28 Abs. 1 DSGVO sollte ein Unternehmen nur dann einen Auftragsverarbeiter einsetzen, wenn dieser ausreichende Garantien dafür bietet, dass die Verarbeitung DSGVO-konform erfolgt und angemessene technische und organisatorische Maßnahmen (TOM) implementiert sind. Dies bedeutet, dass ein Unternehmen, das KI-Tools für betriebliche Zwecke nutzt, mit jedem Anbieter solcher Tools einen Auftragsverarbeitungsvertrag (AVV) abschließen muss, der die Anforderungen des Art. 28 Abs. 3 DSGVO und Art. 32 DSGVO erfüllt.
Ein solcher Vertrag muss u.a. explizit regeln, wie die Daten verarbeitet werden, welche Sicherheitsmaßnahmen angewendet werden und dass der Auftragsverarbeiter die Daten nach Beendigung der Verarbeitung zurückgibt oder löscht.
Regelkontrolle und Überwachung der Auftragsverarbeiter
Das datenschutzrechtlich verantwortliche Unternehmen ist verpflichtet, seine Auftragsverarbeiter nicht nur initial, sondern regelmäßig auf die Einhaltung der vertraglich vereinbarten Datenschutzvorgaben zu überprüfen. Dies kann durch Audits erfolgen, die noch relevanter werden, wenn sensible oder große Datenmengen verarbeitet werden.
Drittlandtransfer
Auch müssen Unternehmen sicherstellen, dass der Anbieter der KI-Tools keine Daten in unsichere Drittländer überträgt, ohne dass adäquate Schutzmaßnahmen (etwa Standardvertragsklauseln oder Binding Corporate Rules) implementiert wurden.
Rechtsgrundlage
Ein weiteres Risiko entsteht, wenn eine Verarbeitung personenbezogener Daten mittels eines KI-Tools ohne eine Rechtsgrundlage stattfindet. Für bestimmte Verarbeitungsvorgänge, insbesondere die Übertragung besonderer Kategorien personenbezogener Daten, kann eine Einwilligung der betroffenen Personen notwendig sein.
Werden die KI-Tools im Rahmen von BYOAI jedoch ohne Wissen der IT- oder Datenschutzabteilung genutzt, steigert dies das Risiko, dass die Verarbeitung ohne eine gültige Rechtsgrundlage erfolgt oder dass diese nicht ausreichend dokumentiert ist.
Informationssicherheits-Risiken
Schatten-IT, also die Nutzung nicht autorisierter Anwendungen, stellt eine erhebliche Bedrohung für die Informationssicherheit dar (siehe auch: BYOD). Durch die Einbindung bzw. Nutzung privater KI-Tools besteht das Risiko, dass Unternehmensdaten auf unsichere Weise verarbeitet oder unzureichend geschützt werden. Externe KI-Anwendungen können ein potenzielles Einfallstor für Cyberangriffe und Datenlecks sein, die nicht nur die Vertraulichkeit, sondern auch die Integrität und Verfügbarkeit von Daten gefährden. Der Mangel an Kontrolle über diese Tools macht es bei BYOAI nahezu unmöglich, Sicherheitslücken frühzeitig zu erkennen und zu beheben.
Compliance-Risiken
Unternehmen unterliegen strengen regulatorischen Anforderungen, die nicht nur den Datenschutz, sondern auch die Integrität und Sicherheit betrieblicher Prozesse betreffen. Die Nutzung privater KI-Tools kann gegen interne Richtlinien verstoßen und zu Compliance-Problemen führen, insbesondere wenn Mitarbeitende ohne Wissen der IT-Abteilung auf diese Anwendungen zurückgreifen. Die Einhaltung branchenspezifischer Standards oder Normen, wie etwa ISO 27001, kann durch unkontrolliertes BYOAI erheblich erschwert werden.
In solchen Fällen bewegt sich das Unternehmen rechtlich auf dünnem Eis: Ohne klare Richtlinien für die Nutzung externer KI-Tools besteht die Gefahr, dass die Verantwortlichkeit für die Compliance nicht eindeutig bleibt, was zu unüberschaubaren Haftungsrisiken führen kann. Unternehmen sollten daher nicht nur darauf achten, dass KI-Anwendungen regelkonform eingesetzt werden, sondern auch gezielte Vorgaben entwickeln, die das Risiko einer Schatten-KI minimieren.
Qualitätsrisiken
Die private Nutzung von KI-Tools bringt auch Herausforderungen für die Qualität und Verlässlichkeit der erzeugten Ergebnisse mit sich. Generative KI-Modelle wie ChatGPT liefern nicht immer fehlerfreie oder durchweg präzise Informationen – ein Umstand, der für Unternehmen durchaus riskant sein kann.
Wenn Mitarbeitende solche KI-Tools ohne Prüfung für betriebliche Aufgaben einsetzen, besteht die Gefahr, dass fehlerhafte oder unvollständige Informationen die Basis geschäftlicher Entscheidungen bilden. Dies kann nicht nur die betriebliche Qualitätssicherung beeinträchtigen, sondern auch die Integrität der Arbeitsergebnisse unterminieren und potenziell die Reputation des Unternehmens gefährden.
Daher sollten Unternehmen nicht nur die Qualität der eingesetzten KI-Tools sorgfältig bewerten, sondern auch klare Nutzungsrichtlinien und Beschränkungen etablieren, um die Risiken im Zaum zu halten. Letztlich gilt: KI kann vieles erleichtern – aber nur, wenn sie auf gesicherte Weise und mit Bedacht eingesetzt wird.
Best Practices und Lösungsansätze für BYOAI
Um den Herausforderungen des BYOAI-Trends zu begegnen, sind klare Maßnahmen erforderlich, um den sicheren und regelkonformen Einsatz von KI im Unternehmen ermöglichen. Die folgenden Best Practices bieten konkrete Ansätze, um die Nutzung privater KI-Zugänge zu regulieren:
Entwicklung einer umfassenden KI-Richtlinie
Eine gut konzipierte KI-Richtlinie ist das ideale Fundament für den rechtssicheren und verantwortungsvollen Einsatz von KI-Tools im Unternehmen. Gerade im Kontext von BYOAI ist es wichtig, klare Regeln zu schaffen, die den Rahmen für den Einsatz privater KI-Zugänge durch Mitarbeitende definieren. Vorgaben für BYOAI sollten präzise festlegen, unter welchen Bedingungen private KI-Zugänge für berufliche Zwecke genutzt werden dürfen – und wo die Grenze liegt.
Darüber hinaus muss die KI-Richtlinie verbindliche Prüfprozesse für neue KI-Tools vorsehen. Verarbeiten die eingesetzten KI-Tools personenbezogene Daten, ist beispielsweise vorher der Datenschutzbeauftragte einzubinden. So wird sichergestellt, dass potenzielle Datenschutzrisiken frühzeitig identifiziert und adressiert werden können.
Mit einer klar strukturierten und praxisorientierten KI-Richtlinie schaffen Unternehmen Transparenz und Verlässlichkeit. Mitarbeitende wissen, welche Tools sie nutzen dürfen und welche Anforderungen an Informationssicherheit und Datenschutz erfüllt sein müssen.
Sensibilisierung der Mitarbeitenden
Um die Risiken von BYOAI zu senken und eine sichere und verantwortungsvolle Nutzung von KI-Tools im Unternehmen zu fördern, ist das Bewusstsein der Mitarbeitenden der Schlüssel zum Erfolg. Wenn sie die Risiken und Vorteile im Umgang mit KI verstehen, können sie die Richtlinien nicht nur einhalten, sondern auch aktiv mitgestalten. Daher sind gezielte Schulungen und Sensibilisierungsmaßnahmen unverzichtbar. Zugleich können Mitarbeitende mit Skepsis gegenüber dem Einsatz von KI-Tools durch ein aktives KI-Change-Management an Bord geholt werden.
Aufbau einer soliden KI-Governance und Benennung eines KI-Beauftragten
Eine solide KI-Governance bildet darüber hinaus den Rahmen für den sicheren und verantwortungsvollen Einsatz von KI-Tools im Unternehmen. Sie ist entscheidend, um rechtliche Vorgaben einzuhalten und die Nutzung von KI transparent und kontrolliert zu gestalten. Dazu gehört, u.a. klare Verantwortlichkeiten festzulegen: Die Benennung einer zuständigen Person wie etwa eines KI-Beauftragten stellt sicher, dass eine zentrale Person die Überwachung und Einhaltung der KI-Richtlinien sowie der gesetzlichen Vorgaben des AI Acts übernimmt, regelmäßig Berichte über den Status und die Sicherheit der eingesetzten KI-Anwendungen erstellt und das Management über neue Risiken informiert.
Fazit
Unternehmen sind damit konfrontiert, einem wachsenden Bedürfnis nach KI-Nutzung im Arbeitsalltag ihrer Mitarbeitenden entgegenzukommen und zugleich die notwendigen Vorkehrungen vorzunehmen, um die rechtlichen Anforderungen einzuhalten.
Zukünftig wird der Bedarf an klaren Vorgaben für neue Technologien wie KI weiter steigen. BYOAI ist nur ein erster Hinweis darauf, wie sich Arbeitsweisen entwickeln und mit ihnen die Herausforderungen für Datenschutz und Compliance.
Eine umfassende KI-Governance, die sich flexibel an technische Neuerungen anpasst, wird essenziell sein, um auch in den kommenden Jahren verantwortungsbewusst und rechtskonform mit KI umzugehen. Unternehmen, die heute in ein solides Fundament für den Umgang mit BYOAI investieren, sind bestens aufgestellt, um den technologischen Wandel nicht nur zu bewältigen, sondern aktiv zu gestalten.