Fragen und Antworten zum Thema Datensicherheit im Umgang mit generativer KI.

Die zunehmende Integration von künstlicher Intelligenz (KI) in Unternehmen bringt sowohl immense Chancen als auch erhebliche Herausforderungen mit sich. KI unterstützt beim Schreiben von Mails, beim Zusammenfassen großer Datenmengen, beim Abarbeiten repetitiver Aufgaben und vielem mehr.  Auch in der Technischen Kommunikation lassen sich viele Aufgaben von der Recherche bis zur Übersetzung KI-gestützt optimieren. Im Kontext der Technischen Redaktion sind normative Anforderungen hoch und die Arbeit mit sensiblen Daten an der Tagesordnung. Daher ist es besonders wichtig, die Aspekte der Datensicherheit in KI-Anwendungen zu verstehen und zu berücksichtigen.

Ich möchte an dieser Stelle weder einen wissenschaftlichen Beitrag zu dem Thema leisten noch eine juristische Beratung geben. Vielmehr möchte ich auf Fragen eingehen, die mich in meiner praktischen Arbeit immer wieder erreichen, gestellt von Kolleginnen, Kollegen und unseren Kunden.

1. Wie kann ich generative KI für meine Arbeit nutzen?

Am 30.11.2022 erschien mit ChatGPT die erste kostenlos und intuitiv nutzbare KI. Bereits in den ersten Tagen nach der Veröffentlichung überschritten die Zugriffszahlen die Millionenmarke. Heute, nur eineinhalb Jahre später, stehen zahlreiche intelligente Assistenten, Sprachmodelle und Tools für die verschiedensten Aufgaben zur Verfügung. Ob ChatGPT, Dall-E oder CoPilot – KI wird inzwischen täglich genutzt und ist bei einigen Unternehmen bereits fest in Arbeitsabläufen integriert.

Neben den bekannten Chat-Lösungen kann generative KI in eigene Software-Produkte und Prozesse integriert werden. So arbeiten beispielsweise verschiedene Hersteller von Redaktionssystemen und weiterer Software für die Technische Redaktion daran, ihre Produkte um KI-Tools zu erweitern. Und auch bekannte Anbieter wie Adobe oder Dienste wie Deepl und Canva ermöglichen es jedem, KI-Funktionen auszuprobieren – und deren Grenzen zu testen.

Last but not least kann generative KI auch auf gehosteten Servern oder eigener Infrastruktur betrieben werden. Diese Variante bietet die höchste Datensicherheit und Anpassungsfähigkeit an spezifische Bedürfnisse. Sie birgt allerdings auch die größten Herausforderungen: von hohen Betriebskosten über die notwendigen Fachkenntnisse zur Implementierung bis hin zu einem umfassenden Cybersecurity-Konzept.

2. Was passiert mit meinen Daten in cloudbasierten KI-Plattformen?

KI in der Cloud = Daten geklaut? So plakativ ist es zum Glück nicht. Die Nutzungsbedingungen der meisten Anbieter unterscheiden zwischen kostenloser und bezahlter Nutzung. Bei kostenloser Nutzung werden eingegebene Daten meist weiterverwendet – etwa zum Trainieren neuer Modelle oder durch Weitergabe an dritte. Vertrauliche Daten sollten in kostenlosen Services daher besser nicht preisgegeben werden. Bezahlte Cloud-Services sichern im Regelfall zu, dass ich sämtliche Rechte an meinen Daten und der erzeugten Antwort behalte. Außerdem werden meine Daten nicht weitergenutzt. In jedem Fall ist es ratsam, den AGB bzw. Terms of Use einen aufmerksamen Blick zu schenken und nicht einfach nur auf „akzeptieren“ zu klicken.

3. Worauf muss ich bei der Nutzung von KI im Business-Umfeld achten?

Wie aus der letzten Antwort hervorgeht, ist im Business-Umfeld ein bezahlter Service der übliche Zugriff auf generative KI. In den Nutzungsbedingungen sollte ich auf Folgendes achten:

  • Ich behalte alle Rechte am In- und Output.
  • Meine Daten werden nicht weiterverwendet oder dauerhaft gespeichert.
  • Meine Daten werden ausschließlich in der von mir festgelegten geografischen Region verarbeitet.
  • Die genutzten Services sind nach den üblichen Sicherheitsstandards zertifiziert (CSA, ISO).

Wenn ich einen Server mit der notwendigen Hardware miete, wird die Verantwortung für die Datensicherheit zwischen mir und dem Provider geteilt. Diese Aufteilung kann ich individuell an meine Bedürfnisse anpassen.

Betreibe ich die KI lokal, muss ich sämtliche Regeln und Maßnahmen zur Datensicherheit selbst umsetzen.

4. Lernt die KI durch meine Daten selbst dazu?

Obwohl es gern so dargestellt wird, generative KI-Modelle lernen nicht automatisch durch bloße Nutzung. Auch diese Modelle müssen explizit trainiert oder verbessert werden. Dafür gibt es verschiedene Methoden wie z. B. Fine-Tuning. Hiermit lassen sich allgemeine (vortrainierte) Modelle durch zusätzliche, spezifische Daten auf eine bestimmte Aufgabe anpassen.

Bei Nutzung eines bezahlten Services ist im Regelfall ausgeschlossen, dass meine Daten für das weitere Training genutzt werden.

5. Kann ich KI-generierte Inhalte einfach nutzen oder sind diese z. B. urheberrechtlich geschützt?

Fragen im Kontext von KI und Urheberrecht beschäftigen Rechtsexperten schon einige Zeit – und werden dies sicher noch lange tun. Wie eingangs gesagt, kann und möchte ich in diesem Artikel keine Rechtsberatung geben. Das Thema ist in seiner vielfältigen Ausprägung aber beachtenswert, insbesondere durch den Einsatz im beruflichen Umfeld.

Durch Modellinversion, also durch gezieltes Fragen, kann die KI dazu gebracht werden, Trainingsdaten in der Antwort zu rekonstruieren.  Unter anderem auf diese Weise konnte in der Vergangenheit wiederholt nachgewiesen werden, dass generative KI mit rechtlich geschützten Daten trainiert worden ist.

Somit kann es passieren, dass eine mir von der KI gegebene Antwort auch unwissentlich geschütztes Material enthält. Ob oder welche rechtlichen Konsequenzen das zukünftig vielleicht einmal hat, ist schwer zu beurteilen. Dies im Hinterkopf zu behalten, kann meiner Meinung nach aber nicht schaden.

Empfehlenswert ist hierzu ein sehr ausführlicher Artikel von Rechtsanwalt Maximilian Vonthien, der zudem auf die Frage nach der Urheberschaft von KI-Kunstwerken blickt.

6. Hat der „AI-Act“ der EU Einfluss auf die Arbeit in der Technischen Redaktion?

Der Artificial Intelligence Act (AIA) der EU gilt als erstes „KI-Gesetz“ weltweit. Diese Verordnung wurde im Mai 2024 beschlossen. Sie regelt den Einsatz und die Entwicklung von künstlicher Intelligenz. KI-Systeme werden darin in vier Risikostufen eingeteilt: geringes, mittleres, hohes und unakzeptabel hohes Risiko. In der höchsten Risikostufe – und damit nicht erlaubt – sind etwa Anwendungen, deren Ziel es ist, soziales Verhalten zu bewerten oder Menschen zu beeinflussen.

Diese Verordnung bringt hohe regulatorische und administrative Anforderungen für Anbieter und Nutzer – und damit auch für alle Unternehmen, die KI nutzen wollen – mit sich. Kritiker befürchten sogar, dass strenge Vorschriften in Europa für den KI-Bereich zu Nachteilen im globalen Wettbewerb führen könnten.

Unternehmen müssen u. a. die genutzten KI-Systeme in die definierten Risikokategorien einordnen und sicherstellen, dass Mitarbeiterinnen und Mitarbeiter im Umgang mit generativer KI und den damit verbundenen Risiken geschult werden. Nutzung von KI muss den gesetzlichen Anforderungen entsprechend dokumentiert und regelmäßig bewertet werden, um nur einige Punkte zu nennen. Die hohen Anforderungen in Bereichen wie Risikomanagement, Konformität, Zertifizierung, Transparenz, Datenschutz und Schulung werden auch in den Technischen Redaktionen Auswirkungen haben.

Zwei Lesetipps: Der EU AI Act Compliance Checker kann helfen, zu erfahren, welche Bedingungen für den Einsatz von generativer KI für ein Projekt gelten. Einen guten Überblick gibt der Artikel der Wirtschaftsprüfungsgesellschaft KPMG auf die Frage, was der AI-Act für Unternehmen bedeutet.

Fazit: Sind nun alle Sicherheitsbedenken ausgeräumt?

Vor dem Einsatz generativer KI gibt es einige Fragen zu klären – sowohl bei der beruflichen als auch der privaten Nutzung. Die Nutzungsbedingungen des Anbieters zu prüfen, ist in jedem Fall essenziell. Vertrauliche Dokumente kann ich nur dann in einem KI-System nutzen, wenn alle Sicherheitsfragen zufriedenstellend beantwortet werden können.

Der Zugang zu generativer KI lässt sich in drei Gruppen einteilen:

  • Cloud-Service: Ich bin auf die Zusagen zur Datensicherheit des Anbieters angewiesen.
  • Gehosteter eigener Service: Datensicherheitsthemen werden zwischen dem Provider und mir aufgeteilt.
  • Service auf eigener Infrastruktur: Ich bin für die Datensicherheit selbst verantwortlich.

Welches Szenario für einen spezifischen Anwendungsfall geeignet ist, hängt von der Sensibilität der Daten, den eigenen Anforderungen an die Datensicherheit und weiteren Randbedingungen ab. Gerne beraten wir Sie, um gemeinsam eine sichere Lösung für Ihr Projekt zu finden!

Wenn Sie mehr über Einsatzmöglichkeiten von KI in der Technischen Dokumentation erfahren möchten, schauen Sie doch mal in den Artikel meiner Kollegin Lara Grimminger über Prompt Engineering in der Redaktion oder den von Brigitte Großmann über Terminologie-Management mit KI.

Chat mit KI Prompt Engineering Artikelbild KI-Support Terminologie