Industrie

Wohin Ihre Unternehmensdaten gehen, wenn Sie AI nutzen: eine klare Antwort für den Vorstand

Vincent Wahidi
Vincent Wahidi · 5 Min. Lesezeit
Wohin Ihre Unternehmensdaten gehen, wenn Sie AI nutzen: eine klare Antwort für den Vorstand

Wenn Ihr Team AI verwendet, werden Ihre Daten überall dort gespeichert, wo das Modell ausgeführt wird. Bei einem gehosteten öffentlichen Dienst (der Verbraucherversion eines Chatbots) werden Eingabeaufforderungen und alle von Ihnen eingefügten Dateien auf die Server des Anbieters übertragen. Auf Verbraucherebene können sie beibehalten und zum Trainieren zukünftiger Modelle verwendet werden, sofern Sie dies nicht deaktivieren. Bei einer Unternehmens- oder Privatbereitstellung bleiben die Daten innerhalb einer vertraglich vereinbarten Grenze. Sie werden zur Beantwortung Ihrer Anfrage verarbeitet, nicht für Schulungszwecke aufbewahrt und können zur Speicherung an EU-Rechenzentren angeheftet werden. Die einzige Frage, die über Ihre Gefährdung entscheidet, ist, ob der Vertrag besagt, dass unsere Ein- und Ausgänge niemals zum Trainieren der Modelle des Anbieters verwendet werden und wo sie physisch gespeichert werden. Wenn Sie dies schriftlich besprechen, werden die meisten Bedenken hinsichtlich des Datenschutzes von AI auf Vorstandsebene in eine normale Auftragsvergabe umgewandelt.

Wohin gehen unsere Daten eigentlich, wenn wir AI verwenden?

Es hängt davon ab, welches der drei Muster Sie verwenden.

Ein öffentlicher Verbraucherdienst sendet Ihre Aufforderung über das Internet an den Anbieter, generiert eine Antwort und sendet sie zurück. Auf den kostenlosen und persönlichen Ebenen können diese Inhalte protokolliert, von Personen auf ihre Qualität überprüft und in zukünftige Schulungen eingespeist werden, sofern Sie sich nicht abmelden.

Eine Geschäfts- oder Unternehmensebene desselben Dienstes sendet Daten an dieselbe Art von Infrastruktur, allerdings unter einem Vertrag, der in der Regel die Schulung Ihrer Daten verbietet, die Aufbewahrung begrenzt und eine Region für die Speicherung anbietet.

Bei einer privaten oder selbstgehosteten Bereitstellung wird das Modell in Ihrem eigenen Cloud-Konto oder einem dedizierten Mandanten ausgeführt. Daten überschreiten diese Grenze keineswegs. Dies ist die am besten kontrollierte Option und in der Regel auch die teuerste im Betrieb.

Die Technologie ist bei allen dreien ähnlich. Der Vertrag und die Bereitstellung, nicht das Modell, entscheiden darüber, wo Ihre Daten gespeichert sind.

Was bedeutet Schulung zu Ihren Daten und sollte sich der Vorstand Sorgen machen?

Durch die Schulung Ihrer Daten behält der Anbieter Ihre Eingabeaufforderungen und Uploads bei und nutzt sie als Beispiele, um das Modell zu verbessern, das auch im Rest der Welt verwendet wird. Die Sorge ist zweifach. Eine zukünftige Version des Modells könnte Fragmente sensibler Eingaben ans Licht bringen und Ihr vertrauliches Material hat Ihre Kontrolle für einen Zweck verlassen, den Sie nicht beabsichtigt haben.

Für eine einzelne verfasste E-Mail ist das ein geringer Einsatz. Bei Verträgen, Patientenakten, Gehaltsabrechnungen, Quellcode oder allem, was unter GDPR oder eine Vertraulichkeitsklausel fällt, ist dies ein echtes Problem, da Einwilligung und Zweckbindung gesetzliche Pflichten und keine Präferenzen sind.

Die Antwort ist nicht, AI zu verbieten. Es geht darum, sensible Arbeiten an eine Ebene weiterzuleiten, die Schulungen und menschliche Überprüfungen vertraglich ausschließt. Seriöse Unternehmensebenen tun dies standardmäßig. Bestätigen Sie es, anstatt es anzunehmen.

Können unsere Daten in der EU bleiben und ist der Wohnsitz gleichbedeutend mit der Einhaltung?

Ja, ein Wohnsitz ist möglich, aber er ist eher notwendig als ausreichend.

Die meisten großen Anbieter bieten mittlerweile eine EU-Datenresidenz an, was bedeutet, dass die Daten in europäischen Regionen verarbeitet und gespeichert werden. Für ein Unternehmen, das europäische personenbezogene Daten verarbeitet, entfällt damit eine der schwierigeren GDPR-Fragen, nämlich die Rechtsgrundlage für internationale Übermittlungen, und es steht natürlich neben den Verpflichtungen, die das [EU-AI-Gesetz Unternehmen, die AI versenden] auferlegt (/blog/the-eu-ai-act-what-it-actually-means-for-businesses-shipping-ai).

Der Wohnsitz allein macht Sie nicht fügsam. Sie benötigen weiterhin eine Datenverarbeitungsvereinbarung, eine klare Rechtsgrundlage, Aufbewahrungsgrenzen und eine Aufzeichnung darüber, welche Systeme personenbezogene Daten verarbeiten. Die Wohnsitzbehörde antwortet wo, nicht ob es Ihnen erlaubt war. Behandeln Sie es als eine Kontrolle unter mehreren, nicht als die gesamte Antwort.

Was sollten wir einen AI-Anbieter vor der Unterzeichnung fragen?

Eine kurze schriftliche Liste regelt das meiste.

Frage Wie eine sichere Antwort klingt
Trainieren Sie Ihre Modelle anhand unserer Eingaben oder Ausgaben? Nein, nicht auf Unternehmensdaten, standardmäßig und im Vertrag.
Wie lange werden unsere Daten aufbewahrt? Ein angegebenes, kurzes Zeitfenster (oft 0 bis 30 Tage für die Missbrauchsüberwachung), das dann gelöscht wird.
Wo werden unsere Daten verarbeitet und gespeichert? Eine benannte Region mit EU-Wohnsitz möglich.
Überprüfen die Leute unsere Eingabeaufforderungen? Nur mit Zustimmung oder niemals auf geschäftlicher Ebene.
Werden Sie eine DPA unterzeichnen und als Auftragsverarbeiter fungieren? Ja, mit aufgeführten Unterauftragsverarbeitern.
Was passiert mit unseren Daten, wenn wir gehen? Gelöscht in einem definierten Zeitrahmen, mit Bestätigung.

Wenn ein Anbieter diese Fragen nicht eindeutig beantworten kann, ist das selbst die Antwort. Die gleiche Disziplin, die Halluzinationen aus einer Dokumentenpipeline fernhält, nämlich genau zu wissen, was das System tut und es zu beweisen, gilt auch für den Speicherort der Daten. Herauszufinden, welche Stufe zu welcher Aufgabe passt, und die benötigten Vertragsbedingungen zu EU-Wohnsitz und Ausbildungsverbot festzulegen, ist Teil unserer Arbeit im Bereich AI-Beratung.

Das praktische Mitbringsel für die Tafel

Um dies gut zu beherrschen, ist keine umfassende technische Einweisung erforderlich. Sie müssen wissen, welche Stufe jedes AI-Tool verwendet, ob sein Vertrag Schulungen zu Ihren Daten ausschließt, wo diese Daten gespeichert werden und wer Eigentümer der Datenverarbeitungsvereinbarung ist. Sensible Arbeiten gehören zu einem Unternehmens- oder Privateinsatz mit EU-Wohnsitz und einer Ausbildungsverbotsklausel. Arbeiten mit geringem Einsatz können auf einfacheren Ebenen erfolgen. Notieren Sie sich den Bestand, weisen Sie einen Eigentümer zu und sehen Sie sich den Bestand noch einmal an, wenn ein neues Werkzeug erscheint. Bei den meisten AI-Datenrisiken handelt es sich nicht um ein Technologieproblem. Es handelt sich um ein Beschaffungs- und Governance-Problem, von dem Sie bereits wissen, wie man es löst.

Vincent Wahidi

Autor

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Als Nächstes lesen

AI-Governance für mittelständische Unternehmen: die leichte Version, die trotzdem Bestand hat

Haben Sie ein Problem, das es zu lösen lohnt?

Sagen Sie uns, was Sie bauen oder reparieren. Wir antworten innerhalb eines Werktags mit einem klaren nächsten Schritt.