Verschlusssachen, vier Fragen und Tipps
Einführung
Abschnitt betitelt „Einführung“🎯 Lernziele
- Verstehen, dass Verschlusssachen und personenbezogene Daten separate Kategorien sind
- Wissen, dass du die Informationsklassifizierungsrichtlinie deiner Organisation prüfen musst — nicht nur die Datenschutzregeln
- Mit einer praktischen Checkliste und den Mitteln abschließen, um gängige Mythen richtigzustellen
Wenn Informationen aus anderen Gründen sensibel sind
Abschnitt betitelt „Wenn Informationen aus anderen Gründen sensibel sind“Nicht alle sensiblen Informationen sind personenbezogene Daten. Verschlusssachen — also Informationen, die deine Organisation als eingeschränkt oder vertraulich aus operativen oder sicherheitstechnischen Gründen eingestuft hat — sind eine separate Kategorie.
Beispiele:
- Interne staatliche Beratungen, die nicht veröffentlicht wurden
- Kommerziell sensible Beschaffungsinformationen
- Sicherheitsbezogene Informationen (Bedrohungsanalysen, Infrastruktur-Schwachstellen)
- Informationen, die der Schweigepflicht unterliegen (wie bestimmte Arten von Rechts- oder Medizinberatung innerhalb einer Organisation)
Die DSGVO deckt diese Art von Informationen nicht ab — aber die eigenen Informationssicherheitsrichtlinien deiner Organisation tun es, und in vielen Fällen gilt auch das allgemeine Verwaltungsrecht.
Was das in der Praxis bedeutet
Abschnitt betitelt „Was das in der Praxis bedeutet“Die Informationsklassifizierungsrichtlinie deiner Organisation bestimmt, was in welche Systeme eingegeben werden kann. Selbst wenn ein Assistent technisch für personenbezogene Daten freigegeben ist, kann er für klassifizierte interne Informationen nicht zugelassen sein — und das sind verschiedene Fragen.
Bevor du mit klassifizierten Dokumenten oder sensiblen internen Informationen in einem Assistenten arbeitest — prüfe:
- Welche Klassifizierungsstufe hat deine Organisation dieser Information zugewiesen?
- Was sagt deine IT- oder Informationssicherheitsrichtlinie über die Nutzung von KI-Assistenten mit dieser Klassifizierung?
- Ist der Assistent, den du nutzen möchtest, in einer Umgebung bereitgestellt, die mit dieser Klassifizierung vereinbar ist?
Behandle die Information im Zweifelsfall als sensibler statt als weniger sensibel — und frag nach.
Beispiel: Du verfasst einen Bericht für deine Gemeinde, der auf ein internes Rechtsgutachten verweist, das als “nur für den Dienstgebrauch” gekennzeichnet ist. Ob du das in einem Assistenten-Prompt einbeziehen kannst, hängt von der Klassifizierung sowohl des Dokuments als auch des Assistenten ab — nicht nur von einem der beiden.
Vier Fragen, die du vor dem Start stellen solltest
Abschnitt betitelt „Vier Fragen, die du vor dem Start stellen solltest“Bevor du einen Assistenten mit Daten verwendest, bei denen du nicht ganz sicher bist — geh diese schnell durch:
- Ist dieser Assistent für diese Art von Daten freigegeben? Prüfe die Sicherheitsklassifizierung. Wenn du unsicher bist — frag deinen Administrator.
- Teile ich nur das, was für diese Aufgabe tatsächlich benötigt wird? Überlege, ob du dasselbe Ergebnis mit weniger personenbezogenen Informationen erreichen kannst.
- Trifft hier ein Mensch die endgültige Entscheidung? Wenn die KI-Ausgabe direkt zu einer Konsequenz für eine Person führen wird — stelle sicher, dass ein Mensch prüft und Verantwortung übernimmt.
- Fühlt sich das wie ein neuer Anwendungsfall an? Wenn die Art, wie du den Assistenten verwendest, sich wesentlich vom beabsichtigten Zweck unterscheidet oder sensible Datenkategorien im größeren Maßstab involviert — melde es deiner Datenschutzbeauftragten, bevor du fortfährst.
Tipps und Mythen
Abschnitt betitelt „Tipps und Mythen“Einige Dinge, die du von Kolleginnen und Kollegen hören könntest — und wie du antworten kannst:
“Wenn ein Mensch die Ausgabe prüft, ist alles juristisch in Ordnung.”
Meistens ja — aber die Prüfung muss echt sein. Wenn jemand technisch “in der Schleife” ist, in der Praxis aber nie die KI-Ausgabe ändert oder hinterfragt, werden Aufsichtsbehörden und Gerichte das möglicherweise nicht als bedeutungsvolle menschliche Aufsicht bewerten. Die menschliche Prüferin muss tatsächlich verstehen, was die KI empfohlen hat, und in der Lage sein, anderer Meinung zu sein.
“KI-Assistenten werden auf dem trainiert, was ich eingebe — ich sollte personenbezogene Daten daher vollständig vermeiden.”
Intric verwendet standardmäßig weder deine Prompts noch deine Daten zum Training von KI-Modellen. Deine Daten bleiben deine. Das ist einer der wesentlichen Unterschiede zwischen einer Plattform wie Intric und einem Verbraucher-KI-Produkt. Das bedeutet jedoch nicht, dass alles erlaubt ist — Datenschutzanforderungen gelten unabhängig vom Training.
“Eine DSFA ist ein riesiges Rechtsprojekt — wir können nicht bei jeder KI-Nutzung eine machen.”
Eine DSFA ist nicht bei jeder KI-Nutzung erforderlich. Sie wird durch spezifische Umstände ausgelöst (wie im vorherigen Abschnitt beschrieben). Für viele alltägliche Verwendungen eines Assistenten — Entwürfe erstellen, zusammenfassen, recherchieren — ist keine DSFA erforderlich. Was zählt, ist zu erkennen, wann die Schwelle überschritten wird.
“AI Act und DSGVO sagen dasselbe — ich muss also nur an eine von ihnen denken.”
Sie sind verwandt, aber unterschiedlich. Die DSGVO dient dem Schutz personenbezogener Daten. Der AI Act befasst sich mit der Sicherheit und Vertrauenswürdigkeit von KI-Systemen. Sie zeigen oft in dieselbe Richtung, haben aber unterschiedliche Anforderungen und unterschiedliche Auslöser. Für AI-Act-Verpflichtungen, die speziell für deine Organisation gelten, sieh den AI-Act-Kurs.
Rund um KI und Datenschutz kursieren viele Mythen und Unsicherheiten. Im Zweifelsfall — wende dich an deine Administratorin oder Datenschutzbeauftragte, prüfe die internen Richtlinien deiner Organisation oder lies Primärquellen — du bekommst ein genaueres Bild als von den meisten Online-Zusammenfassungen.
Wissen testen
3 Fragen · 100 % richtig zum Bestehen · Antworten nach Abschluss prüfen