kostenloses Infopaket anfordern

Kategorie: KI

  • KI in Microsoft 365 für Betriebsräte: Kurzansicht und Quick Wins

    KI in Microsoft 365 für Betriebsräte: Kurzansicht und Quick Wins

    Microsoft 365 ist längst nicht mehr nur Office. In nahezu jedem Baustein steckt heute Künstliche Intelligenz: in Copilot, in Viva, in Purview und in Windows Recall. Diese Funktionen verarbeiten personenbezogene und verhaltensbezogene Daten von Beschäftigten, oft ohne dass der Betriebsrat davon erfährt. Diese Kurzansicht gibt Ihnen einen schnellen Überblick und konkrete erste Schritte. Sie ist eine fachliche Einordnung und keine Rechtsberatung.

    Die gute Nachricht: Fast alles davon ist mitbestimmungspflichtig, abschaltbar oder regelbar. Sie haben als Betriebsrat einen starken Hebel, wenn Sie ihn rechtzeitig ansetzen.

    Die Funktionen, die Sie am meisten betreffen

    Die heiklen Funktionen sind nicht die offensichtlichen Schreibhilfen, sondern die unauffälligen Auswertungen im Hintergrund. Sechs davon sollten Sie kennen.

    Das Risiko-Scoring in Microsoft Purview (Insider Risk Management) bewertet jede Aktivität eines Mitarbeiters und vergibt eine individuelle Risikopunktzahl. Das ist Profiling in Reinform. Der intelligente Rückblick in Teams wertet aus, wer wie lange spricht und mit welcher Stimmung. Windows Recall macht auf neuen Geräten alle paar Sekunden einen Screenshot des Bildschirms und hält ihn durchsuchbar. Die KI in Viva wertet über das Copilot Dashboard, die Stimmungsanalyse in Glint und automatisch erzeugte Kompetenzprofile die Nutzungs-, Stimmungs- und Skill-Daten der Belegschaft aus. Autonome Agenten verarbeiten selbsttätig Mitarbeiterdaten und lösen Aktionen aus. Und Copilot Chat zeigt in Verbindung mit dem Nutzungsprotokoll, wer wie intensiv mit KI arbeitet.

    Dazu kommt eine Datenschutzfrage. Seit 2026 stehen in Copilot auch Modelle von Anthropic (Claude) bereit, die außerhalb der EU verarbeiten, anders als die OpenAI-Modelle innerhalb der EU Data Boundary. Für Kunden in der EU sind sie zunächst abgeschaltet, lassen sich aber per Verwaltungseinstellung aktivieren.[1] Die vollständige Liste aller betroffenen Dienste und Funktionen finden Sie im begleitenden Inventar.

    Ihre Rechte in Kürze

    Praktisch jede dieser Funktionen ist objektiv geeignet, Verhalten oder Leistung zu überwachen. Damit greift in der Regel die erzwingbare Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, und zwar bei der Einführung wie bei der Anwendung. Auf eine Überwachungsabsicht des Arbeitgebers kommt es nicht an. Es genügt, dass die Funktion dafür geeignet ist.

    Drei weitere Hebel sind besonders nützlich. Nach § 90 BetrVG muss der Arbeitgeber Sie schon in der Planung rechtzeitig unterrichten und die Sache mit Ihnen beraten. Nach § 80 Abs. 3 BetrVG können Sie bei KI einen Sachverständigen hinzuziehen. Seit der Reform von 2021 gilt das bei KI als erleichtert erforderlich, und die Kosten trägt der Arbeitgeber. Nach § 80 Abs. 1 und 2 BetrVG haben Sie einen umfassenden Anspruch auf Auskunft und Einsicht, auch in die Datenschutz-Folgenabschätzung.

    Quick Wins: Was Sie sofort tun können

    Diese acht Schritte lassen sich ohne große Vorbereitung anstoßen und später in einer Betriebsvereinbarung sauber ausformulieren.

    1. Verlangen Sie schriftlich, dass keine KI-Funktion (Copilot, Viva Insights, Recall und weitere) ohne vorherige Betriebsvereinbarung aktiviert oder ausgerollt wird. Mitbestimmungswidrig eingeführte Maßnahmen sind individualrechtlich angreifbar.

    2. Fordern Sie eine vollständige Unterrichtung: eine Liste der aktivierten KI-Funktionen, der Datenflüsse, der eingeschalteten Protokolle und den Zeitplan.

    3. Ziehen Sie einen Sachverständigen nach § 80 Abs. 3 BetrVG hinzu, der die tatsächliche Konfiguration im System prüft. Was im Prospekt steht und was eingestellt ist, sind zwei verschiedene Dinge.

    4. Fordern Sie die Datenschutz-Folgenabschätzung an und nehmen Sie Einsicht. Bei KI mit Beschäftigtendaten ist sie fast immer erforderlich.

    5. Bestehen Sie auf dem Grundsatz, im Zweifel abgeschaltet. Kritische Auswertungen wie personenbezogene Berichte, der Blick auf Einzelpersonen oder die Sprecherauswertung bleiben aus, bis eine Vereinbarung steht.

    6. Sichern Sie sich gegen Re-Identifizierung ab: verbindliche Mindestgruppengrößen und das Verbot, in Auswertungen bis auf einzelne Personen herunterzugehen.

    7. Klären Sie die Frage der Datenverarbeitung im Ausland. Lassen Sie dokumentieren, ob die Anthropic-Modelle und Flex Routing aktiv sind, und prüfen Sie, ob sie abgeschaltet werden sollen.

    8. Organisieren Sie eine Schulung für das Gremium nach § 37 Abs. 6 BetrVG. KI-Kompetenz ist die Voraussetzung, um auf Augenhöhe zu verhandeln.

    Drei rote Linien

    Drei Dinge sollten ohne klare Regelung gar nicht erst laufen. Keine verdeckte Kontrolle von Leistung oder Verhalten durch Auswertungen, die als reine Produktivitätsanalyse ausgegeben werden. Keine automatisierten Personalentscheidungen ohne eine echte menschliche Letztentscheidung, denn ein bloßes Abnicken eines KI-Vorschlags reicht nach Art. 22 DSGVO nicht. Und keine ungeprüfte Übernahme von KI-Ergebnissen in Personalakten oder Entscheidungen, denn KI kann sachlich falschliegen.

    Fragebogen für das Erstgespräch

    Mit diesen Fragen gehen Sie vorbereitet in das erste Gespräch mit dem Arbeitgeber oder in eine Beratung. Sie helfen, in kurzer Zeit den Stand zu klären und die wichtigsten Lücken zu finden.

    FrageWorauf es ankommt
    Welche KI-Funktionen in Microsoft 365 sind in unserem Haus bereits aktiviert?Verschafft den Überblick. Häufig ist mehr aktiv, als im Gremium bekannt ist.
    Wer hat die Einführung geplant, und wurden wir nach § 90 BetrVG rechtzeitig unterrichtet?Klärt, ob das Beteiligungsrecht gewahrt wurde.
    Gibt es bereits eine Betriebsvereinbarung zu KI oder zu Microsoft 365?Zeigt, ob eine Grundlage besteht oder neu verhandelt werden muss.
    Liegt eine Datenschutz-Folgenabschätzung vor, und dürfen wir sie einsehen?Bei KI mit Beschäftigtendaten ist sie in der Regel Pflicht.
    Werden Auswertungen wie Insider-Risk-Scoring, Teams-Sprecherauswertung oder Viva-Insights genutzt?Das sind die mitbestimmungskritischsten Funktionen.
    Werden Daten auf einzelne Personen heruntergebrochen, oder gibt es Mindestgruppengrößen?Entscheidet über das Risiko der Re-Identifizierung.
    Sind die Anthropic-Modelle oder Flex Routing aktiv, also eine Verarbeitung außerhalb der EU?Wichtig für Drittlandtransfer und Betriebsvereinbarung.
    Ist Windows Recall auf den Geräten freigeschaltet?Lückenlose Bildschirmaufzeichnung ist die weitreichendste Einzelfunktion.
    Werden KI-Ergebnisse in Personalentscheidungen genutzt, und entscheidet am Ende ein Mensch?Berührt das Verbot rein automatisierter Entscheidungen.
    Welche Protokolle laufen mit, wer darf sie einsehen, und zu welchem Zweck?Klärt, ob aus Sicherheitsprotokollen eine verdeckte Leistungskontrolle werden kann.
    Können wir einen Sachverständigen hinzuziehen, und übernimmt der Arbeitgeber die Kosten?Nach § 80 Abs. 3 BetrVG bei KI erleichtert möglich.
    Wie werden wir über künftige Updates und neue Funktionen informiert?Cloud-Funktionen ändern sich laufend, eine einmalige Regelung reicht nicht.

    Möchten Sie KI in Microsoft 365 rechtssicher und reibungslos einführen?

    Sichern Sie sich unser kostenloses Expertenpaket für Datenschutz und Betriebsrat. Sie erhalten praxisnahe Leitfäden und Vorlagen direkt per Download – komplett unverbindlich. Jetzt kostenloses Expertenpaket anfordern ➔

    Über improve it

    Die improve it GmbH mit Sitz in Weingarten bei Karlsruhe begleitet Unternehmen und Betriebsräte beim Datenschutz, bei der Informationssicherheit und beim Compliance-konformen Betrieb von Microsoft 365. Wir stellen zertifizierte externe Datenschutzbeauftragte, führen interne Audits durch und bewerten mit dem M365 Compliance Radar fortlaufend die Änderungen an der Plattform, damit eine einmal getroffene Regelung nicht vom nächsten Update überholt wird. Interne Audits prüft und gibt unser nach ISO 19011 qualifizierter, von Bavaria Cert berufener Auditor frei. improve it ist Zertifizierungsbegleiter und keine akkreditierte Zertifizierungsstelle; wir stellen also keine Zertifikate aus, sondern beraten unabhängig und bereiten Sie auf die Zertifizierung vor.

    Wenn Sie diese Analyse für Ihre eigene Lage nutzen möchten, sprechen Sie uns an. In einem kostenfreien Erstgespräch klären wir Ihre wichtigsten Fragen und zeigen die nächsten Schritte. Sie erreichen uns über Kontakt – improve it GmbH.

    Hinweis

    Diese Kurzansicht bildet den Stand Juni 2026 ab und ist eine fachliche Einordnung, keine Rechtsberatung. Der Stand des Beschäftigtendatengesetzes, die Belastbarkeit des § 26 BDSG und das Zusammenspiel mit der KI-Verordnung der EU sind in Bewegung und im Einzelfall zu prüfen. Die Einstellungen in Ihrem eigenen System sind im Microsoft-Verwaltungsbereich zu überprüfen.

    [1] Microsoft Learn: Connect to an AI subprocessor, Anthropic models. https://learn.microsoft.com/en-us/microsoft-365/copilot/connect-to-ai-subprocessor

  • Flex Routing in Microsoft 365: Warum Copilot Ihre Daten seit April 2026 standardmäßig außerhalb der EU verarbeiten darf – und wie Sie das in 2 Minuten prüfen

    Flex Routing in Microsoft 365: Warum Copilot Ihre Daten seit April 2026 standardmäßig außerhalb der EU verarbeiten darf – und wie Sie das in 2 Minuten prüfen

    Microsoft hat zum 17. April 2026 eine Voreinstellung namens „Flex Routing“ für EU- und EFTA-Tenants standardmäßig aktiviert. Dahinter steckt eine kleine Änderung mit spürbarer Datenschutz-Wirkung – und die gute Nachricht: Sie können sie selbst kontrollieren.

    Was ist passiert?

    Flex Routing erlaubt es, Copilot-Anfragen bei hoher Auslastung („peak load“) zur Verarbeitung außerhalb der EU Data Boundary umzuleiten – in die USA, nach Kanada oder Australien. Neu ist nicht die Funktion selbst, sondern die Voreinstellung: Seit dem 17. April 2026 ist sie auch für bestehende EU-/EFTA-Tenants per Default aktiviert. Wer nichts tut, hat sie also an.

    Was heißt das – und was nicht?

    Fair eingeordnet: Ihre gespeicherten Daten bleiben in der EU Data Boundary, und der Transport ist verschlüsselt. Es verlässt nur die Verarbeitung der Anfrage bei Lastspitzen die EU. Das ist kein Grund zur Panik – aber es ist eine bewusste Datenschutzentscheidung, die Microsoft Ihnen per Voreinstellung abgenommen hat. Und genau das steht im Spannungsverhältnis zu „Datenschutz durch Voreinstellung“ (Art. 25 Abs. 2 DSGVO). Wer eine EU-exklusive Verarbeitung will oder braucht, sollte aktiv widersprechen.

    So prüfen und deaktivieren Sie Flex Routing (2 Minuten):

    1. Melden Sie sich im Microsoft 365 Admin Center an (Rolle „AI-Administrator“ erforderlich).
    2. Öffnen Sie Copilot → Einstellungen → „View all“ (Alle anzeigen).
    3. Suchen Sie den Punkt „Flex routing during peak load periods“.
    4. Wählen Sie „Do not allow flex routing“.
    5. Fertig – die Copilot-Verarbeitung bleibt damit in der EU Data Boundary. (Das Power Platform Admin Center übernimmt die restriktivere Einstellung automatisch.)

    Tipp: Prüfen Sie zusätzlich im Message Center, wann genau der Rollout Ihren Tenant erreicht hat – so haben Sie es für Ihre Dokumentation belegt.

    Quelle: Microsoft Learn, „Flex routing (EU and EFTA)“ – learn.microsoft.com/en-us/microsoft-365/copilot/copilot-flex-routing

    Dieser Beitrag gibt den Stand von Juni 2026 wieder und ist eine fachliche Einordnung. Microsoft ändert Voreinstellungen laufend – prüfen Sie die Einstellung im eigenen Tenant.

    Sie wollen wissen, welche M365-Voreinstellungen bei Ihnen sonst noch „still“ aktiv sind? In einem kostenlosen 15-Minuten-Erstgespräch sortieren wir Ihre wichtigsten Punkte. [Termin wählen]

  • KI rechtskonform betreiben – EU AI Act, NIS2 und ISO 27001

    KI rechtskonform betreiben – EU AI Act, NIS2 und ISO 27001

    Was jetzt wirklich zu tun ist – kompakt für Geschäftsführung, IT‑Leitung und Datenschutz

    KI zahlt nur ein, wenn Governance, Sicherheit und Nachweisführung sitzen. 2025/26 verschärfen EU AI Act und NIS2 die Management‑Pflichten; DSGVO und ISO 27001 liefern das Grundgerüst. Dieser Artikel fasst das Entscheidungsrelevante auf Managementebene zusammen und schließt mit einem 6‑Monats‑Fahrplan als Checkliste am Beispiel einer Microsoft 365 Umgebung.

    Warum jetzt?

    • Regulatorischer Takt: Der EU AI Act bringt risikobasierte Pflichten, NIS2 fordert systematisches Risikomanagement und Meldewege.
    • Geschäftlicher Druck: Produktivitätspotenziale sind real – aber ohne Leitplanken drohen Datenabfluss, Fehlentscheidungen und Rechtsrisiken.
    • Haftung & Reputation: Die Geschäftsführung bleibt in der Verantwortung; „wir nutzen halt ein Tool“ schützt nicht.

    Was das Management wissen muss

    1. Risikoklassen statt One‑Size‑Fits‑All: Je kritischer der Anwendungsfall, desto strenger die Anforderungen (Datenqualität, Logging, Human Oversight).
    2. Dokumentation ist Pflicht, nicht Kür: Policies, Freigaben, Protokolle, Schulungen – ohne Nachweis entstehen rechtliche Risiken.
    3. Lieferkette entscheidet mit: Standort der Verarbeitung, Trainingsnutzung von Kundendaten, Modell‑Updates, Haftung – vertraglich regeln.
    4. Datenschutz bleibt Leitplanke: Rechtsgrundlagen, Datenminimierung, Betroffenenrechte, Datenschutzfolgeabschätzung bei hohem Risiko notwendig.
    5. Sicherheitsniveau messbar steuern: ISO 27001‑Kontrollen, Datenschutz‑Hardening, Rezertifizierungen und klare KPIs.

    Governance by Design – der pragmatische Ansatz

    • Klare Rollen schaffen Verbindlichkeit: Data Owner (Inhalt), KI‑Product Owner (Use Cases), ISB/DSB (Risikoprüfung), IT Security (Kontrollen), Legal/Einkauf (Verträge).
    • Schlanke Artefakte für den schnellen Überblick: KI‑Policy (1–2 Seiten), Use‑Case‑Katalog, Risikomatrix, Label‑Schema, Kontroll‑Set, Protokollierung.
    • Einheitlicher Prozess auf allen Ebenen: Intake → Risiko/DSGVO‑Prüfung → Genehmigung → Umsetzung → Monitoring → Review.
    • Unabhängig der eingesetzten Tools: mit bestehender Infrastruktur (am Beispiel M365) als Backbone für Dokumente, Freigaben, DLP (Data-Loss-Prevention) und Audit‑Logs – Speziallösungen nur, wo nötig.

    Wo Projekte kippen

    • Unklassifizierte Daten: „Public by default“ in SharePoint/Teams, dem Fileshare oder ähnliches.
    • Berechtigungswildwuchs: Kein Owner‑Review, keine Rezertifizierung.
    • Prompt‑Leaks: Vertrauliches landet in nicht freigegebenen Modellen.
    • Protokoll‑Lücken: KI‑Nutzung nicht nachvollziehbar.
    • Lieferanten‑Blindflug: Unklare Datenresidenz/Haftung, fehlende Exit‑Strategie.

    Was nach 6 Monaten vorzeigbar sein muss

    • Freigegebene, dokumentierte Use Cases mit Risikoeinstufung und Human‑Oversight‑Regeln.
    • Aktive Kontrollen (DLP, Labels, Audit‑Log) – mit Stichproben‑Nachweisen.
    • Vertraglich geregelte Lieferkette (AV/SLA/Model‑Lifecycle).
    • KPI‑Dashboard für Management‑Steuerung.
    • Internes Audit & Management‑Review mit klaren Folgeentscheidungen.

    6‑Monats‑Fahrplan als Checkliste

    Monat 1 – Leitplanken setzen

    • KI‑Policy (1-2 Seiten) verabschieden
    • Use‑Case‑Inventur & Risikoprofil je Anwendungsfall
    • Datenklassifizierung aktualisieren, Sensitivity‑Labels definieren

    Monat 2 – Basiskontrollen aktivieren

    • Microsoft 365‑Hardening: DLP‑Baseline, Audit‑Log, eDiscovery, Gastzugriff‑Policy, MFA/PIM
    • Owner‑Review & Rezertifizierung für kritische Bereiche
    • Zentrales KI‑Nutzungslog starten (wer/wann/wofür)

    Monat 3 – Lieferkette absichern

    • Anbieter/Modelle prüfen: Datenresidenz, Training auf Kundendaten, Löschkonzepte, Updates
    • AV‑Verträge und SLA ergänzen; Exit‑Plan festlegen
    • Prozess für Modell‑Versionierung/Change dokumentieren

    Monat 4 – kontrollierte Pilotversuche

    • 2–3 priorisierte Use Cases freigeben (mit Erfolgskriterien)
    • Human‑in‑the‑Loop und Vier‑Augen‑Prinzip definieren
    • Zielgruppenspezifische Schulungen durchführen

    Monat 5 – Wirksamkeit zeigen

    • KPI‑Reporting live (siehe unten), CAPA bei Abweichungen
    • Automatisierungen: Owner‑Reviews, Site‑Lifecycle, Label‑Erzwingung
    • Audit‑Probenachweise erzeugen

    Monat 6 – Audit‑Readiness und Skalierung

    • Internes Audit gegen Policy & Kontrollen
    • Management‑Review: Reifegrad, Risiken, Roadmap und Budget
    • Go/No‑Go für breitere Ausrollung

    KPIs, die auf das Management‑Dashboard gehören

    • Time‑to‑Approval: Ø Tage vom Antrag bis Freigabe
    • Policy‑Violations/Monat: DLP, Label‑Pflicht, Gastzugriffe
    • Rezertifizierungs‑Quote: % Bereiche mit aktuellem Owner‑Review
    • Sensitive Docs ohne Label: % in definierten Bereichen
    • Audit‑Findings/Release: Anzahl & Schweregrade

    Weiterführende Quellen (Auswahl)

    • EU Artificial Intelligence Act (Risikobasierter Ansatz, Transparenz‑ und Nachweispflichten)
    • Richtlinie (EU) 2022/2555 – NIS2 (Risikomanagement, Meldepflichten, Management‑Verantwortung)
    • DSGVO (Art. 5, 6, 25; DPIA nach Art. 35)
    • ISO/IEC 27001:2022 & ISO/IEC 27002:2022 (Informationssicherheits‑Management & Kontrollen)
    • ISO 9001:2015 (Prozessorientierung, Wirksamkeitsnachweise)
    • ISO 14001:2015 (Umweltaspekte; Energie/CO₂ von Workloads als Kennzahl)

    Fazit

    Führen Sie KI wie jedes geschäftskritische System: klar geregelt, nachweisbar, skalierbar. Starten Sie klein, aber belastbar – und messen Sie den Fortschritt. So bleibt der Nutzen im Fokus und die Risiken im Griff.

    Der Bereich Datenschutz ist auch hier unerlässlich und bietet gleichzeitig einen guten Orientierungspunkt, wie ein KI System dokumentiert und kontrolliert werden sollte. So lässt sich die Performance der KI nutzen, ohne geschäftliche Risiken außer acht zu lassen oder die persönliche Haftung als Geschäftsführer zu riskieren.

    Sprechen Sie uns an: Quick‑Scan (30 Min), IMS‑Blueprint, 90‑Tage‑Governance‑Kickstart – jeweils mit messbaren Ergebnissen nach vier Wochen.

    (Beitrag und Bild wurden mit Unterstützung von KI erstellt)

  • In aller Kürze: KI, Sicherheitslücken & Datenschutz zwischen Anspruch und Umsetzung

    In aller Kürze: KI, Sicherheitslücken & Datenschutz zwischen Anspruch und Umsetzung

    Diese Woche: Sam Altman blickt auf die KI-Zukunft – und warnt vor ihrer Macht. Parallel zeigt eine Sicherheitslücke in Microsofts Copilot, dass technologische Reife allein nicht genügt. Auch beim Datenschutz und der Umsetzung von Sicherheitsstandards gibt es Handlungsbedarf – und Chancen.

    KI-Entwicklung: Sam Altman über die „sanfte Singularität“

    OpenAI-Chef Sam Altman hat in einem persönlichen Blogbeitrag die Richtung vorgegeben: Wir stehen möglicherweise kurz vor einer „sanften Singularität“ – einer Zeit, in der Künstliche Intelligenz mächtiger wird als jeder Mensch, der je gelebt hat.
    Die Vision: eine Welt, in der wirtschaftliches Wachstum durch KI praktisch unbegrenzt möglich ist – unter der Bedingung, dass diese Macht sicher und gerecht verteilt wird.

    Altman spricht sich für globale Governance, koordinierte Sicherheitsarchitektur und ethische Leitlinien aus – gleichzeitig fordert er von Unternehmen und Regierungen eine neue Offenheit für radikale Veränderung.
    🔗 Primärquelle: Blog von Sam Altman
    🔗 Zusammenfassung bei heise.de
    🔗 Kommentar bei golem.de

    Sicherheit & KI: Wo neue Risiken entstehen

    Microsoft 365 Copilot mit kritischer Schwachstelle
    Eine unsichere KI-Funktion in Microsoft 365 ermöglichte es, Inhalte aus fremden Benutzerkonten auszulesen. Die Lücke wurde inzwischen geschlossen – zeigt aber, wie schnell KI-Integrationen neue Angriffsflächen schaffen können.
    🔗 Mehr bei heise.de

    DIN SPEC 27076: Sicherheitscheck für KMU
    Mit der DIN SPEC 27076 steht kleinen und mittleren Unternehmen nun ein strukturierter Leitfaden zur Verfügung, um ihre IT-Sicherheit realistisch einzuschätzen. Die Checkliste hilft dabei, Schutzbedarf und Maßnahmen gezielt zu ermitteln.
    🔗 Hintergrund bei Security Insider

    NIS-2: Zwischenstand zur Umsetzung
    Das „Cybersicherheitsstärkungsgesetz“ zur Umsetzung der NIS-2-Richtlinie ist in Arbeit – aber die Umsetzung in Unternehmen ist laut Experten oft lückenhaft. Wer betroffen ist, sollte jetzt mit der Vorbereitung beginnen.
    🔗 Analyse bei Security Insider

    Datenschutz vs. Innovation: Realität oder Ausrede?

    Laut Bitkom-Studie sehen 63 % der Unternehmen den Datenschutz in Deutschland als Innovationsbremse. Besonders häufig werden DSGVO-Vorgaben bei KI-Entwicklung, Cloud-Migration und Smart Services als Hindernis empfunden.

    Doch statt pauschaler Kritik braucht es pragmatische Lösungen: Datenschutz ist gestaltbar – mit klaren Verantwortlichkeiten, Standards und technischen Schutzmaßnahmen.
    🔗 Zur Studie bei Security Insider

    Fazit

    KI und IT-Sicherheit entwickeln sich mit hoher Geschwindigkeit – und mit ihnen der Bedarf, kluge, pragmatische Strukturen für Datenschutz und Risikomanagement zu schaffen. Gerade für mittelständische Unternehmen gilt: Nicht abwarten, sondern jetzt die Weichen stellen.

    Sie suchen einen klaren, umsetzbaren Ansatz für Ihre Datenschutz- und Sicherheitsstrategie im KI-Zeitalter?
    Wir unterstützen Sie bei Bewertung, Umsetzung und Kommunikation – praxisnah, rechtskonform und lösungsorientiert. Sprechen Sie uns an.

    (Der Beitrag wurde von KI strukturiert und das Teaserbild von KI generiert)

  • In aller Kürze: Digitale Souveränität & KI

    In aller Kürze: Digitale Souveränität & KI

    Diese Woche standen gleich zwei Themen im Zentrum: digitale Souveränität als Grundlage für vertrauenswürdige IT-Strukturen – exemplifiziert durch Mozillas Thunderbird-Initiative – und die rasante Entwicklung im KI-Umfeld, die von Datenschutz-Debatten bis hin zu Mega-Akquisitionen reicht.

    Digitale Souveränität: Thunderbird als Alternative

    Mozilla Thunderbird baut sein Angebot deutlich aus und positioniert sich als europäische Alternative zu Office-365- und Google-Workspace-Paketen. Mit Thundermail und neuem Thunderbird Pro Service will das Projekt Team-Postfächer, Kalender, Drive-Funktionen und professionelle Services für Unternehmen bereitstellen – alles Open Source und unter eigener Kontrolle.
    🔗 Thunderbird-Blog: Thundermail & Pro-Services

    KI & Datenschutz: Zwischen Faszination und Skepsis

    • Meta-Training mit privaten Daten
      Deutschlands Datenschutzbeauftragte kritisiert, dass Meta Nutzerdaten offenbar für KI-Training heranzieht, ohne ausreichende Transparenz oder Einwilligung – ein „unfassbarer“ Eingriff in Privatsphäre.
      🔗 zum Artikel
    • eID & Cloud-Schlüsselspeicher
      Die deutsche Umsetzung der EU-Wallet (eID) setzt auf Cloud-basierte Schlüsselverwaltung – trotz Bedenken zu zentralisierten Speichern und Souveränitätsrisiken.
      🔗 zum Artikel
      🔗 BSI – eID-Login für Webanwendungen
    • Open-Source-Leitlinien
      Deutschlands Digitalminister fordert offene Standards und Open Source als Leitprinzip für öffentliche IT-Projekte. Ein wichtiger Schritt für Unabhängigkeit und Transparenz.
      🔗 zum Artikel

    KI-Markt und Innovationen

    • Salesforce kauft Informatica
      Für 8 Mrd. USD übernimmt Salesforce Informatica und stärkt damit seine Data-Management- und KI-Analyse-Fähigkeiten.
      🔗 zum Artikel
    • ServiceNow übernimmt KI-Startup
      ServiceNow kauft das KI-Unternehmen LogiKai, um seine GenAI-Strategie und Automatisierung in der Now-Plattform zu stärken.
      🔗 zum Artikel
    • CrowdStrike: Einheitliche Plattform für Cloud-Security
      Die Falcon-Plattform soll künftig Daten, Workloads und KI-Modelle plattformübergreifend absichern – KI-basiert und einheitlich.
      🔗 zum Artikel
    • Amazon-Entwickler: KI wie Fliessbandarbeit?
      Ein Amazon-Entwickler vergleicht monotonen Einsatz von KI-Assistenten mit Fließbandarbeit – kritischer Blick auf Automatisierung im Arbeitsalltag.
      🔗 zum Artikel
    • ChatGPT-Selbstschutz
      ChatGPT-Modelle schalten sich in Tests eigenständig ab, um „sabotierte“ oder fehlerhafte Ausgaben zu vermeiden. Ein faszinierender, aber komplexer Mechanismus zur Stabilisierung von KI-Systemen.
      🔗 zum Artikel
    • Regierungs-Chatbot ohne Halluzinationen
      Das deutsche Forschungsministerium fördert einen Open-Source-Chatbot, der gezielt „Fabulieren“ (Halluzinationen) vermeiden soll. Proof-of-Concept für vertrauenswürdige KI-Anwendungen.
      🔗 zum Artikel
    • Deutsches KI-Rechenzentrum in Planung
      Ein Konsortium aus Industrie und Forschungsvorhaben plant ein europäisches KI-Rechenzentrum, um Uptime, Performance und Datenschutz unter EU-Recht zu garantieren.
      🔗 zum Artikel

    🌍 Nutzung & Befähigung

    • Geringe berufliche KI-Nutzung in Deutschland
      Im internationalen Vergleich nutzen Deutschlands Beschäftigte KI-Tools selten im Arbeitsalltag – trotz hoher Awareness. Eine Herausforderung für digitale Bildung und Qualifizierung.
      🔗 zum Artikel
    • Urheberrecht vs. KI-Training
      Meta-Manager Nick Clegg warnt: Ohne Zustimmung von Urheber:innen würde KI-Training „die Kreativwirtschaft töten“. Ein Appell für faire Nutzungsbedingungen und Lizenzmodelle.
      🔗 zum Artikel
    • „Wilde KI-Woche“ beim Training Institute
      Ein Zwischenbericht des AI Training Institute fasst eine Woche voller Experimente, Kooperationen und regulatorischer Hürden zusammen – ein stimmungsvoller Blick hinter die Kulissen.
      🔗 zum Artikel

    Fazit:
    Digitale Souveränität und KI-Innovation dürfen keine Widersprüche sein. Mit offenen Standards, europäischen Alternativen wie Thunderbird und gezielten Regulierungsschritten kann Europa seine Unabhängigkeit bewahren – ohne den Anschluss an die globale Technologieführung zu verlieren.

    Sie möchten Ihre KI-Strategie souverän gestalten und sicher umsetzen?
    Wir beraten Sie bei Auswahl, Implementierung und Governance – technologieoffen, praxisnah und datenschutzkonform.

    (Der Beitrag wurde von KI strukturiert und das Teaserbild von KI generiert)

  • In aller Kürze: Souveränität, Cybersicherheit und KI im Fokus

    In aller Kürze: Souveränität, Cybersicherheit und KI im Fokus

    Ein komprimierter Überblick über die wichtigsten Themen der Woche: neue Bedrohungen im Cyberraum, ambitionierte Schritte in der KI-Entwicklung und Googles Reaktion auf geopolitischen Druck.

    Digitale Souveränität: Google reagiert auf politische Unsicherheit

    Angesichts wachsender Bedenken europäischer Unternehmen vor möglichem Datenzugriff durch eine künftige US-Regierung intensiviert Google seine Anstrengungen für mehr Datensouveränität. Im Zentrum stehen neue Sicherheitsfunktionen, Rechenzentrumsstrategien und Partnerschaften mit europäischen IT-Dienstleistern. Der Auslöser: die Unsicherheit rund um eine potenzielle zweite Trump-Administration und der daraus resultierende Vertrauensverlust in transatlantische Cloudanbieter.
    🔗 Mehr bei golem.de

    Cybersicherheit: Warnung vor russischer Spionagekampagne

    Das BSI und internationale Partner warnen vor der russischen Hackergruppe APT28 (Fancy Bear), einer GRU-nahen Einheit. Ziel sind IT-Netze westlicher Logistik- und Technologiesektoren. Die Angriffe erfolgen u. a. über Schwachstellen in Open-Source-Komponenten und Standardsoftware.
    🔗 Offizielle Warnung des BSI

    Besondere Aufmerksamkeit gilt der Manipulation von IP-Kameras: Öffentliche Überwachungssysteme könnten für Spionage gegen kritische Infrastruktur missbraucht werden. Die Behörden rufen Betreiber zur sofortigen Sicherheitsüberprüfung auf.
    🔗 Hintergrund bei heise.de

    KI: Tools, Milliarden und digitale Bildung

    Jules: KI-Programmierhilfe von Google in öffentlicher Beta
    Mit „Jules“ bringt Google einen Coding-Agenten an den Start, der eigenständig Code analysiert, verbessert, dokumentiert und versioniert. Das System läuft Cloud-basiert, integriert sich u. a. in GitHub und ist auf Sicherheit im Entwicklungskontext ausgelegt.
    🔗 Mehr bei heise.de

    OpenAI & Jony Ive: 6,5-Mrd.-Dollar-Invest in KI-Hardware
    OpenAI und das von Apple-Designchef Jony Ive gegründete Start-up „LoveFrom“ gehen eine strategische Partnerschaft ein. Ziel: ein KI-Gerät der nächsten Generation – zwischen iPhone, Home Assistant und persönlichem Agenten.
    🔗 Artikel bei heise.de

    Gitex Europe: Ruf nach digitaler Resilienz in der Bevölkerung
    Auf der internationalen Technologiemesse in Berlin fordern Vertreter aus Wirtschaft und Behörden eine breitere digitale Bildung: Cybersicheres Verhalten soll zur Grundkompetenz werden – nicht nur in Unternehmen, sondern auch im Alltag.
    🔗 Bericht bei heise.de

    Fazit:
    Digitale Souveränität, Cybersicherheit und verantwortungsvolle KI-Nutzung sind keine Zukunftsthemen – sie bestimmen bereits jetzt, wie sicher und gestaltbar Europas digitale Infrastruktur bleibt. Es braucht klare Strategien – auf Seiten der Anbieter, Regulierer und Unternehmen.

    (Der Beitrag wurde von KI strukturiert und das Teaserbild von KI generiert)

  • In aller Kürze: Digitale Souveränität, KI-Trends und Sicherheitsinitiativen im Überblick

    In aller Kürze: Digitale Souveränität, KI-Trends und Sicherheitsinitiativen im Überblick

    Diese Woche werfen wir einen kompakten Blick auf aktuelle Entwicklungen in den Bereichen digitale Souveränität, Künstliche Intelligenz und IT-Sicherheit.

    Digitale Souveränität unter Druck

    Microsofts E-Mail-Sperre als Weckruf
    Microsoft hat das E-Mail-Konto des Chefanklägers des Internationalen Strafgerichtshofs blockiert – ein drastisches Beispiel für die Abhängigkeit von US-Cloudanbietern. Dieser Vorfall unterstreicht die Notwendigkeit, europäische digitale Souveränität zu stärken.
    🔗 Mehr erfahren(heise online)

    Microsoft streicht kostenlose M365-Lizenzen für Non-Profits
    Ab dem 1. Juli 2025 entzieht Microsoft gemeinnützigen Organisationen die kostenlosen Business-Premium-Lizenzen. Stattdessen werden kostenpflichtige Alternativen angeboten, was für viele NGOs eine finanzielle Belastung darstellt.
    🔗 Mehr erfahren(The Register)

    Google gibt nach: Nextcloud erhält Zugriffsrechte zurück
    Nach Kritik an restriktiven Android-Richtlinien hat Google Nextcloud wieder vollständige Zugriffsrechte eingeräumt. Dies zeigt, wie wichtig regulatorischer Druck für die Wahrung digitaler Freiheiten ist.
    🔗 Mehr erfahren

    Kritische Infrastrukturen: Sicherheitsrisiken durch ausländische Technik

    Chinesische Wechselrichter als potenzielle Gefahr
    US-Behörden haben in chinesischen Solarwechselrichtern versteckte Kommunikationsmodule entdeckt, die nicht dokumentiert waren. Dies wirft Fragen zur Sicherheit kritischer Infrastrukturen auf.
    🔗 Mehr erfahren(Golem)

    KI-Entwicklung: Neue Tools und Standards

    OpenAI stellt Codex vor
    OpenAI hat Codex vorgestellt, einen KI-Agenten, der Entwicklern beim Programmieren hilft, indem er Code schreibt, Fehler findet und Tests durchführt. Codex ist derzeit für Pro-Nutzer verfügbar.
    🔗 Mehr erfahren(Business Insider)

    Google veröffentlicht Jules in öffentlicher Beta
    Google hat seinen KI-Coding-Agenten Jules in die öffentliche Betaphase entlassen. Jules arbeitet asynchron und unterstützt Entwickler bei verschiedenen Programmieraufgaben.
    🔗 Mehr erfahren(Golem, blog.google)

    Model Context Protocol (MCP) als neuer Standard
    Das MCP ist ein offenes Protokoll, das die Integration von KI-Modellen in verschiedene Anwendungen erleichtert. Es standardisiert die Bereitstellung von Kontextinformationen für KI-Systeme.
    🔗 Mehr erfahren(GitHub, Anthropic)

    KI im Arbeitsalltag: Nutzen und Herausforderungen

    Studie: KI-Assistenten bringen kaum Zeitvorteile
    Eine Studie zeigt, dass der Einsatz von KI-Tools wie ChatGPT und Copilot in der Praxis weniger Zeitersparnis bringt als erwartet. Viele Aufgaben erfordern weiterhin menschliche Kontrolle.
    🔗 Mehr erfahren(Golem Karrierewelt)

    IT-Arbeitsmarkt: Zögern bei KI-Einsatz
    Viele Unternehmen zögern, KI-Technologien einzuführen, obwohl sie das Potenzial erkennen. Gründe sind unter anderem Unsicherheiten bezüglich Datenschutz und fehlende Fachkenntnisse.
    🔗 Mehr erfahren

    BSI: Initiativen für mehr Cybersicherheit

    BSI betont Bedeutung der digitalen Resilienz
    Beim Ludwig-Erhard-Gipfel betonte BSI-Präsidentin Claudia Plattner die Notwendigkeit, Deutschland nicht nur militärisch und ökonomisch, sondern auch im Cyberraum resilient aufzustellen.
    🔗 Mehr erfahren(BSI)

    Internationale Zusammenarbeit bei IT-Sicherheitskennzeichnungen
    Das BSI veranstaltete ein internationales Treffen zur Kennzeichnung der Cybersicherheit von IoT-Produkten, um globale Standards zu fördern und Verbraucher besser zu informieren.
    🔗 Mehr erfahren(BSI)

    Fazit

    Die aktuellen Entwicklungen zeigen, wie eng Technologie, Sicherheit und Souveränität miteinander verknüpft sind. Es ist entscheidend, dass Unternehmen und Institutionen proaktiv handeln, um digitale Unabhängigkeit zu wahren und gleichzeitig von den Vorteilen neuer Technologien zu profitieren.

    (Der Beitrag wurde von KI strukturiert und das Teaserbild von KI generiert)

  • Datenschutz und KI: Was Entscheider jetzt wissen müssen

    Datenschutz und KI: Was Entscheider jetzt wissen müssen

    Künstliche Intelligenz (KI) ist längst kein Zukunftsthema mehr – sie verändert Geschäftsprozesse, Kundenerlebnisse und Entscheidungsabläufe in Unternehmen aller Branchen. Doch mit den neuen Möglichkeiten wachsen auch die rechtlichen Anforderungen. Wer KI nutzen will, muss sich an klare Spielregeln halten – insbesondere im Hinblick auf Datenschutz, Transparenz und Verantwortung.

    In diesem Beitrag geben wir Ihnen einen Überblick, was Sie als Führungskraft beachten müssen – ohne technische Details, aber mit klarem Fokus auf rechtliche Vorgaben und unternehmerische Verantwortung.

    1. Der rechtliche Rahmen

    Die Nutzung von KI-Systemen ist in Europa umfassend reguliert – durch Datenschutzrecht ebenso wie durch das neue EU-KI-Gesetz:

    • DS-GVO (Datenschutz-Grundverordnung)
      Schützt personenbezogene Daten und legt fest, wann und wie diese verarbeitet werden dürfen.
    • BDSG (Bundesdatenschutzgesetz)
      Ergänzt die DSGVO auf nationaler Ebene.
    • TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz)
      Regelt insbesondere digitale Kommunikationsdienste.
    • EU-KI-Verordnung (KI-VO)
      Seit Juni 2024 in Kraft, schafft europaweit verbindliche Regeln für KI-Systeme – mit abgestuften Pflichten je nach Risiko der Anwendung.

    2. Wann ist der KI-Einsatz zulässig?

    KI darf nur unter klar definierten Bedingungen eingesetzt werden:

    • Rechtsgrundlage erforderlich: z. B. Einwilligung der betroffenen Personen, ein Vertrag oder eine gesetzliche Pflicht.
    • Verbotene Anwendungen: Social Scoring, Emotionserkennung am Arbeitsplatz oder biometrische Überwachung in Echtzeit sind grundsätzlich untersagt.
    • Risikobasierter Ansatz: KI-Systeme mit hohem Risiko – etwa in der Medizin, Personalsteuerung oder im Kreditwesen – unterliegen besonders strengen Vorgaben.

    3. Was Unternehmen beachten müssen

    Bei der Nutzung von KI-Systemen gelten spezifische Pflichten:

    • Risikobewertung und Datenschutz-Folgenabschätzung
      Vor dem Einsatz muss geprüft werden, ob Risiken für Betroffene bestehen – insbesondere bei Hochrisiko-KI.
    • Technische und organisatorische Maßnahmen (TOM):
      Dazu zählen z. B. Zugriffskontrollen, Verschlüsselung und Protokollierung der Systeme.
    • Menschliche Kontrolle und Transparenz:
      Automatisierte Entscheidungen dürfen nicht vollständig ohne menschliches Eingreifen erfolgen. Betroffene müssen wissen, wann KI eingesetzt wird.
    • Dokumentation und Nachvollziehbarkeit:
      Der Einsatz muss nachvollziehbar und überprüfbar sein – auch für externe Prüfer.

    4. KI aus der Cloud – worauf Sie achten sollten

    Wer externe KI-Dienste oder Cloudlösungen nutzt, hat zusätzliche Anforderungen zu erfüllen:

    • Auftragsverarbeitung:
      Ein Vertrag nach Art. 28 DSGVO ist Pflicht, wenn externe Dienstleister mit Daten arbeiten.
    • Datenübermittlung ins Ausland:
      Nur erlaubt, wenn ein angemessenes Datenschutzniveau nachgewiesen werden kann – z. B. durch EU-Standardvertragsklauseln oder ein Angemessenheitsbeschluss.

    5. Empfohlene Standards & Best Practices

    Zur sicheren Gestaltung von KI-Systemen sollten Unternehmen auf bewährte Normen und Richtlinien zurückgreifen:

    • ISO/IEC 27001 / 27002 – Informationssicherheitsmanagement
    • ISO/IEC 27017 / 27018 – Sicherheit und Datenschutz in der Cloud
    • ISO/IEC 29100 – Datenschutzrahmen
    • BSI IT-Grundschutz (200-1 bis 200-4) – Systematische IT-Sicherheitsmethodik

    Diese Standards unterstützen bei der praktischen Umsetzung gesetzlicher Anforderungen – und schaffen Sicherheit in komplexen Projekten.

    6. Verantwortung des Managements

    KI ist keine rein technische Angelegenheit – sie betrifft die Grundwerte des Unternehmens. Deshalb tragen Führungskräfte eine besondere Verantwortung:

    • Verantwortung übernehmen:
      Für Auswahl, Einsatz und Überwachung eingesetzter Systeme.
    • Ethik und Datenschutz sichern:
      Sicherstellen, dass auch in innovativen Projekten Grundrechte und Fairness gewahrt bleiben.
    • Strategisch denken:
      Datenschutz, IT-Sicherheit und KI-Governance müssen Teil der Gesamtstrategie sein – nicht nur Compliance, sondern aktives Risikomanagement.

    Fazit

    KI darf nur eingesetzt werden, wenn sie rechtlich zulässig, sicher, nachvollziehbar und fair ist. Für das Management heißt das: Datenschutz und Grundrechte sind nicht optional – sie sind Pflicht.

    Ein verantwortungsvoller KI-Einsatz stärkt nicht nur die Rechtssicherheit, sondern auch das Vertrauen von Kunden, Mitarbeitenden und Aufsichtsbehörden.

    Sie möchten den rechtssicheren Einsatz von KI in Ihrem Unternehmen vorbereiten?
    Wir unterstützen Sie bei der Bewertung, Dokumentation und Umsetzung – strategisch, pragmatisch und auf Ihre Unternehmensrealität abgestimmt.

    (Der Beitrag wurde von KI strukturiert und das Teaserbild von KI generiert)