Bring Your Own AI: neues Risiko im Marketing?

Der Einsatz privater KI-Tools im beruflichen Kontext – bekannt als Bring Your Own AI (BYOAI) – bringt neue Risiken für Unternehmen. 

Mitarbeitende im Marketing setzen bereits in vielen Unternehmen Tool mit künstlicher Intelligenz (KI) ein. Weil häufig noch kein Unternehmenszugang vorliegt, werden oft private Zugänge von KI-Tools wie ChatGPT verwendet, um etwa Texte fürs Marketing zu erstellen oder Bilder und Videos zu kreieren. 

Diese Entwicklung von BYOAI verspricht zwar Effizienzsteigerungen und produktivere Arbeitsabläufe, birgt jedoch zugleich erhebliche Risiken für Datenschutz, Informationssicherheit und Compliance.

Was ist Bring Your Own AI?

Bring Your Own AI beschreibt den Trend, dass Mitarbeitende ihre privaten KI-Tools am Arbeitsplatz einsetzen. Diese Entwicklung resultiert aus mehreren Faktoren:

• Generative KI-Tools wie ChatGPT oder DALL-E sind einfach zugänglich und bieten vielseitige Einsatzmöglichkeiten, die schnell überzeugen.
• Viele Unternehmen haben noch keine unternehmensweiten KI-Strategien etabliert oder eigene Lösungen implementiert, weshalb Mitarbeitende auf externe Tools ausweichen, um ihre Arbeitsprozesse zu optimieren.

Eine aktuelle Umfrage des Digitalverbands Bitkom zeigt, dass bereits in jedem dritten Unternehmen (34 %) privater KI-Accounts durch Mitarbeitende genutzt werden. 

Risiken und Herausforderungen von BYOAI

Die unkontrollierte Verwendung privater KI-Tools im Unternehmen bringt erhebliche Risiken mit sich, die nicht unterschätzt werden dürfen. Im Folgenden werden die zentralen Problemfelder beleuchtet:

Datenschutz-Risiken
Die Nutzung nicht autorisierter KI-Tools kann dazu führen, dass personenbezogene Daten in unkontrollierte Hände gelangen. Dies birgt Gefahren in Bezug auf:

• Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO: KI-Anbieter, die personenbezogene Daten verarbeiten, gelten als Auftragsverarbeiter. Unternehmen sind verpflichtet, einen Auftragsverarbeitungsvertrag abzuschließen, der die Konformität mit Art. 28 Abs. 3 und Art. 32 DSGVO sicherstellt. Dieser Vertrag muss die Verarbeitung regeln, Sicherheitsmaßnahmen vorschreiben und den Umgang mit Daten nach Abschluss der Verarbeitung klären.
• Regelmäßige Kontrolle der Auftragsverarbeiter: Unternehmen sind verpflichtet, ihre Auftragsverarbeiter regelmäßig auf Einhaltung der Datenschutzvorgaben zu prüfen, etwa durch Audits. Dies wird besonders relevant, wenn sensible oder große Datenmengen verarbeitet werden.
• Drittlandtransfer: Anbieter, die Daten in unsichere Drittländer übertragen, müssen angemessene Schutzmaßnahmen wie Standardvertragsklauseln oder Binding Corporate Rules vorweisen.
• Rechtsgrundlage für die Datenverarbeitung: Ohne eine gültige Rechtsgrundlage, wie Einwilligungen oder berechtigtes Interesse, verstößt die Nutzung gegen die DSGVO. Werden KI-Tools ohne Wissen der IT-Abteilung verwendet, ist eine ausreichende Dokumentation oft nicht gewährleistet.

Informationssicherheits-Risiken
Die Nutzung privater KI-Tools stellt eine Form von „Schatten-IT“ dar, die ein Einfallstor für Cyberangriffe oder Datenlecks darstellen kann. Externe Tools, die nicht von der IT-Abteilung geprüft wurden, erhöhen das Risiko, dass Unternehmensdaten unzureichend geschützt oder durch Sicherheitslücken kompromittiert werden.

Compliance-Risiken
Unkontrolliertes BYOAI kann zu Verstößen gegen interne Richtlinien und regulatorische Vorgaben führen. Unternehmen, die branchenspezifische Standards wie ISO 27001 einhalten müssen, können durch den Einsatz nicht autorisierter Tools in Schwierigkeiten geraten. Darüber hinaus besteht das Risiko von Haftungsproblemen, wenn Verantwortlichkeiten unklar bleiben.

Qualitätsrisiken
Generative KI-Tools wie ChatGPT liefern nicht immer korrekte oder zuverlässige Ergebnisse. Wenn Mitarbeitende diese ungeprüft für geschäftliche Aufgaben verwenden, können ungenaue Informationen Entscheidungen und Prozesse negativ beeinflussen. Dies gefährdet insbesondere die Reputation des Unternehmens, wenn etwa im Marketing falsche Informationen oder gesellschaftlich unerwünschte Bias verbreitet werden. 

Best Practices für den sicheren Umgang mit BYOAI

Unternehmen können den Risiken von BYOAI mit klaren Richtlinien und strukturierten Maßnahmen begegnen. Folgende Ansätze haben sich als besonders wirkungsvoll erwiesen:

Entwicklung einer umfassenden KI-Richtlinie
Eine solide KI-Richtlinie schafft Transparenz und definiert, wie private KI-Tools genutzt werden dürfen. Sie sollte:
- Klare Vorgaben für die Nutzung privater KI-Accounts enthalten.  
- Prüfprozesse für neue Tools vorschreiben, insbesondere bei der Verarbeitung personenbezogener Daten.  
- Verantwortlichkeiten regeln und die Einbindung des Datenschutzbeauftragten sicherstellen.

Sensibilisierung der Mitarbeitenden
Mitarbeitende müssen die Risiken und Regeln im Umgang mit KI-Tools kennen. Schulungen und Sensibilisierungsmaßnahmen helfen, ein Bewusstsein für Datenschutz, Informationssicherheit und Qualitätsanforderungen zu schaffen. Ein aktives Change-Management kann zudem Skepsis abbauen und Akzeptanz fördern.

Aufbau einer KI-Governance und Benennung eines KI-Beauftragten
Eine solide KI-Governance sorgt für eine transparente und kontrollierte Nutzung von KI-Tools. Die Benennung eines KI-Beauftragten ermöglicht eine zentrale Überwachung, regelmäßige Berichterstattung und die frühzeitige Erkennung neuer Risiken.

Fazit: BYOAI sicher und verantwortungsvoll gestalten

Der Trend zu BYOAI erfordert von Unternehmen, klare Vorgaben und Schutzmechanismen zu entwickeln. Eine umfassende KI-Governance, die sich flexibel an technologische Neuerungen anpasst, wird zunehmend wichtiger. Wer heute in sichere und rechtskonforme Strukturen investiert, wird in der Lage sein, den technologischen Wandel nicht nur zu bewältigen, sondern aktiv zu gestalten. 

BYOAI bietet Chancen – aber nur, wenn Unternehmen die Risiken kontrolliert managen.