Datensicherheit & Compliance im KI-Zeitalter: Was Unternehmen jetzt wissen müssen

Künstliche Intelligenz verändert die Arbeitswelt in rasantem Tempo. Doch mit dem Potenzial wachsen auch die Anforderungen an Datensicherheit, Compliance und verantwortungsvolle Nutzung. In unserem Deep-Dive-Webinar haben wir gemeinsam mit unserem Compliance Manager Michael Makowski die wichtigsten Aspekte beleuchtet – von der EU-Regulierung über Urheberrechtsfragen bis hin zu konkreten Schutzmaßnahmen im Microsoft-Ökosystem.

Die Geschwindigkeit, mit der sich künstliche Intelligenz verbreitet, ist beispiellos: Während Mobiltelefone 16 Jahre brauchten, um 100 Millionen Nutzer zu erreichen, schaffte ChatGPT das in nur zwei Monaten. Laut IDC werden bis 2028 weltweit 1,3 Milliarden KI-Agenten im Einsatz sein – befeuert durch ein prognostiziertes globales Datenvolumen von 527 Zettabyte. 

Was bedeutet das für Unternehmen? Microsoft spricht vom „Zeitalter der Agenten": Jeder Mitarbeitende soll künftig mindestens einen Copilot an der Hand haben, und Geschäftsprozesse werden zunehmend durch spezialisierte KI-Agenten transformiert. Bei COSMO CONSULT erleben wir das selbst: Anfang 2026 waren bereits über 600 Agenten unternehmensweit im Einsatz – eine Verdreifachung innerhalb weniger Monate. 

Doch mit dieser rasanten Entwicklung entstehen auch neue Herausforderungen in den Bereichen Sicherheit, Change Management und Compliance. 

Unabhängig vom EU AI Act gelten die bewährten Grundsätze der DSGVO weiterhin – auch und gerade beim Einsatz von KI. Vier Rechtsgrundlagen sind für die meisten Unternehmen besonders relevant: 

1. Einverständnis: Freiwillige, informierte und nachweisbare Zustimmung der betroffenen Person. 

2. Vertragliche Notwendigkeit: Die Datenverarbeitung ist zur Vertragserfüllung erforderlich. 

3. Gesetzliche Verpflichtung: Die Verarbeitung dient der Einhaltung gesetzlicher Pflichten. 

4. Berechtigtes Interesse: Die Verarbeitung liegt im berechtigten Interesse des Unternehmens, sofern die Rechte der betroffenen Person nicht überwiegen. 

Vor jeder Verarbeitung personenbezogener Daten durch KI-Systeme sollten drei Fragen beantwortet werden: Erlaubt der Zweck die Verarbeitung? Ist sie erforderlich? Und ist sie angemessen? Im Zweifelsfall empfiehlt sich die Rücksprache mit dem Datenschutzbeauftragten. 

Eine häufig gestellte Frage: Wer ist Eigentümer von Inhalten, die eine KI generiert? Die Antwort ist klar – und für viele überraschend: 

• Die KI selbst kann kein Urheber sein – sie hat keine Persönlichkeit und keine Rechte.
• Der Ersteller der KI hat die Ausgabe nicht erstellt.
• Der Nutzer hat die Ausgabe ebenfalls nicht im urheberrechtlichen Sinne erstellt. 

Die Konsequenz: KI-generierte Inhalte sind in der Regel kein geschütztes geistiges Eigentum. Gleichzeitig besteht das Risiko, dass KI-Ausgaben Rechte Dritter verletzen – etwa wenn Trainingsdaten urheberrechtlich geschütztes Material enthalten. 

Unternehmen sollten daher: 

• Interne Richtlinien für den Umgang mit KI-generierten Inhalten etablieren
• Prüf- und Freigabeprozesse definieren
• Verträge mit KI-Anbietern auf entsprechende Regelungen prüfen 

Bei der Nutzung von Microsoft Copilot gilt das Prinzip der Shared Responsibility: 

Microsoft ist verantwortlich für:

• Die sichere Produktionsumgebung
• Datenverschlüsselung (at rest und in transit)
• Zugangsbeschränkungen zur Kundenumgebung 

Ihr Unternehmen ist verantwortlich für:

• Den Zugang zu KI-Apps und Identitätsmanagement
• Den Schutz und die Governance der Daten in KI-Interaktionen
• Schulungen und Sensibilisierung der Mitarbeitenden 

Microsoft Copilot bringt bereits umfangreiche Sicherheitsfunktionen mit: 

• Sicherheitsfilter verhindern voreingenommene oder diskriminierende Outputs
• Eingaben werden nicht zum Weitertraining der Modelle verwendet
• Prompt Shields schützen vor Prompt-Injection-Angriffen
• Unternehmensdaten bleiben strikt getrennt von öffentlichen Modellen 

Besonders wichtig: Im Work-Modus greift Copilot auf Unternehmensdaten zu (E-Mails, Teams-Nachrichten, SharePoint-Dokumente). Dabei übernimmt er exakt die Berechtigungen des jeweiligen Nutzers. Das bedeutet: Berechtigungen und Vertraulichkeits-Labels müssen sorgfältig gepflegt werden – denn was ein Nutzer sehen darf, kann auch der Copilot finden und auswerten. 

Tipp: 

Überprüfen Sie die Vertraulichkeitsstufen Ihrer Dokumente. Ein als „General" eingestuftes Dokument in einem tief verschachtelten Ordner ist vor dem Copilot nicht versteckt. 

Bei COSMO CONSULT haben wir ein AI Governance Team etabliert, das eng mit Compliance, Datenschutz und IT-Sicherheit zusammenarbeitet. Zu unseren Maßnahmen gehören: 

• Eine AI-Tool-Strategie, die klar definiert, welche Tools im Unternehmen eingesetzt werden dürfen – und welche nicht (z. B. DeepSeek oder Grok aufgrund von Datenschutz- bzw. Qualitätsbedenken)
• Eine AI Governance Checklist, die für jedes neue KI-Tool oder -Projekt durchlaufen werden muss – mit Fragen zu Compliance, Sicherheit, Transparenz und Verantwortlichkeit
• Der bewusste Verzicht auf Unacceptable Risk und High Risk Use Cases 

Als Orientierung empfehlen wir die Microsoft-Richtlinien für verantwortungsvolle KI, die umfassende Frameworks, Tools und Best Practices bereitstellen. 

Die Datenplattform Microsoft Fabric bildet das Fundament für sichere, KI-fähige Datenarchitekturen. Alle Daten fließen in den OneLake – und werden durchgängig durch Purview abgesichert: 

• Identitäts- und Zugriffssteuerung
• Rollen und Berechtigungen
• Datenmaskierung und Pseudonymisierung
• Data Loss Prevention
• Datenschutz und Governance

Ein Bestandteil von Microsoft Fabric ist der Fabric Data Agent. Damit können Unternehmen KI-Agenten entwickeln, die den Business-Kontext verstehen und fundierte, verlässliche Antworten auf Basis ihrer Unternehmensdaten liefern. Gleichzeitig wird durch Microsoft Purview eine durchgängige Sicherheit gewährleistet – von der Datenquelle bis hin zur Interaktion mit dem Endnutzer 

Datensicherheit im KI-Zeitalter ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die gute Nachricht: Mit dem Microsoft-Ökosystem aus Copilot, Purview und Fabric stehen leistungsfähige Werkzeuge zur Verfügung, um KI sicher und compliant einzusetzen. Entscheidend ist jedoch, dass Unternehmen aktiv Verantwortung übernehmen – durch klare Governance-Strukturen, Schulungen und eine bewusste Tool-Strategie.  

Denn am Ende gilt: Jeder Nutzer ist selbst verantwortlich für die gewissenhafte Prüfung von KI-Eingaben und -Ausgaben. Nicht einfach Copy & Paste – sondern prüfen, verstehen, dann verwenden.

• AI-Governance Workshop: Strategie, Sicherheit und Governance für den KI-Einsatz in Ihrem Unternehmen
• AI-Readiness Workshop: Analyse Ihres aktuellen Reifegrads und Ableitung konkreter Maßnahmen
• AI Solution Assessment: Gemeinsame Entwicklung passgenaer KI-Lösungen
• AI Consulting: Strategische, effiziente und nachhaltige Verankerung von KI in Ihren Geschäftsprozessen