Forum von Schübeler Consulting

Viele Unternehmen scheitern an der Vorarbeit, bevor sie überhaupt entscheiden können, welche Daten in welches KI-Tool dürfen. Es gibt schlicht keine Klassifizierung. Alles ist gleich wichtig, alles ist gleich heikel, also wird im Zweifel alles verboten oder alles erlaubt.

Mein Vorschlag für den Mittelstand: Fangen Sie mit drei Schubladen an. Mehr brauchen Sie zunächst nicht.

• Öffentlich: Marketingtexte, freigegebene Datenblätter, alles, was sowieso auf der Website steht. Darf in jedes Tool.
• Intern: Arbeitsanweisungen, allgemeine Korrespondenz, Schulungsunterlagen. Darf in DSGVO-konforme Tools mit Unternehmens-Account und Datenverarbeitungsvereinbarung.
• Vertraulich: Personalakten, Konstruktionszeichnungen vor Marktreife, Lieferantenkonditionen, Kundenstammdaten. Bleibt drinnen, Punkt.

Das ist nicht perfekt, das ist nicht ISO-27001-tauglich. Aber es ist 100-mal besser als nichts. Sie können damit innerhalb von 2 Wochen anfangen, statt 6 Monate auf das große Konzept zu warten.

Groß planen, klein starten. Wer auf die fertige Klassifizierung wartet, bevor er Mitarbeitende einbindet, wird vom Pragmatismus seiner eigenen Kollegen überholt — die nutzen die Tools dann eben ohne Regelwerk.

Hinweis: Das hier ist eine Strukturhilfe und keine Rechtsberatung. Konkrete Einstufungen prüfen Sie mit Ihrem Datenschutzbeauftragten.

Haben Sie bereits eine Klassifizierung im Haus, und wenn ja, wie viele Stufen?

Praktischer Zusatz aus Sicht der Moderation: Verknüpfen Sie die drei Schubladen mit konkreten Tool-Listen, die Mitarbeitende sehen können. "Vertraulich = nur in System X" ist deutlich operationaler als eine abstrakte Stufenlehre. Sonst landet die Klassifizierung im Intranet und keiner schaut rein.