Datenklassifizierung für KI: Drei Schubladen reichen für den Anfang

[Johann Jörgen Schübeler]

Viele Unternehmen scheitern an der Vorarbeit, bevor sie überhaupt entscheiden können, welche Daten in welches KI-Tool dürfen. Es gibt schlicht keine Klassifizierung. Alles ist gleich wichtig, alles ist gleich heikel, also wird im Zweifel alles verboten oder alles erlaubt.

Mein Vorschlag für den Mittelstand: Fangen Sie mit drei Schubladen an. Mehr brauchen Sie zunächst nicht.

• Öffentlich: Marketingtexte, freigegebene Datenblätter, alles, was sowieso auf der Website steht. Darf in jedes Tool.
• Intern: Arbeitsanweisungen, allgemeine Korrespondenz, Schulungsunterlagen. Darf in DSGVO-konforme Tools mit Unternehmens-Account und Datenverarbeitungsvereinbarung.
• Vertraulich: Personalakten, Konstruktionszeichnungen vor Marktreife, Lieferantenkonditionen, Kundenstammdaten. Bleibt drinnen, Punkt.

Das ist nicht perfekt, das ist nicht ISO-27001-tauglich. Aber es ist 100-mal besser als nichts. Sie können damit innerhalb von 2 Wochen anfangen, statt 6 Monate auf das große Konzept zu warten.

Groß planen, klein starten. Wer auf die fertige Klassifizierung wartet, bevor er Mitarbeitende einbindet, wird vom Pragmatismus seiner eigenen Kollegen überholt — die nutzen die Tools dann eben ohne Regelwerk.

Hinweis: Das hier ist eine Strukturhilfe und keine Rechtsberatung. Konkrete Einstufungen prüfen Sie mit Ihrem Datenschutzbeauftragten.

Haben Sie bereits eine Klassifizierung im Haus, und wenn ja, wie viele Stufen?

[JSC_Admin]

Praktischer Zusatz aus Sicht der Moderation: Verknüpfen Sie die drei Schubladen mit konkreten Tool-Listen, die Mitarbeitende sehen können. "Vertraulich = nur in System X" ist deutlich operationaler als eine abstrakte Stufenlehre. Sonst landet die Klassifizierung im Intranet und keiner schaut rein.