Die Voraussetzungen zur Compliance-gerechten Nutzung von Microsoft 365 Copilot schildert Heiko Lossau, Head of Business Unit Microsoft und Cloud Marketplace bei der ADN Distribution GmbH. |
Heiko Lossau, Head of Business Unit Microsoft and Cloud Marketplace at ADN Distribution GmbH, outlines the requirements for the compliant use of Microsoft 365 Copilot. |
---|---|
Gartner geht davon aus, dass Generative KI bis 2026 bei 80 Prozent der Unternehmen weltweit die Mitarbeitenden bei ihren Tätigkeiten unterstützt. Obwohl Künstliche Intelligenz zweifelsfrei als eine der wichtigsten Schlüsseltechnologien für die digitale Transformation gilt, hemmen rechtliche Unsicherheiten und mangelndes Fachwissen Unternehmen noch, im Arbeitsalltag stärker auf Künstliche Intelligenz (KI) zu setzen. Doch lässt man – wie bei jeder anderen Form der Datenverarbeitung auch – besondere Vorsicht walten, steht der gewinnbringenden Nutzung nichts mehr im Wege.
Schreckgespenst Schatten-KI Befreiung von lästigen Routineaufgaben, Automatisierung wiederkehrender Prozesse oder schnellere Entscheidungsfindung – danach streben viele Unternehmen und deren Mitarbeiter. Und wer sich hierzu einmal KI-Unterstützung geholt hat, möchte fortan nicht mehr darauf verzichten. Genau aus diesem Grund kommt KI auch schon in vielen Betrieben zum Zuge – allerdings ungeplant, unkontrolliert, unautorisiert. Das ist beispielweise der Fall, wenn Mitarbeiter mithilfe von KI-Tools Texte, E-Mail-Antworten oder Grafiken erstellen und zu Arbeitszwecken verwenden. Diese heimliche bzw. ungenehmigte Nutzung entzieht sich jeglichen juristischen Regelungen (z. B. der Compliance) und kann als sogenannte Schatten-KI für die Haftenden des Unternehmens schnell zum Riesenproblem werden. Damit keine Unternehmensdaten nach außen gelangen und bei der Nutzung von KI-gestützten Ergebnissen alle gesetzlichen Vorgaben eingehalten werden, braucht es neben der richtigen Infrastruktur auch entsprechende Richtlinien, die den für die KI-Nutzung benötigten Datenzugriff rechtskonform absichern. Insbesondere für Geschäftsführer, die für Verstöße haften, spielen Compliance und Security eine entscheidende Rolle.
Rechtliche Eckpfeiler für die KI-Nutzung Die Nutzung von KI ist also nicht ohne Risiken. Im schlimmsten Fall können sensible Daten preisgegeben werden, weil die KI mit Unternehmensdaten trainiert worden ist. Auch die Privatsphäre von Beschäftigten oder Kunden könnte verletzt werden, sollten deren Daten wie Identität, Meinungen oder Verhaltensweisen offengelegt werden.
Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an Unternehmen, die KI nutzen. Unter anderem muss die Sicherheit und Vertraulichkeit der Daten gewährleistet werden, etwa durch geeignete technische und organisatorische Maßnahmen. Außerdem muss zu jeder Zeit die Verantwortlichkeit und Rechenschaftspflicht für die Datenverarbeitung oder -generierung nachgewiesen werden können. Die am 13. März 2024 vom Europaparlament verabschiedete EU-KI-Verordnung (KI-VO), die noch in diesem Jahr in Kraft tritt und ab 2026 zu befolgen ist, schafft zudem einen einheitlichen Rechtsrahmen für den Einsatz von KI in der EU. Um die Nutzung von KI unternehmensweit klar und Compliance-konform zu regeln, kann zudem eine eindeutig formulierte KI-Richtlinie ein bedeutender Schritt sein.
KI ist keine moralische Prüfinstanz Selbst wenn KI-gestützte Lösungen korrekt implementiert und konfiguriert wurden, bleibt doch ein entscheidender Faktor: der Mensch. Den Kopf ausschalten und KI komplette Arbeitsabläufe übernehmen zu lassen, wäre zu kurz gedacht. Denn KI ist nicht in der Lage, moralische oder ethische Entscheidungen zu treffen und erkennt nicht, wenn sie zum Beispiel rassistisch anmutende Bilder oder beleidigende bzw. antisemitische Texte erstellt. Die UNESCO befürchtet darüber hinaus, dass KI mehr zu Stereotypen bzw. Vorurteilen neigen wird, wenn die Datensätze, mit denen sie angelernt wird, nicht divers genug sind. Ein achtsamer Umgang mit den Ergebnissen und eine selbstständige Überprüfung nach Werten und Normen durch den bedienenden Menschen sind daher essenziell. Natürlich müssen Mitarbeiter sowohl in der grundsätzlichen Nutzung der KI-Lösung geschult werden, als auch im Bewusstsein, keine Inhalte blind zu nutzen und zu verbreiten. Nur so ist gewährleistet, dass kein problematisches Material verwendet und veröffentlicht wird. Die Compliance-gerechte Nutzung Fassen wir kurz zusammen: Unternehmen, die KI-gestützte Lösungen wie etwa Microsoft 365 Copilot einsetzen, müssen sicherstellen, dass die Nutzung nicht nur den gesetzlichen, sondern auch den betrieblichen Anforderungen und damit den eigenen Compliance-Richtlinien entspricht. Die Durchführung einer Datenschutz-Folgenabschätzung, die Implementierung geeigneter Sicherheitsmaßnahmen und einer KI-Richtlinie sowie die korrekte Schulung der Mitarbeiter stellen daher grundlegende Schritte dar. Insbesondere die Schulung der Belegschaft muss nicht nur das Verständnis der Funktionen von Microsoft 365 Copilot beinhalten, sondern auch die unternehmenseigenen Richtlinien bezüglich Datenschutz und Compliance.
Partner auf die steigenden Anforderungen vorbereiten KI stellt den Channel vor eine Menge neuer Herausforderungen: Neben den Grundlagen wie der richtigen Infrastruktur, die für den Betrieb und die Implementierung von KI-Lösungen wie Microsoft 365 Copilot benötigt wird, müssen Partner wissen, wie etwa der Tenant korrekt eingestellt werden kann, damit die Daten einer Organisation bei der Verwendung von KI jederzeit geschützt sind. Ganz zu schweigen von Fragestellungen rund um Compliance und Ethik. Es zeigt sich klar: KI ist ein Beratungsthema! Unternehmen sollten nicht auf eigene Faust agieren, sondern sich auf einen kompetenten IT-Partner verlassen können, der in technischen und rechtlichen Belangen versiert ist. Genau aus diesem Grund sollten Reseller sich jetzt informieren, um ihre Stellung als externer Kompetenzträger für ihre Unternehmenskunden wahrzumachen und auszubauen. Den Compliance-gerechten Einsatz von Microsoft 365 Copilot bereiten Reseller ihren Kunden im Optimalfall durch Schulungen, die im Kern die folgenden Aspekte beinhalten: Verständnis der Funktionen und deren effektive Nutzung, Datenschutz und Sicherheit, Praktische Anwendung in Form von Tests und Übungen in einer kontrollierten Umgebung sowie fortlaufende Unterstützung, um jederzeit das Beste aus KI-Lösungen herausholen zu können. Die Hilfestellung und Betreuung von KI-Angeboten sichert Lizenzanbietern eine langfristige Kundenbindung und neue profitable Geschäftsmöglichkeiten. Die Bereitstellung dieser umfangreichen Schulungsangebote ist für die meisten Reseller allein allerdings meist nicht zu stemmen. Daher bieten Distributoren wie ADN mit entsprechenden Angeboten Rückendeckung. ADN unterstützt Partner sowohl auf technischer wie auch vertrieblicher Seite und bietet sogar lehrreiche Informationsangebote aus den Bereichen Compliance und Ethik. Als führender Microsoft Indirect Provider im deutschen Markt bietet ADN neben der klassischen Beratung durch eigene Kompetenzteams im Tages- und Projektgeschäft auch diverse Webinar-Reihen wie die CSP-Week Anfang Juni und Vertriebs-Workshops, sowohl virtuell als auch in Präsenzformaten. Darüber hinaus gibt es eine ganze Reihe von Trainings unterschiedlicher Art über die ADN Cloud Tech Academy. |
Gartner predicts that by 2026, generative AI will be assisting employees in 80 percent of enterprises worldwide. Although Artificial Intelligence (AI) is undoubtedly one of the most important key technologies for digital transformation, legal uncertainties and a lack of expertise are still preventing companies from relying more heavily on AI in their day-to-day operations. However, as with any other form of data processing, there is nothing to stop it being used profitably with the proper care and attention.
The specter of shadow AI Relief from tedious routine tasks, automation of recurring processes, or faster decision-making – these are the goals of many companies and their employees. And once they get AI support, they never want to go back. For this reason, AI is already being used in many organizations – albeit unplanned, uncontrolled, and unauthorized. This is the case, for example, when employees use AI tools to create texts, email responses or graphics and use them for work purposes. This clandestine or unauthorized use violates any legal regulations (e.g. compliance) and can quickly become a major problem for the company’s responsible parties as so-called shadow AI. To ensure that corporate data is not leaked and that all legal requirements are met when using AI-based results, the right infrastructure and policies are needed to ensure that the data access required for AI use is legally compliant. Compliance and security play a critical role, especially for executives who are accountable for violations. Legal cornerstones for the use of AI The use of AI is therefore not without risk. In the worst case, sensitive data could be exposed because the AI was trained with company data. The privacy of employees or customers could also be violated if their data, such as identity, opinions or behavior, is disclosed.
The General Data Protection Regulation (GDPR) places clear requirements on companies using AI. Among other things, the security and confidentiality of data must be guaranteed, for example through appropriate technical and organizational measures. It must also be possible to demonstrate responsibility and accountability for the processing or generation of data at all times. The EU AI Act adopted by the European Parliament on March 13, 2024, which comes into force this year and must be complied with from 2026, also creates a uniform legal framework for the use of AI in the EU. A clearly articulated AI policy can also be an important step toward regulating the use of AI in a clear and compliant manner across the enterprise. AI is not a moral judge Even when AI-enabled solutions are implemented and configured correctly, one critical factor remains: humans. Turning off your brain and letting AI take over entire work processes would be short-sighted. AI is not capable of making moral or ethical decisions and does not recognize when it is creating racist images or offensive or anti-Semitic texts, for example. UNESCO is also concerned that AI will be more prone to stereotypes or prejudice if the data sets used to train it are not diverse enough. Careful handling of the results and independent verification of values and standards by the human operator are therefore essential. Of course, employees must be trained both in the basic use of the AI solution and in the awareness of not blindly using and disseminating content. This is the only way to ensure that problematic material is not used and published. Compliant Use Let’s recap: Organizations deploying AI-powered solutions such as Microsoft 365 Copilot need to ensure that their use is not only compliant with regulatory requirements, but also with operational requirements and their own compliance policies. Conducting a privacy impact assessment, implementing appropriate security measures and an AI policy, and properly training employees are therefore fundamental steps. In particular, employee training must include not only an understanding of the features of Microsoft 365 Copilot, but also the company’s own privacy and compliance policies. Prepare partners for the growing demands AI presents a number of new challenges for the channel: Beyond the basics, such as having the right infrastructure in place to run and implement AI solutions like Microsoft 365 Copilot, partners need to know how to properly set up the tenant, for example, so that an organization’s data is protected at all times when using AI. Not to mention compliance and ethics issues. Clearly, AI is a consulting issue! Businesses should not go it alone, but should be able to rely on a competent IT partner who understands the technical and legal issues. This is exactly why resellers should get informed now in order to establish and expand their position as external experts for their enterprise customers. Ideally, resellers should prepare their customers for the compliant use of Microsoft 365 Copilot by providing training that covers the following key aspects Understanding the features and how to use them effectively, privacy and security, hands-on application through tests and exercises in a controlled environment, and ongoing support to get the most out of AI solutions at all times. Supporting AI offerings ensures long-term customer loyalty and new, profitable business opportunities for licensees. However, most resellers are not in a position to provide these comprehensive training services on their own. This is where distributors like ADN come in. ADN supports partners on both the technical and sales side, and even provides compliance and ethics training. As the leading Microsoft Indirect Provider in the German market, ADN offers a number of webinar series, such as the CSP Week at the beginning of June, and sales workshops in both virtual and face-to-face formats, in addition to traditional consulting by its own competence teams in day-to-day and project business. In addition, there are a number of different types of training courses available through the ADN Cloud Tech Academy. |

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de