KI im Unternehmen – So Setzen Sie Künstliche Intelligenz erfolgreich ein
Künstliche Intelligenz (KI) hat sich längst von einem futuristischen Konzept zu einem essenziellen Bestandteil moderner Unternehmensstrategien entwickelt. Unternehmen jeder Größe erkennen die enormen Potenziale von KI, um Prozesse zu optimieren, den Kundenservice zu verbessern und innovative Produkte zu entwickeln. Besonders der Einsatz von Large Language Models (LLMs) eröffnet vielfältige Anwendungsmöglichkeiten – von der Textanalyse und -zusammenfassung über das Gegenlesen wichtiger E-Mails bis hin zur intelligenten Informationsrecherche. Doch trotz dieser Vielseitigkeit stehen viele Unternehmen vor den Fragen: Welche Kosten kommen auf mich zu? Ist der Einsatz datenschutzrechtlich unbedenklich? Wie schütze ich meine Geschäftsgeheimnisse?
Möglichkeiten der Bereitstellung von LLMs
Der Einsatz von Sprachmodellen im Unternehmen kann auf verschiedene Weise erfolgen. Eine populäre Option ist die Nutzung fertiger Pakete von Anbietern wie Microsoft Copilot Pro, das mit umfangreichen Funktionen überzeugt. Allerdings kann der Preis von etwa 22 Euro pro Nutzer und Monat schnell ins Gewicht fallen, wenn eine größere Anzahl von Mitarbeitenden Zugriff auf die KI-Funktionen haben soll.
Eine weitere Möglichkeit besteht darin, eigene KI-Modelle bereitzustellen. Dies ist jedoch häufig mit hohen Anschaffungskosten verbunden, da leistungsfähige Server mehrere Tausend Euro kosten können. Alternativ bieten Anbieter wie Nvidia mit ihren PCs der DGX-Plattform eine interessante, wenn auch weiterhin kostspielige Lösung für Unternehmen, die lokale Inferenzlösungen bevorzugen. Der DGX-Spark wird vermutlich für ungefähr 3.000 US-Dollar ausreichend Leistung für ein mittelgroßes Sprachmodell bieten. Es ist erwartbar, dass die Preise in Zukunft weiter fallen dürften, aber für die wenigsten Unternehmen wird das absehbar eine kosteneffiziente Lösung.
Der intelligente Mittelweg: Kombination aus eigenem Frontend und API-Modellen
Eine kosteneffiziente und flexible Lösung stellt die Kombination aus einem eigenen Frontend und der Nutzung von API-Modellen großer Anbieter dar. Hierbei wird die Benutzeroberfläche der KI-Anwendung auf den eigenen Servern gehostet, während die KI-Modelle über eine API von externen Anbietern bezogen werden. Diese Anbieter können dank ihres breiten Kundenstamms die Modelle im Pay-per-Use-Modell zu günstigen Preisen anbieten und gleichzeitig eine hohe Verfügbarkeit sowie schnelle Reaktionszeiten gewährleisten.
Die Kosten für die Nutzung eines API-Modells sind vernachlässigbar gering. Das Hosting des Frontends erfordert dazu nur minimale Rechenleistung, sodass Unternehmen mit einer gut aufgestellten IT-Infrastruktur dieses oftmals auf bestehenden Serverkapazitäten bereitstellen können. Ansonsten reicht für die meisten Unternehmen bereits ein virtueller Server für unter 10 Euro pro Monat aus, um ein Frontend bereitzustellen. Open Source Software wie OpenWebUI, LibreChat oder Chat-UI sind hier gute Optionen. Die Auswahl ist aber sehr breit und es gibt mittlerweise dutzende gute Möglichkeiten. Auch lokal installierte Software kann eine gute Möglichkeit sein. Dann muss der API-Key aber auf jedem Client einzeln eingerichtet werden. Für Unternehmen mit sehr wenigen Clients kann das aber eine valide Möglichkeit sein.
Melden Sie sich bei Rechtsanwalt Tröber, um Ihre Umsetzungsideen mit einem Fachanwalt für IT-Recht zu besprechen.
Datenschutzrechtliche Aspekte und Berufsgeheimnisträgerschaft
Besonders kritisch ist der Umgang mit sensitiven Daten und Geschäftsgeheimnissen. Nach deutschem Recht machen sich Berufsgeheimnisträger gemäß § 203 Strafgesetzbuch (StGB) strafbar, wenn sie geschützte Daten an Dritte weitergeben. Das kann bei Dienstleistern allerdings verhindert werden, wenn diese auf die Strafbarkeit und auf die Geheimhaltungspflichten hingewiesen werden und die Dienstleister wiederum alle Mitarbeitenden zur Geheimhaltung verpflichten.
In der Regel sind ausländische Unternehmen nicht auf diese Vorgaben des deutschen Rechts eingestellt. Eine Ausnahme ist dabei Microsoft, welche eine entsprechende Zusatzvereinbarung vorhalten. Einige deutsche Cloud-Anbieter, beispielsweise IONOS, haben entsprechende Passagen in ihren Nutzungsbedingungen
Um die Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 DS-GVO) bei KI-Anbietern datenschutzrechtlich sauber zu gestalten ist es zwingend erforderlich, einen Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DS-GVO zu schließen. Eine AVV regelt die gegenseitigen Pflichten zum Umgang mit den personenbezogenen Daten. Erfreulicherweise bieten die meisten großen KI-Anbieter AVVen an. Auch namhafte amerikanischen Anbieter haben sich zwischenzeitlich auf die Einhaltung europäischer Datenschutzstandards eingestellt. Dennoch ist es unerlässlich, bei der Auswahl eines KI-Anbieters genau zu prüfen, ob diese Verträge vorgehalten und vereinbart werden können.Die Vereinbarungsfähigkeit richtet sich vor allem nach den spezifischen Anforderungen des Unternehmens und derjenigen, die personenbezogene Daten verarbeiten.
Empfehlenswert ist in vielen Fällen auch der Einsatz einer Data-Loss-Prevention (DLP) Software, welche beispielsweise bei der Nutzungvon Large Language Models (z.B. ChatGPT) personenbezogene Daten aus den Prompts herausfiltern, bevor diese an den KI-Anbieter gesendet werden.
Auch die Pflicht zur Schulung von Mitarbeitenden nach Art. 4 KI-VO sollte nicht vergessen werden. Diese ist Mitte Februar in Kraft getreten. Zwar gibt es aktuell noch keine Aufsichtsbehörde, die das kontrolliert. Aber aus verschiedenen haftungsrechtlichen Gründen ist es sinnvoll, sich frühzeitig darum zu kümmern, dass Mitarbeitende im Umgang mit KI geschult sind. Dass kann auch gut mit dem Onboarding für ein eigenes Firmeninternes System verbunden werden. Eine entsprechende KI-Kompetenzschulung bietet die Kanzlei Tröber@ legal an.
Vorteile der hybriden Lösung
Der größte Vorteil der hybriden Lösung – Kombination aus eigenem Frontend und externen API-Modellen – liegt in der erhöhten Datenkontrolle. Alle längerfristig gespeicherten Chats und Daten verbleiben auf den eigenen Servern oder Rechnern des Unternehmens. Externe KI-Anbieter erhalten lediglich einzelne Anfragen, die nach der Bearbeitung sofort gelöscht werden. Dadurch wird die Datensicherheit erhöht und die Kontrolle über sensible Unternehmensinformationen gewahrt.
Einige Anbieter im Überblick
Der Markt für KI-Anbieter ist breit gefächert, wobei sich verschiedene Anbieter durch unterschiedliche Stärken auszeichnen:
Groq und Cerebras scheinen für den unternehmensinternen Einsatz interessant, wenn es um Geschwindigkeit und Kosten-Effizienz geht. Sie bieten schnelle Inferenz-Geschwindigkeiten, was sie für Anwendungen wie Retrieval-Chatbots geeignet erscheinen lässt. Überwiegend werden Modelle von Meta, teilweise aber auch von Mistral angeboten.
Der Marktführer OpenAI mit Modellen wie ChatGPT ist ohne Data Loss Prevention in sensiblen Bereichen fragwürdig und mit Vorsicht einzusetzen. Die stetig steigende Leistungsfähigkeit und verlässliche Argumentation ist verführerisch. Sie sollte jedoch nicht zum Einsatz ohne vorherige technische und rechtliche Mindestabsicherung verleiten.
Claude-Modelle von Anthropic sind im Kommen, besonders bei Anwendungen mit großen Kontextlängen. Auch die Gemini-Modelle von Google bieten erstaunlich gute Leistungen. Beide bedürfen jedoch eines besonderen Augenmaßes in Bezug auf den datenschutzkonformen Einsatz.
Empfehlungen für den erfolgreichen KI-Einsatz
Basierend auf unseren Beobachtungen des Marktes lassen sich die folgende Einschätzungen ableiten:
Maximale Geschwindigkeit und Effizienz
Groq, Cerebras und La Plateforme von Mistral erscheinen sinnvoll, wenn Anwendungen höchste Inferenz-Geschwindigkeiten und Kosteneffizienz erfordern. Diese Unternehmen halten auch Auftragsverarbeitungsverträge vor.
Datenschutz und lokale Datenhaltung
IONOS erscheinen eine gute Wahl für Unternehmen, die höchste Anforderungen an den Datenschutz stellen und sicherstellen möchten, dass ihre Daten innerhalb Deutschlands verbleiben. Vor allem für Berufsgeheimnisträger ist IONOS interessant. Da IONOS sein Angebot aber gerade erst aufbaut ist noch nicht sicher, ob es langfristig bestehen bleibt.
Leistungsstarke und verlässliche Modelle
ChatGPT von OpenAI, Gemini von Google und Claude von Anthropic bieten leistungsstarke Modelle, die insbesondere für komplexe KI-Anwendungen, die Präzision und Konsistenz erfordern, eine solide Basis darstellen. Datenschutztechnisch sind die Anbieter dieser Modelle aber nicht für alle Anwendungszwecke geeignet, schon gar nicht in der kostenlosen Version. Über Azure AI lassen sich ChatGPT Modelle benutzen, was das Datenschutzniveau erhöht, allerdings auch nicht uneingeschränkt..
Fazit
Der rechtssichere und kosteneffiziente Einsatz von KI erscheint möglich. KI-Modelle werden vielfach als Blackbox bezeichnet. Ein kontrollierter Umgang zum Schutz personenbezogener Daten ist - entgegen weitläufiger Meinung - nicht unmöglich. Kostenlosen Angebote der etablierten Anbieter sind in aller Regel für einen professionellen Einsatz datenschutztechnisch und damit auch datenschutzrechtlich völlig ungeeignet. Dies schon deshalb, weil in den Nutzungsbedingungen einiger Anbieter das Recht vorbehalten ist, die Daten der Nutzer als Trainingsdaten zu verwenden. Wenn Unternehmen ihren Mitarbeitenden eine eigene Alternative bieten, dann beugen diese dem unkontrollierbaren Aufbau einer Schatten-IT vor und geben den Mitarbeitenden zugleich Raum, die Möglichkeiten von KI zu testen. Wer mit einem Chat-Frontend startet, kann anschließend auch mit Applikationen wie n8n, Langflow, Flowise oder Zapier komplexere Chatbots bauen und Abläufe automatisieren.
Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber