Es ist keine Zukunftsmusik mehr. Unternehmen suchen nach Wegen , Generative KI einzusetzen, um die Produktivität ihrer Belegschaft zu steigern. 

Auch Bedürfnisse der Endnutzer müssenbefriedigt werden. Menschen nutzen Generative KI in ihrem Privatleben und möchten sie auch bei der Arbeit einsetzen. Arbeitnehmer bewerten Jobmöglichkeiten anhand der verfügbaren KI-Tools des potenziellen Arbeitgebers. Von oben nach unten müssen Organisationen sicherstellen, dass sie im Wettbewerb um Fachkräfteund Produktivität mithalten können. Und es zeigt sich, dass es effektiv ist. Eine aktuelle Forrester-Studie prognostiziert eine gesteigerte Produktivität, Kostensenkungen, verkürzte Einarbeitungszeiten und einen beeindruckenden ROI von bis zu 450%.

All dies treibt die Implementierung in einem bisher nicht gekannten Ausmaß voran. GroßeUnternehmen, die bei der Einführung neuer Technologien bislang eher zurückhaltend waren, kaufen jetzt zehntausende Microsoft 365 Copilot-Lizenzen und forcieren die Einführung in rasantem Tempo.

Inmitten dieser dynamischen Entwicklung stellt sich für jeden General Counsel oder Leiter der Rechtsabteilung die zentrale Frage: Wie können wir Copilot für Microsoft 365 verantwortungsvoll implementieren?

Hier sind fünf Fragen, die die Rechtsabteilung der IT-Abteilung stellen sollte, um sicherzustellen, dass die Einführung von Copilot für Microsoft 365 rechtliche Aspekte berücksichtigt. Die gute Nachricht ist: Die Berücksichtigung dieser Aspekte kann auch dazu beitragen, die Effizienz von Copilot für Microsoft 365 zu steigern und bessere Ergebnisse zu erzielen. 

Frage 1: Wie können wir sicherstellen, dass Copilot für Microsoft 365 keine sensiblen Informationen an Mitarbeiter preisgibt, die keinen Zugriff darauf haben sollten? 

Ein Nutzer hat in der Regel Zugriff auf Outlook, OneDrive, Teams und andere Anwendungen, aber möglicherweise auch auf Informationen, von denen er nichts weiß, wie z.B. Dateien auf bestimmten SharePoint- oder OneDrive-Seiten. Angenommen, ein Mitarbeiter hat eine Datei mit der Option "Mit allen in meiner Organisation teilen" freigegeben. Dies war bisher kein großes Risiko, da "alle in meiner Organisation" auch den Link kennen mussten, um auf die Datei zugreifen zu können. Wenn ein Nutzer jedoch eine Anfrage an Copilot für Microsoft 365 sendet, basiert diese auf allen Dateien, auf die Zugriff besteht. Daher könnte die Antwort von Copilot Informationen enthalten, auf die dieser Nutzer eigentlich keinen Zugriff haben sollte oder von denen er nicht weiß, dass er Zugriff darauf hat.

Um dieses Problem zu adressieren, können Organisationen die Datensicherheits- und Compliance-Funktionen von Microsoft 365 Purview nutzen, um sensible Inhalte zu identifizieren und zu kennzeichnen. Dazu gehören Daten, die der DSGVO und anderen, Datenschutzbestimmungen oder  unternehmensindividuellen Regelungen für sensible Geschäftsunterlagen unterliegen, z.B. ein vertrauliches M&A-Ziel, geistiges Eigentum usw.
Um die Einführung von Copilot in dieser Hinsicht nicht zu blockieren, können Organisationen sensitive Daten, stufenweise basierend auf Risikokategorien schützen. Zum Beispiel lassen sich zunächst sensible Daten identifizieren und generell von der Nutzung durch Copilot ausschließen, um später schrittweise granularere Einstellungen vorzunehmen.

Frage 2: Wie können wir vermeiden, dass Copilot für Microsoft 365 veraltete oder ungenaue Daten verwendet?  

Da Copilot für Microsoft 365 alle  zugänglichen Daten nutzt, könnten diese Daten veraltet sein oder sachlich falsche Informationen enthalten. Viele Organisationen beruhen auf einer faktischen "Alles-Aufbewahren"-Datenkultur oder haben keine automatisierten Löschregeln implementiert, die mit den Unternehmensrichtlinien zur Datenaufbewahrung übereinstimmen.

Copilot für Microsoft 365 wird für seine Nutzer ein umso besseres Werkzeug sein, je genauere und präzisere Daten es verwendet. Die Einführung von Copilot für Microsoft 365 ist ein guter Zeitpunkt, um die Richtlinien zur Datenaufbewahrung und -löschung zu überprüfen. Gute Praktiken reduzieren Datenmengen basierend auf Zeitrahmen und Inhaltsduplikaten, was hilft, qualitativ unbefriedigende Antworten von Copilot für Microsoft 365 zu vermeiden. 

Frage 3: Wie können wir Datenverlust oder Datenlecks verhindern? 

Durch die oben genannten Schritte zur Definition sensibler Inhalte und zur Implementierung automatischer Datenklassifizierung können Organisationen proaktive Kontrollen anwenden, um das Risiko von Datenverlust oder Datenlecks zu reduzieren. Mit Microsoft Purview Data Loss Prevention (DLP) können Organisationen Nutzer daran hindern, sensible Informationen an ein persönliches E-Mail-Konto oder andere nicht autorisierte Ziele weiterzugeben. Proaktive Kontrollen können Nutzer warnen, die Aktivität blockieren, protokollieren und ein verantwortliches Team benachrichtigen. Das System kann auch alle Antworten von Copilot identifizieren, die Informationen aus einer bereits klassifizierten Datei enthalten, und diese Klassifizierung und die damit verbundenen Kontrollen an neue erstellte Dateien vererben.

Frage #4: Wie kann man die Prompts und Antworten in Copilot für Microsoft 365 überwachen und kontrollieren? 

Grundsätzlich ist Gen-AI Technologie “intelligent” genug, um keine unsinnigen Fragen von Nutzern zuzulassen.

Darüber hinaus schützen die regelbasierte Implementierung eines Klassifizierungsschemas und DLP-Richtlinienkontrollen Eingabeaufforderungen und Antworten auf individueller Ebene. 
Wenn weiterhin Bedenken bestehen, dass Nutzer nach sensiblen oder vertraulichen Informationen fragen werden, können zusätzliche Schutzebenen eingerichtet werden. Dazu gehört die Einschränkung dessen, was Endnutzer in einer Eingabeaufforderung fragen können, oder das Unterdrücken von , sensiblen Fragen an eine Organisation. Antworten werden auch auf die Einhaltung der Unternehmensrichtlinien überprüft, um zu verhindern, dass sensible Informationen an einen Endnutzer weitergegeben werden, der keinen Zugriff auf diese Inhalte haben sollte.

Frage #5: Wenn Copilot neue Dokumente erstellt, wie bringen wir unsere Datenaufbewahrungsrichtlinien mit unseren eDiscovery-Praktiken in Einklang? 

Derzeit ist die Aufbewahrung von Copilot-Eingabeaufforderungen an Microsoft Teams gekoppelt. Wenn ein Nutzer Copilot für Microsoft 365 bittet, ein Word-Dokument zusammenzufassen, behält das Postfach des Nutzers die Eingabeaufforderung und Antwort.

Derzeit wird in Fachkreisen debattiert, ob dies als eine weitere Datenquelle wie ein Chat betrachtet werden sollte, aber technisch gesehen ist es das nicht. Es handelt sich um flüchtige Inhalte oder kann als “Convenience Copy” betrachtet werden und muss daher nicht für Zwecke der Aufbewahrung von Aufzeichnungen gespeichert werden. Dennoch möchte eine Organisation möglicherweise von Copilot für Microsoft 365 generierte Daten für etwaige arbeitsrechtliche Auseinandersetzungen, forensische Untersuchungen usw. aufbewahren. Organisationen sollten dies berücksichtigen und Richtlinien für diese Art von Daten festlegen.

Bonusfrage, die sich jeder stellen sollte: Was ist ein realistischer Zeitrahmen für die verantwortungsvolle Einführung von Gen-AI?  

Einer der wichtigsten und zeitaufwändigsten Aspekte der Vorbereitung auf die Einführung von Gen-AI ist die Sicherstellung, dass Daten kontrolliert werden und sicher sind. Im Schnitt wird einvollständiger Roll-Out in einem großen Unternehmen sechs Monate dauern. Über einen stufenweisen, agilen Ansatz lässt sich dies möglicherweise verkürzen. So können Gen-AI Tools zunächst von erfahrenen Anwendern genutzt werden, deren Erfahrungen und Erkenntnisse dann direkt bei der Ausweitung auf weitere Nutzergruppen innerhalb der Organisation einfließen.

Dieser Ansatz kann die Einführung beschleunigen und ist effektiver als der Versuch, Probleme zu beheben und Kontrollen zu implementieren, nachdem bereits in der Fläche mit der  mit der Einführung begonnen wurde.  Ein agiler Ansatz ist nicht neu, wohl aber eine mehrschichtige Analyse von sensiblen Informationen und Zugangskontrollen, über die sich das mit dem Einsatz von Gen-AI verbundene Risiko verringern lässt .

Erfahren Sie mehr über Epiq's Responsible AI und Copilot  Readiness Assessment und Dienstleistungen, und wie wir Ihre Organisation unterstützen können.

Epiq ist führend in der Beratung von Unternehmen bei der Sicherung von Compliance im Rahmen der Copilot Einführung.

 Aus unserer Arbeit für Organisationen mit bis zu 100.000 Nutzern haben wir unser “Responsible AI und Copilot Readiness Assessment” und weitere Beratungsdienstleistungen entwickelt, um Rechts- und IT-Teams dabei zu helfen, Gen-AI schnell innerhalb ihrer Organisationen einzusetzen. Dieses Beratungsprogramm befasst sich mit den dringendsten Fragen, die ein General Counsel oder Head of Legal der IT stellen sollte, um die rechtskonforme Einführung von Copilot sicherzustellen.

Jon Kessler, Vice President, Information Governance, Epiq 
Jon Kessler ist Vice President of Information Governance bei Epiq, wo er ein globales Team leitet, das sich auf Microsoft Purview, verantwortungsvolle KI-Adoption, Datenmigration, Legal Hold, Datenschutz, Insider-Risikomanagement, Datenlebenszyklusmanagement, Datensicherheitsberatung und M&A-Datenprozessmanagement konzentriert. Er verfügt über umfangreiche Erfahrung in der Arbeit an komplexen Angelegenheiten in verschiedenen Branchen und bietet oft formelle Compliance- und eDiscovery-Schulungen für Regierungsbehörden und Fortune 500-Unternehmen an.
government agencies and Fortune 500 companies.