thirdmind
Kontakt
Kontakt

Sicherheit

KI, Datenschutz und Kontrolle für Digitale Mitarbeiter.

Ein digitaler Mitarbeiter arbeitet mit echten Daten und echten Systemen. Deshalb klären wir Datenschutz, EU AI Act und Sicherheit nicht am Ende, sondern bei Aufgabe, Datenfluss, Rechten, Logs und der Frage, wann ein Mensch entscheidet.

Abstrakte Sicherheitsarchitektur mit begrenzten Zugriffen, Rollen und Freigabepunkten

Warum es anders ist

Ein Chatbot beantwortet Fragen. Ein digitaler Mitarbeiter greift in Arbeit ein.

Das System liest Dokumente, prüft Daten, sucht Kontext, bereitet Antworten vor oder legt Vorgänge in Systemen an. Dadurch entstehen Datenschutz-, Sicherheits- und regulatorische Fragen, etwa nach DSGVO oder EU AI Act. Diese Punkte müssen vor dem Pilot geklärt werden.

  • Welche Quellen darf das System lesen?
  • Welche Aktion darf das System vorbereiten?
  • Wann muss ein Mensch übernehmen?

Kurzantwort

KI und Datenschutz brauchen Architektur, Prüfung und klare Grenzen.

thirdmind plant Digitale Mitarbeiter als kontrollierte KI-Systeme. Jede Einheit bekommt eine klare Aufgabe, begrenzten Systemzugriff, definierte Rechte, Protokollierung und Eskalationsregeln. Backend und eingesetzte LLMs werden in der EU gehostet, Kundendaten nicht für das Training fremder LLMs verwendet. Unsere Grundarchitektur wurde von DORDA, unserer juristischen Partnerkanzlei, geprüft. Bei projektbezogenen Fragen zu DSGVO oder EU AI Act ziehen wir DORDA hinzu.

Kann KI mit Unternehmensdaten sicher eingesetzt werden?

Ja, wenn Aufgabe, Datenquellen, Rechte, Logs und Freigaben vor dem produktiven Einsatz geklärt werden. Ein digitaler Mitarbeiter bekommt keinen pauschalen Zugriff auf das Unternehmen.

Ist ein digitaler Mitarbeiter DSGVO-konform?

Wir bauen das Setup so, dass Datenschutz vor dem produktiven Einsatz geklärt wird: Zweck, Daten, Rollen, Rechte, Logs, Freigaben und Verantwortung. Die konkrete Einordnung hängt vom Prozess ab.

Berücksichtigt thirdmind den EU AI Act?

Ja. Wir prüfen im Projekt, welche Rolle, Risikoeinordnung und Transparenzpflichten für das konkrete KI-System relevant sein können. Offene Punkte klären wir mit DORDA.

Was verhindert unkontrollierte KI-Aktionen?

Begrenzte Rechte, Human-in-the-Loop, Eskalationsregeln und Audit Logs. Kritische Schritte werden vorbereitet oder an Menschen übergeben, statt automatisch durchzulaufen.

Hosting EU
LLM-Training Kein Provider-Training
Logs Audit pro Fall
Rechte Pro System
Übergabe Human-in-the-Loop
Regulatorik DSGVO, EU AI Act

Sieben Prinzipien

So planen wir Sicherheit in jedes Setup.

01 · Scope

Klare Aufgabe statt offener Zugriff

Ein digitaler Mitarbeiter bekommt keinen allgemeinen Zugriff auf das Unternehmen. Das System bekommt eine Aufgabe: Rechnungen prüfen, Tickets vorbereiten, Stammdaten abgleichen. Alles andere bleibt außerhalb des Scopes.

02 · Rechte

Rollen und Rechte

Rechte werden pro digitalem Mitarbeiter festgelegt: Lese-, Schreib- und Freigaberechte, Systemgrenzen, Datenarten und Eskalationspunkte. Das Ziel ist begrenzte Handlungsfähigkeit, nicht pauschale Autonomie.

03 · Übergabe

Human-in-the-Loop

Menschen bleiben dort im Prozess, wo Verantwortung liegt. Wenn ein Fall unsicher ist, außerhalb der Regeln liegt oder eine Entscheidung braucht, wird er übergeben.

04 · Nachvollziehbarkeit

Audit Logs

Logs zeigen, welcher Fall verarbeitet wurde, welche Daten genutzt wurden, welche Entscheidung vorbereitet wurde und wann an einen Menschen übergeben wurde.

05 · Hosting

EU-Hosting, kein Provider-Training

Backend und eingesetzte LLMs werden in der EU gehostet. Kundendaten werden nicht für das Training fremder LLMs verwendet. Bei Datenschutz- oder EU-AI-Act-Fragen ziehen wir projektbezogen juristische Unterstützung hinzu.

06 · Freigaben

Schreibrechte nur mit Grenzen

Ein digitaler Mitarbeiter kann Aktionen vorbereiten oder in klaren Grenzen ausführen. Welche Rechte das System bekommt, hängt vom Prozess, Risiko und Freigabemodell ab.

07 · Infrastruktur

On-Premise ist kein Ausschluss

Nicht jedes Unternehmen arbeitet nur in Cloud-Systemen. Digitale Mitarbeiter können auch in Umgebungen geplant werden, in denen Datenbanken oder Fachsysteme on-premise liegen.

Vor dem Piloten

Diese Fragen klären wir vor jedem Piloten.

  1. 01 Welche Aufgabe übernimmt der digitale Mitarbeiter?
  2. 02 Welche Datenquellen braucht das System?
  3. 03 Welche Systeme werden angebunden?
  4. 04 Welche Rechte bekommt das System?
  5. 05 Welche Aktionen darf das System nur vorbereiten?
  6. 06 Welche Fälle werden eskaliert?
  7. 07 Welche Logs werden benötigt?
  8. 08 Wer ist fachlich verantwortlich?
  9. 09 Welche DSGVO-, EU-AI-Act- oder IT-Vorgaben gelten?

Unsere Haltung

Keine Pauschalgarantie. Aber klare Verantwortung.

Wir behandeln DSGVO nicht als pauschales Siegel, weil jedes Setup an Zweck, Daten, Rollen und Prozess hängt. Was wir tun: Wir planen Sicherheit als Architektur, dokumentieren Grenzen und Verantwortlichkeiten und holen bei DSGVO- oder EU-AI-Act-Fragen projektbezogene Rechtsberatung dazu.

01

Juristisch geprüfte Grundarchitektur als Startpunkt.

02

Projektbezogene Klärung bei DSGVO- und EU-AI-Act-Fragen.

03

Technische Grenzen, Logs und menschliche Freigaben im Setup.

Häufige Fragen

Sicherheit ehrlich beantwortet.

Wie passt KI mit Datenschutz im Unternehmen zusammen?

KI passt dann in Unternehmensprozesse, wenn Aufgabe, Datenquellen, Rechte, Protokolle und Freigaben klar begrenzt sind. thirdmind plant Digitale Mitarbeiter mit EU Hosting, begrenzten Datenflüssen, nachvollziehbarer Verarbeitung und Blick auf DSGVO und EU AI Act.

Sind Digitale Mitarbeiter DSGVO-konform?

Datenschutz hängt am konkreten Setup. thirdmind arbeitet mit EU Hosting, begrenzten Datenflüssen, Rollen, Rechten, Protokollierung und einer von DORDA geprüften Grundarchitektur. Wenn DSGVO- oder EU-AI-Act-Fragen im Projekt relevant werden, ziehen wir DORDA projektbezogen hinzu.

Berücksichtigt thirdmind den EU AI Act?

Ja. Wir prüfen im Projekt, welche Rolle, Risikoeinordnung und Transparenzpflichten für das konkrete KI-System relevant sein können. Die Einordnung passiert am konkreten Einsatzfall; offene Punkte klären wir bei Bedarf mit DORDA.

Werden Kundendaten für LLM-Training verwendet?

Nicht für das Training fremder LLMs. Kundenspezifische Daten können im Projekt als Kontext, Wissensbasis oder Testsatz genutzt werden, aber nicht für Provider-Training.

Wo werden die Systeme gehostet?

Backend und eingesetzte LLMs werden in der EU gehostet. Die konkrete Architektur wird im Projekt festgelegt.

Kann ein digitaler Mitarbeiter Schreibrechte bekommen?

Ja, aber nicht automatisch. Schreibrechte hängen vom Prozess, dem Risiko und den Freigaberegeln ab. Oft ist es sinnvoll, Aktionen zuerst nur vorzubereiten und von Menschen freigeben zu lassen.

Wie werden falsche Aktionen verhindert?

Durch klaren Scope, geprüfte Datenquellen, begrenzte Rechte, Eskalationsregeln, Human-in-the-Loop und Logs. Kein einzelner Mechanismus reicht allein.

Wer ist verantwortlich, wenn ein digitaler Mitarbeiter arbeitet?

Die Verantwortung bleibt im Unternehmen klar zugeordnet. Deshalb braucht jedes System eine fachliche Verantwortung, definierte Grenzen und nachvollziehbare Übergaben.

Können interne Systeme oder On-Premise-Daten angebunden werden?

Ja, solche Setups sind möglich. Vorab wird geprüft, welche Verbindung sinnvoll und sicher ist und welche Daten der digitale Mitarbeiter wirklich braucht.

Sicherheit besprechen

Wenn ein digitaler Mitarbeiter mit echten Daten arbeitet, gehört Sicherheit an den Anfang.

Sicherheit für einen Prozess klären Digitale Mitarbeiter ansehen

Yuno stellt dir vier kurze Fragen und hilft, den passenden nächsten Schritt einzuordnen: Prozessprüfung, Pilot oder Sicherheitsgespräch.