Klare Regeln für Datenherkunft & -nutzung in KI-Projekten — Überblick

Kernaussage: KMU brauchen klare, dokumentierte Regeln zur Datenherkunft und -nutzung, um vertrauenswürdige, rechtssichere und wirtschaftliche KI-Projekte zu realisieren.

Warum Datenherkunft für KI entscheidend ist

Datenqualität allein reicht nicht. Für verlässliche Modelle muss die Herkunft jeder Datenquelle bekannt sein: wer hat die Daten erstellt, unter welchen Bedingungen und mit welchem Zweck. Fehlt diese Transparenz, entstehen Risiken bei Modellbias, Haftung und Datenverwendung. Beispiele aus dem KMU-Alltag: Kundendaten aus älteren CRM-Systemen ohne Herkunftskennzeichnung führen zu fehlerhaften Segmentierungen; Lieferantendaten, die via Excel-Exports und manuellem Abgleich zusammengeführt wurden, enthalten Duplikate und widersprüchliche Stammdaten.

Welche Informationen Sie zwingend dokumentieren müssen

Dokumentieren Sie pro Datensatz: Quelle (System, Drittpartei, manuell), Erhebungszeitpunkt, Zweck der Erhebung, Rechteinhaber, Anonymisierungsgrad und Übertragungsweg. Praktisch im KMU: Erstellen Sie ein einfaches Datenblatt pro Dataset in einer gemeinsamen Ablage (z. B. Sharepoint). Ein Datenblatt für Verkaufsdaten sollte Feldherkunft (POS, Online-Shop), Erfassungslogik (Zählschritt, Summenbildung), und bekannte Probleme (fehlende Rückmeldungen, Duplicate IDs) enthalten.

Konkrete Regeln für Nutzung und Weitergabe

Legen Sie klare Nutzungszwecke fest: Training, Validierung, Reporting. Definieren Sie, welche Daten für Modelltraining verwendet werden dürfen und welche nicht (z. B. personenbezogene Daten ohne Einwilligung). Regeln müssen technische Umsetzungen begleiten: Zugriffskontrollen, Protokollierung von Datenexporten und automatische Maskierung sensibler Felder. Beispiel: Ein Chatbot-Projekt darf Kundennamen nur in pseudonymisierter Form verwenden; Zugriffe protokollieren Sie über Rollen im Berechtigungssystem.

Prüfung von Drittanbieterdaten und Lizenzen

Viele KMU kaufen oder beziehen Daten von Drittanbietern. Prüfen Sie Lieferverträge auf Nutzungsrechte für KI-Training und auf Garantien zur Datenherkunft. Fragen Sie nach Belegen, dass Daten rechtmässig erhoben wurden. Beispiel: Ein Lieferant liefert Geodaten—fordern Sie Nachweise zur Datenerhebung (öffentliche Quelle, Erlaubnis, Lizenz) und eine klare Erklärung, ob die Daten für kommerzielle Modellentwicklung verwendet werden dürfen.

Typische Fehler und wie Sie sie korrigieren

Fehler 1: Keine Herkunftskennzeichnung bestehender Datenbestände. Korrektur: Führen Sie rückwirkend einfache Metadaten ein (Quelle, Erhebungsdatum, Verantwortlicher) und markieren Sie unsichere Datensätze als «nicht freigegeben für Training».
Fehler 2: Ungeprüfte Nutzung externer Daten für Modelltraining. Korrektur: Implementieren Sie einen Beschaffungs-Check mit Lizenzprüfung und schriftlicher Bestätigung der Nutzungsrechte, bevor Daten ins Trainingsumfeld gelangen.
Fehler 3: Fehlende Zugriffskontrolle auf sensible Daten. Korrektur: Setzen Sie rollenbasierte Zugriffsrechte und Audit-Logs durch; pseudonymisieren oder anonymisieren Sie Daten vor dem Export aus produktiven Systemen.

Umsetzung im Betrieb — praktische Schritte

Starten Sie mit kleinen, umsetzbaren Massnahmen: Ein einfaches Dateninventar, verbindliche Nutzungsregeln für KI-Projekte, und eine Vorlage für Datenblätter. Bilden Sie eine verantwortliche Person (Datenverantwortlicher) für jedes Projekt. Schulen Sie Projektteams kurz und prägnant auf die neuen Regeln. Beispiel: Beim nächsten KI-Pilotprojekt muss das Team vor dem ersten Datenzugriff ein ausgefülltes Datenblatt vorlegen.

14–30-Tage-Handlungsanleitung

Tag 1–3: Bestandsaufnahme — Erfassen Sie die wichtigsten Datenquellen für geplante KI-Projekte (CRM, ERP, Excel-Silos, Drittanbieter). Legen Sie Prioritäten nach Projektrelevanz.

Tag 4–8: Datenblattvorlage erstellen — Definieren Sie Pflichtfelder (Quelle, Zweck, Rechteinhaber, Erhebungsdatum, Anonymisierungsstatus). Nutzen Sie ein zentrales Dokument in Ihrer Ablage.

Tag 9–14: Rückwirkende Kennzeichnung — Füllen Sie Datenblätter für die Top-3 priorisierten Datensätze aus. Markieren Sie unsichere Datensätze.

Tag 15–18: Zugriffs- und Rollenregelung — Implementieren Sie einfache Rollen (Lesen, Schreiben, Exportieren) in Ihrem Berechtigungssystem und setzen Sie Audit-Logs auf.

Tag 19–22: Prüfprozess für Drittanbieter — Erstellen Sie eine Checkliste für Datenbeschaffung (Lizenz, Herkunftsnachweis, Einsatzzweckfreigabe) und wenden Sie sie auf aktuelle Lieferanten an.

Tag 23–26: Schulung und Verantwortlichkeiten — Bestimmen Sie Datenverantwortliche für Projekte und führen Sie eine kurze Schulung (30–60 Min.) zu Dokumentation und Nutzungsregeln durch.

Tag 27–30: Pilotvalidierung — Starten Sie ein kleines KI-Pilotprojekt nur mit freigegebenen Datensätzen; überprüfen Sie, ob alle Dokumente, Zugriffe und Logs wie vorgesehen funktionieren.

Diese Schritte sichern Ihre Datenherkunft und -nutzung pragmatisch ab. So reduzieren Sie rechtliche Risiken, verbessern Modellqualität und schaffen Vertrauen bei Kunden und Partnern.