Sicherheit und Datenschutz bei Google Gemini: Die wichtigsten Erkenntnisse
Der Einsatz von generativer KI im Unternehmen wirft unweigerlich Fragen auf: Wie sicher sind unsere Daten? Werden Daten zum Trainieren öffentlicher Modelle verwendet?
Im ersten Modul unserer "Gemini Adoption Series" standen genau diese Themen im Fokus. Wir haben die wichtigsten Punkte zusammengefasst, damit Sie verstehen, wie Google Gemini in Ihre bestehende Sicherheitsarchitektur integriert wird.
1. Der Grundsatz: Ihre Daten bleiben Ihre Daten
Im Zeitalter von Generativer KI ist die Sorge um die Vertraulichkeit sensibler Daten berechtigt. Es darf nicht passieren, dass interne Strategien oder Kundendaten in das öffentliche Wissen einer KI einfliessen. Genau hier greifen die umfassenden Datenschutzrichtlinien von Google Workspace.
Das zentrale Sicherheitsprinzip lautet: Daten müssen strikt getrennt bleiben.
Google unterscheidet konsequent zwischen Ihren Unternehmensdaten und den öffentlichen KI-Modellen. Inhalte aus Google Workspace (z.B.: in Docs, Gmail oder Drive) werden nicht zum Training oder zur Optimierung des zugrundeliegenden Foundation Models verwendet.
Das gilt auch für die Prompts, welche User innerhalb der Gemini-App oder der Sidebar eingeben, dort hochladen oder mit Drive verknüpfen. Es findet eine strikte Trennung zwischen Kundendaten und KI-Modellentwicklung statt.
Wenn das Gemini-Modell lernt, dann nur im Kontext Ihrer eigenen Workspace-Instanz und spezifisch für Ihr Unternehmen. Die Daten verlassen dabei nie Ihre definierte Domain-Umgebung.
2. Zugriffskontrolle: Gemini als "Erweiterung des Nutzers"
Ein zentrales Konzept für das Verständnis der Sicherheit ist: Gemini handelt nicht wie ein eigener Nutzer mit Super-Admin-Rechten. Es arbeitet immer als Erweiterung des Nutzers, der es gerade nutzt.
Dabei kann Gemini nur auf Daten zugreifen, auf die der Nutzer ohnehin schon Zugriff hat. Wenn ein Mitarbeitender keine Berechtigung für den Ordner "Finanzen" in Google Drive hat, kann Gemini ihm auch keine Fragen zu den dortigen Dokumenten beantworten.
Das "Oversharing"-Problem: Sollte Gemini Informationen preisgeben, die ein Nutzer nicht sehen sollte, liegt das Problem nie an der KI, sondern an zu weit gefassten Zugriffsrechten im Vorfeld innerhalb von Google Workspace.
3. Integration in bestehende Sicherheitsmechanismen
Gemini steht nicht isoliert neben Google Workspace, sondern ist tief in die bestehenden Sicherheitsstandards integriert:
Gut zu wissen für Systemadministratoren:
- Data Loss Prevention (DLP): Wenn für bestimmte Dokumente das Herunterladen, Drucken oder Kopieren deaktiviert ist, greift Gemini nicht auf diese Inhalte zu. Admins behalten so die Kontrolle.
- Client-Side Encryption (CSE): Nutzen Sie eigene Verschlüsselungsschlüssel (Bring Your Own Key), sind diese Daten für das Gemini-Modell technisch unsichtbar und werden komplett ausgeschlossen.
- Context-Aware Access: Sie können steuern, dass Gemini nur von verifizierten Geräten oder bestimmten IP-Adressen ausgenutzt werden darf (z.B. nur von Firmen-Laptops, nicht von privaten Endgeräten)
4. Konfiguration und Admin-Kontrolle
Für Administratoren bietet die Google Admin Konsole granulare Einstellungsmöglichkeiten, um den Rollout zu steuern:
App-spezifische Steuerung: Sie können entscheiden, ob Gemini in allen Tools (Docs, Gmail, Drive) aktiv ist oder für sensible Bereiche deaktiviert wird.
Extensions & Gems: Der Zugriff auf Erweiterungen (wie Google Maps oder YouTube) sowie das Teilen von benutzerdefinierten Chat-Bots ("Gems") kann zentral erlaubt oder unterbunden werden.
5. Compliance und Monitoring
Für Unternehmen in regulierten Branchen ist es entscheidend, dass Gemini die gängigen Zertifizierungen erfüllt (u.a. ISO 27001, SOC 1/2/3). Die Zertifizierung nach ISO 42001 bestätigt zudem den verantwortungsvollen Umgang mit KI-Systemen.
Zusätzlich stehen Admins umfangreiche Reporting-Tools zur Verfügung, unter anderem zur genauen Nachverfolgung wann und wie mit Gemini interagiert wurde.
Ebenso mit Google Vault, das eDiscovery und Aufbewahrungsrichtlinien unterstützt, die auch Interaktionen mit Gemini abdecken.
Fazit
Die Einführung von Google Gemini bedeutet nicht, dass bestehende Sicherheitskonzepte über Bord geworfen werden müssen. Im Gegenteil: Da Gemini auf der bestehenden Google Workspace-Infrastruktur aufsetzt, gelten Ihre definierten Regeln zu Datenschutz, Zugriff und Compliance weiterhin uneingeschränkt.
Da die Sicherheit der KI direkt von der Sicherheit Ihrer Workspace-Umgebung abhängt, empfiehlt sich vor dem grossen Rollout ein Security Audit, um sicherzustellen, dass Berechtigungen und Freigaben sauber konfiguriert sind.
