Was ist IT Service Management (ITSM)?

IT Service Management (ITSM) umfasst die Planung, Bereitstellung und Optimierung von IT-Services. Auf Basis von ITIL 4 werden Prozesse wie Incident Management, Change Enablement und Service Request Management professionell gestaltet, um stabile IT-Services und hohe Kundenzufriedenheit zu gewährleisten.

Wie läuft ein KI-Integrationsprojekt ab?

Ein KI-Integrationsprojekt startet mit der Analyse bestehender Prozesse und der Identifikation konkreter Anwendungsfälle. Anschließend entwickeln wir Prototypen, führen Pilotprojekte durch und begleiten die Integration in Ihre Unternehmensprozesse – DSGVO-konform und auf Wunsch on premise.

Welche Zertifizierungen habe ich im ITSM-Bereich?

ITIL Expert, ServiceNow Certified Implementation Specialist (CIS) ITSM, ISO27001 Lead Auditor, Scrum Master und SAFe Agilist. Diese Qualifikationen kombiniere ich mit über 25 Jahren praktischer Erfahrung im IT Service Management und IT Operations.

Für welche Unternehmen ist ITSM-Beratung sinnvoll?

ITSM-Beratung eignet sich für Mittelstand und Konzerne, die ihre IT-Prozesse professionalisieren, ServiceNow einführen oder optimieren möchten, oder ihre IT-Services nach ITIL 4 strukturieren wollen. Besonders wertvoll bei Transformationsprojekten, Compliance-Anforderungen (ISO27001) oder instabilen IT-Services.

Personenbezogene Daten in KI-Chatbots: Die unterschätzten Risiken von ChatGPT, Claude und Perplexity | Insights | IT Service- und Projektmanagement Jörg Blume

Die Risiken beim Eingeben personenbezogener Daten in KI-Chatbots wie Claude oder Perplexity sind real und mehrschichtig – mit bereits dokumentierten Schadensfällen.chip+1

Konkrete Risiken

Training der KI-Modelle mit Ihren Daten

Perplexity: Nutzt Eingaben standardmäßig für das KI-Training. Und dies selbst bei kostenpflichtigen Accounts. Ihre vertraulichen Verträge, Kundendaten oder Geschäftsgeheimnisse könnten in zukünftigen Modellversionen auftauchen, wenn andere Nutzer ähnliche Anfragen stellen.[camocopy]

Claude (Anthropic): Seit August 2025 werden Konversationen analysiert und für Training verwendet – auch rückwirkend bei früheren Nutzern. In der EU sind Daten nach DSGVO geschützt, außerhalb der EU müssen Sie das Training manuell deaktivieren (Einstellungen > Datenschutz).snipki+1

ChatGPT: Die kostenlose Version ist für Unternehmen praktisch nicht DSGVO-konform nutzbar, wenn personenbezogene Daten verarbeitet werden.[data-unplugged]

Datenlecks durch Sicherheitsvorfälle

Konkrete Fälle 2025/2026:

ChatGPT/OpenAI (November 2025): Datenleck beim externen Analysedienst Mixpanel – Namen, E-Mail-Adressen und Nutzerkennungen wurden von Angreifern exportiert. OpenAI empfahl danach erhöhte Wachsamkeit vor Phishing-Angriffen mit den gestohlenen Daten.[de.euronews]
KI-Apps (Januar 2026): Apps wie "Chat & Ask AI", "Genie – AI Chatbot" hatten bis zu 100 Millionen Dateien ungeschützt auf Servern – darunter vollständige Chat-Verläufe, hochgeladene PDFs und persönliche Informationen.[chip]
Perplexity: Speicherte Bilder und Dateien von Nutzern unverschlüsselt an einem öffentlich zugänglichen Ort bei Cloudinary.[camocopy]

Zugriff durch Mitarbeiter

Bei Claude sind Konversationen für Mitarbeiter einsehbar – auch bei zahlenden Nutzern. Das bedeutet: Ihre Vertragsdetails, Gehaltsinformationen oder Gesundheitsdaten könnten von Menschen gelesen werden.[camocopy]

Datenverarbeitung außerhalb der EU

Claude, ChatGPT und Perplexity sind USA-basiert. Die Datenverarbeitung erfolgt auf US-Servern ohne EU-Datenschutzgarantien. Bei US-Behördenanfragen (z.B. CLOUD Act) können Daten herausgegeben werden müssen.giel-rechtsanwalt+2

Wer könnte die Daten missbrauchen?

Cyberkriminelle

Nach Datenlecks (wie bei ChatGPT/Mixpanel) können gestohlene E-Mail-Adressen und Namen für gezielte Phishing-Kampagnen verwendet werden. Wenn Sie z.B. Vertragsdaten eingegeben haben, könnten Angreifer gefälschte E-Mails von "SOLCOM" oder "David" senden.[de.euronews]

Konkurrenten

Wenn Ihr Unternehmen vertrauliche Geschäftsprozesse, Strategien oder Kundendaten in KI-Tools eingibt und diese im Training landen, könnten Konkurrenten durch geschickte Prompts ähnliche Informationen extrahieren.[camocopy]

Behörden/Geheimdienste

US-Behörden können bei US-Anbietern Zugriff auf Server verlangen. Besonders kritisch bei Geschäftsgeheimnissen oder politisch sensiblen Informationen.[giel-rechtsanwalt]

Insider (Anbieter-Mitarbeiter)

Anthropic-Mitarbeiter haben nachweislich Zugriff auf Konversationen. Bei unzureichenden internen Kontrollen könnten diese Daten missbraucht oder verkauft werden.[camocopy]

DSGVO-rechtliche Konsequenzen

Wenn Sie personenbezogene Daten Dritter (Kunden, Mitarbeiter, Geschäftspartner) eingeben, drohen:it-recht-kanzlei+1

Bußgelder bis 20 Mio. € oder 4% des Jahresumsatzes nach Art. 83 DSGVO
Aufsichtsbehördliche Maßnahmen: Deutsche Datenschutzbehörden sind bei ChatGPT & Co. "skeptisch und ablehnend"[it-recht-kanzlei]
Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO
Verpflichtende Datenschutz-Folgenabschätzung (Art. 35 DSGVO) vor Nutzung[giel-rechtsanwalt]

Schutzmaßnahmen

Sofortmaßnahmen:

Anonymisierung: Namen, Firmen, Beträge durch Platzhalter ersetzen (z.B. "FIRMA_X", "RECRUITER_Y", "XXX€")[dsgvo-vorlagen]
Training deaktivieren: Bei Claude (EU-Account) standardmäßig aus, sonst in Einstellungen > Datenschutz[snipki]
Keine sensiblen Kategorien: Niemals Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen eingeben[giel-rechtsanwalt]

Langfristig:

EU-Anbieter bevorzugen: Mistral AI (Frankreich) mit EU-Servern[nexperts]
Enterprise-Versionen: ChatGPT Enterprise oder Claude for Business bieten höhere Datenschutzstandards[nexperts]
Lokale Tools: On-Premise-LLMs ohne Cloud-Übertragung

Für Unternehmen zusätzlich:

Datenschutz-Folgenabschätzung durchführen[giel-rechtsanwalt]
Auftragsverarbeitungsvertrag mit Anbieter abschließen (Art. 28 DSGVO)[giel-rechtsanwalt]
Mitarbeiter-Schulungen und klare Nutzungsrichtlinien[giel-rechtsanwalt]

Die größte Gefahr liegt weniger in gezielten Angriffen als in schleichendem Kontrollverlust: Einmal in die Cloud übertragene Daten können Sie nicht zurückholen, und jedes weitere Datenleck erhöht das Missbrauchsrisiko exponentiell.chip+1