KI und Datenschutz: DSGVO-konform mit AI arbeiten

Kuenstliche Intelligenz verspricht enorme Effizienzgewinne — doch viele Unternehmen zoegern beim Einsatz, weil sie unsicher sind: Duerfen wir das ueberhaupt? Wie steht es um den Datenschutz, wenn wir Kundendaten durch ein LLM schicken? Was sagt die DSGVO dazu?

Die gute Nachricht: KI und Datenschutz sind kein Widerspruch. Mit dem richtigen Rahmenwerk, den passenden Tools und klaren internen Richtlinien kannst du AI-Tools DSGVO-konform einsetzen — ohne auf die Vorteile verzichten zu muessen. Dieser Artikel gibt dir alles an die Hand, was du dafuer brauchst.

DSGVO-Grundlagen fuer den KI-Einsatz

Bevor wir ins Detail gehen, eine kurze Auffrischung: Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Wenn du KI-Tools einsetzt, die solche Daten verarbeiten, gelten die gleichen Regeln wie fuer jede andere Software auch.

Die wichtigsten DSGVO-Prinzipien im KI-Kontext

• Zweckbindung (Art. 5 Abs. 1b): Personenbezogene Daten duerfen nur fuer festgelegte, eindeutige Zwecke verarbeitet werden. Wenn du Kundendaten zur Rechnungserstellung gesammelt hast, darfst du sie nicht einfach in ein KI-Modell zum Training fuettern.
• Datenminimierung (Art. 5 Abs. 1c): Verarbeite nur die Daten, die wirklich notwendig sind. Gib einem LLM nicht den gesamten Kundendatensatz, wenn der Name und die Anfrage ausreichen.
• Speicherbegrenzung (Art. 5 Abs. 1e): Daten duerfen nicht laenger gespeichert werden als notwendig. Das ist besonders relevant, wenn KI-Anbieter Eingaben fuer Trainingszwecke speichern.
• Integritaet und Vertraulichkeit (Art. 5 Abs. 1f): Daten muessen durch geeignete technische und organisatorische Massnahmen geschuetzt werden — auch und gerade bei der Verarbeitung durch KI-Systeme.
• Rechenschaftspflicht (Art. 5 Abs. 2): Du musst nachweisen koennen, dass du die DSGVO einhaltst. Das bedeutet: Dokumentation, Dokumentation, Dokumentation.

Rechtsgrundlage fuer KI-Verarbeitung

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Fuer den KI-Einsatz kommen typischerweise drei Optionen in Frage:

1. Einwilligung (Art. 6 Abs. 1a): Der Betroffene hat ausdruecklich zugestimmt. Beispiel: Ein Kunde akzeptiert, dass sein Support-Ticket von einer KI voranalysiert wird.
2. Vertragserfuellung (Art. 6 Abs. 1b): Die Verarbeitung ist zur Erfuellung eines Vertrags notwendig. Beispiel: KI-gestuetzte Analyse von Vertragsdaten zur Angebotserstellung.
3. Berechtigtes Interesse (Art. 6 Abs. 1f): Die Verarbeitung dient einem berechtigten Interesse und ueberwiegt nicht die Interessen der Betroffenen. Beispiel: KI-basierte Betrugserkennung bei Zahlungen.

Datenverarbeitung bei den grossen LLM-Anbietern

Die Frage, die am haeufigsten gestellt wird: Was passiert mit meinen Daten, wenn ich sie in ChatGPT, Claude oder Gemini eingebe? Die Antwort haengt stark vom genutzten Produkt und Tarif ab.

OpenAI (ChatGPT, GPT-4)

OpenAI unterscheidet klar zwischen Consumer- und Business-Produkten:

• Kostenlose Version und ChatGPT Plus: Eingaben koennen zum Training verwendet werden — es sei denn, du deaktivierst dies in den Einstellungen. Fuer Unternehmensdaten ist das ein No-Go.
• ChatGPT Team / Enterprise / API: Eingaben werden nicht zum Training verwendet. Daten werden verschluesselt uebertragen und nach 30 Tagen geloescht. SOC 2 Type II zertifiziert.
• Datenverarbeitung: Server stehen primaer in den USA. Ein Data Processing Agreement (DPA) mit Standardvertragsklauseln ist verfuegbar.

Anthropic (Claude)

• Claude Pro (Consumer): Aehnlich wie bei OpenAI koennen Eingaben fuer Verbesserungen genutzt werden.
• Claude for Business / API: Keine Nutzung von Eingaben zum Training. Strenge Datenschutzrichtlinien und DPA verfuegbar.
• Besonderheit: Anthropic hat sich durch seinen Fokus auf AI Safety einen Ruf fuer verantwortungsvollen Umgang mit Daten aufgebaut.

Google (Gemini)

• Gemini Free: Eingaben koennen zum Training verwendet werden.
• Google Workspace mit Gemini: Unternehmensdaten werden nicht zum Training genutzt. Die Verarbeitung findet im Google-Cloud-Oekosystem statt — mit europaeischen Rechenzentren als Option.

Microsoft (Copilot, Azure OpenAI)

• Azure OpenAI Service: Die Enterprise-Loesung mit den staerksten Datenschutzgarantien. Daten bleiben in deinem Azure-Tenant, werden nicht zum Training verwendet und koennen in europaeischen Rechenzentren verarbeitet werden.
• Microsoft 365 Copilot: Nutzt deine vorhandenen Microsoft-365-Berechtigungen. Die KI sieht nur, was der jeweilige Nutzer auch sehen darf.

Praktische Checkliste fuer DSGVO-konformen KI-Einsatz

Die folgende Checkliste hilft dir, den KI-Einsatz in deinem Unternehmen datenschutzkonform zu gestalten. Arbeite sie Punkt fuer Punkt durch:

Vor dem KI-Einsatz

• Datenschutz-Folgenabschaetzung (DSFA) pruefen: Ist eine DSFA nach Art. 35 DSGVO erforderlich? Bei systematischer und umfangreicher Verarbeitung personenbezogener Daten durch KI in der Regel ja.
• Rechtsgrundlage festlegen: Auf welcher Basis verarbeitest du die Daten? Einwilligung, Vertrag oder berechtigtes Interesse?
• Auftragsverarbeitung klaeren: Schliesse einen Auftragsverarbeitungsvertrag (AVV/DPA) mit dem KI-Anbieter ab. Pruefe die Standardvertragsklauseln fuer Datentransfers in Drittlaender.
• Verarbeitungsverzeichnis aktualisieren: Ergaenze dein Verarbeitungsverzeichnis um die KI-Verarbeitungstaetigkeiten.
• Datenschutzerklaerung anpassen: Informiere Betroffene transparent ueber den Einsatz von KI-Tools in deiner Datenschutzerklaerung.

Beim KI-Einsatz

• Datenminimierung umsetzen: Anonymisiere oder pseudonymisiere personenbezogene Daten, bevor du sie an ein KI-System uebergibst. Entferne Namen, E-Mail-Adressen und andere Identifikatoren, wenn sie fuer die Aufgabe nicht benoetigt werden.
• Zugriffskontrollen einrichten: Nicht jeder Mitarbeiter braucht Zugang zu allen KI-Tools. Definiere Rollen und Berechtigungen.
• Logging und Monitoring: Protokolliere, welche Daten an KI-Systeme uebergeben werden. Das ist wichtig fuer die Rechenschaftspflicht und fuer den Fall von Datenpannen.
• Mitarbeiter schulen: Stelle sicher, dass alle Mitarbeiter wissen, welche Daten sie in KI-Tools eingeben duerfen und welche nicht. Mehr dazu in unserem Artikel KI-Schulung fuer Teams.

Laufend

• Regelmaessige Audits: Pruefe vierteljaerig, ob die datenschutzrechtlichen Vorgaben eingehalten werden.
• Anbieter-Updates verfolgen: KI-Anbieter aendern regelmaessig ihre Nutzungsbedingungen und Datenschutzrichtlinien. Bleib auf dem Laufenden.
• Loeschfristen einhalten: Stelle sicher, dass personenbezogene Daten nach Ablauf der Aufbewahrungsfrist geloescht werden — auch in KI-Systemen.
• Betroffenenrechte gewaehrleisten: Kunden muessen ihre Rechte auf Auskunft, Berichtigung und Loeschung ausueben koennen — auch wenn ihre Daten durch KI verarbeitet wurden.

On-Premise vs. Cloud: Welche KI-Loesung ist sicherer?

Eine der grundlegendsten Entscheidungen beim KI-Einsatz: Nutzt du Cloud-basierte KI-Dienste oder betreibst du KI-Modelle auf eigener Infrastruktur? Beide Ansaetze haben Vor- und Nachteile.

Cloud-KI (SaaS)

Die meisten Unternehmen starten mit Cloud-Loesungen wie der OpenAI API, Claude API oder Azure OpenAI. Die Vorteile liegen auf der Hand:

• Kein eigener GPU-Bedarf: Du brauchst keine teure Hardware
• Immer aktuelle Modelle: Zugang zu den leistungsfaehigsten Modellen ohne eigenes Training
• Schnelle Implementierung: Integration per API in wenigen Tagen moeglich
• Skalierbarkeit: Nutzung waechst mit deinem Bedarf

Die Datenschutz-Herausforderung: Daten verlassen dein Unternehmen und werden auf fremden Servern verarbeitet — oft in den USA. Das erfordert sorgfaeltige vertragliche Absicherung (DPA, Standardvertragsklauseln) und Vertrauen in den Anbieter.

On-Premise / Self-Hosted KI

Fuer Unternehmen mit besonders sensiblen Daten — etwa im Gesundheitswesen, bei Finanzdienstleistern oder in der oeffentlichen Verwaltung — kann eine On-Premise-Loesung die bessere Wahl sein:

• Volle Datenkontrolle: Keine Daten verlassen dein Netzwerk
• Compliance by Design: Du kontrollierst jeden Aspekt der Datenverarbeitung
• Keine Abhaengigkeit: Kein Vendor Lock-in, keine ueberraschenden AGB-Aenderungen

Die Nachteile: Hohe Anfangsinvestitionen in GPU-Hardware, laufende Wartungskosten, begrenzte Modellleistung im Vergleich zu den groessten Cloud-Modellen, und die Notwendigkeit von internem KI-Know-how.

Open-Source-Modelle als Mittelweg

Eine zunehmend beliebte Option: Open-Source-Modelle wie Llama, Mistral oder QWEN auf eigener oder europaeischer Cloud-Infrastruktur betreiben. Du behaeltst die volle Kontrolle ueber die Daten, nutzt aber Cloud-Infrastruktur fuer die noetige Rechenleistung. Anbieter wie Hetzner, OVHcloud oder IONOS bieten europaeische GPU-Server, die DSGVO-konform sind.

Interne Richtlinien: Die KI-Policy fuer dein Unternehmen

Neben den technischen und vertraglichen Massnahmen brauchst du eine interne KI-Richtlinie (AI Usage Policy), die klar regelt, wie Mitarbeiter KI-Tools nutzen duerfen. Eine solche Policy sollte mindestens folgende Punkte abdecken:

Erlaubte und verbotene Daten

Definiere klar, welche Daten in KI-Tools eingegeben werden duerfen und welche nicht:

• Erlaubt: Allgemeine Geschaeftsinformationen, oeffentlich verfuegbare Daten, anonymisierte Datensaetze, eigene Textentwuerfe
• Nur mit Freigabe: Interne Strategiedokumente, Finanzdaten, Vertragsentwuerfe
• Verboten: Personenbezogene Kundendaten (Name, E-Mail, Adresse), Passwoerter, Zugangsdaten, Gesundheitsdaten, Bankdaten

Genehmigte Tools

Erstelle eine Whitelist genehmigter KI-Tools. Nicht jeder ChatGPT-Klon aus dem Internet erfuellt eure Datenschutzanforderungen. Pruefe jeden Anbieter vorab und dokumentiere die Ergebnisse.

Verantwortlichkeiten

Wer ist im Unternehmen fuer den datenschutzkonformen KI-Einsatz verantwortlich? Idealerweise eine Kombination aus Datenschutzbeauftragtem, IT-Leitung und einer KI-verantwortlichen Person. Diese muessen eng zusammenarbeiten und regelmaessig die Einhaltung der Richtlinien pruefen.

Haeufige Fehler — und wie du sie vermeidest

• Fehler 1: "Wir nutzen ja nur die kostenlose Version" — Gerade die kostenlosen Versionen bieten die schwächsten Datenschutzgarantien. Consumer-Produkte sind fuer Unternehmensdaten ungeeignet.
• Fehler 2: "Das ist ja keine echte Datenverarbeitung" — Jede Eingabe in ein Cloud-KI-System ist eine Datenuebermittlung. Auch ein einzelner Prompt mit einem Kundennamen ist datenschutzrechtlich relevant.
• Fehler 3: "Unser Datenschutzbeauftragter weiss Bescheid" — Wissen reicht nicht. Es braucht dokumentierte Prozesse, geschulte Mitarbeiter und technische Massnahmen.
• Fehler 4: "Wir warten ab, bis die Rechtslage klar ist" — Die Rechtslage ist klar genug, um zu handeln. Wer wartet, verliert Wettbewerbsvorteile, waehrend Mitarbeiter im Verborgenen laengst Consumer-KI-Tools nutzen (Shadow AI).

Fazit: Datenschutz als Enabler, nicht als Blocker

DSGVO-konformer KI-Einsatz ist kein Hexenwerk. Es erfordert bewusste Entscheidungen bei der Tool-Auswahl, klare interne Richtlinien und geschulte Mitarbeiter. Aber wenn diese Grundlagen stehen, kannst du KI mit gutem Gewissen einsetzen — und die enormen Effizienzgewinne nutzen, die sie bietet.

Der Datenschutz sollte nicht als Bremse verstanden werden, sondern als Qualitaetsmerkmal. Unternehmen, die KI verantwortungsvoll einsetzen, gewinnen das Vertrauen ihrer Kunden und positionieren sich als zukunftsfaehig. Wenn du wissen willst, wie ein hybrider Ansatz aus Automatisierung und KI fuer dein Unternehmen aussehen koennte, helfen wir gerne weiter.