DSGVO-konform mit KI arbeiten: Was Sie wirklich beachten müssen
Datenschutz ist das häufigste Bedenken in KMU-Workshops. Hier eine pragmatische Checkliste, die wir mit unseren Kunden durchgehen.
In fast jedem unserer Workshops kommt früher oder später die Frage: „Dürfen wir das überhaupt – Daten in ein KI-Tool eingeben?" Die kurze Antwort: Ja, wenn man die richtigen Hebel kennt. Hier eine Übersicht, die wir in der Praxis nutzen.
1. Datenklassen sauber trennen
Bevor irgendein Tool eingeführt wird, klären wir mit unseren Kunden:
- Grün: Keine personenbezogenen Daten, keine Geschäftsgeheimnisse (z. B. öffentlich verfügbare Texte)
- Gelb: Interne Daten ohne Personenbezug (Produktdaten, Prozessdoku)
- Rot: Personenbezogene Daten, Vertragsinhalte, Kundenkommunikation
Für Grün reichen einfache Tools. Für Gelb und Rot braucht es eine sauber konfigurierte Umgebung.
2. AVV oder DPF prüfen
- US-amerikanische Anbieter benötigen einen gültigen Auftragsverarbeitungsvertrag (AVV) und sollten unter dem EU-US Data Privacy Framework zertifiziert sein
- Europäische Anbieter sind oft die einfachere Wahl – aber nicht automatisch besser, wenn die Standards beim US-Anbieter sauber dokumentiert sind
3. Modell-Training abschalten
Bei den meisten Business-Tarifen ist das standardmäßig der Fall, aber: Immer in den Einstellungen prüfen und schriftlich vom Anbieter bestätigen lassen.
4. Klare interne Regeln statt Verbote
Pauschale Verbote führen zu Schatten-KI – Mitarbeitende nutzen private Accounts. Besser: klare, kurze interne Richtlinie, was rein darf und was nicht.
Was wir nicht empfehlen
- Auf den „perfekten" rechtlichen Rahmen warten – während die Konkurrenz schon liefert
- Sich allein auf Beratungsfirmen ohne Praxis-Implementierung verlassen
Wie geht es weiter?
Wir gehen in einem 30-Minuten-Gespräch gerne die konkrete Situation Ihres Unternehmens durch – kein Sales-Pitch, sondern eine Standortbestimmung.
Häufige Fragen
Ja, mit Business-Tarif (Modell-Training aus), AVV mit dem Anbieter und klaren internen Regeln für Datenklassen.
Nur mit Rechtsgrundlage, AVV und deaktiviertem Modell-Training. Im Zweifel vor der Verarbeitung pseudonymisieren.
Ja. OpenAI ist unter dem EU-US Data Privacy Framework zertifiziert, ein AVV ist über das Business-Konto verfügbar.
Free trainiert standardmäßig mit Eingaben, Team nicht. Free ist daher für berufliche Nutzung generell ungeeignet.
Eine kurze interne Richtlinie plus eine freigegebene Alternative bereitstellen. Pauschale Verbote verstärken Schatten-KI eher, statt sie zu unterbinden.
Nur bei hohem Risiko, etwa automatisierter HR-Entscheidungsfindung. Für Standard-Use-Cases reicht eine dokumentierte Risikoabwägung.
Verarbeitungszwecke, Sub-Auftragsverarbeiter, Speicherort, Löschfristen und technische Maßnahmen. Standardvorlagen der Anbieter sind meist ausreichend.
Öffentliche Daten immer, interne ohne Personenbezug meistens, personenbezogene nur mit AVV und gültiger Rechtsgrundlage.
Beim Self-Hosting ja – die Daten verlassen die eigene Infrastruktur nicht. Bei gehosteten Open-Source-Modellen gelten dieselben Regeln wie bei OpenAI.
Im Business-Tarif werden die Daten nicht für Training genutzt. Vorfall dokumentieren, prüfen ob eine Meldepflicht besteht und ggf. die betroffene Person informieren.
Ja, im Rahmen der internen Datenschutz-Informationspflichten. Eine kurze Richtlinie plus Kurz-Schulung reicht.
Wenn die KI zur Leistungs- oder Verhaltensüberwachung geeignet ist (§ 87 BetrVG), ja. Reine Schreibhilfen brauchen meist nur Information.
Dokumentarische Pflichten für die meisten Use-Cases. Hoch-Risiko-Systeme wie HR-Screening oder Credit-Scoring brauchen eine Konformitätsbewertung.
Nur sehr restriktiv. KI für Bewerber-Screening gilt als Hoch-Risiko-System nach EU AI Act und ist DSFA-pflichtig.
So kurz wie möglich und nur so lange wie der Verarbeitungszweck es erfordert. Bei den meisten Tools lassen sich Verläufe automatisch nach 30–90 Tagen löschen.