Digitalisierung & KI

KI-Tools datenschutzkonform einsetzen: Der praktische Leitfaden für Unternehmen

8 Min. Lesezeit
Kurze Antwort

KI-Tools sind datenschutzkonform einsetzbar, wenn Sie AVV abschließen, Datenkategorien prüfen und geeignete Anbieter wie Microsoft Azure oder OpenAI Enterprise wählen.

KI ohne Datenschutzkonzept ist ein Compliance-Risiko. Mit der richtigen Vorgehensweise nutzen Sie KI effizient und rechtssicher.

Warum Datenschutz bei KI-Tools so wichtig ist

Was Sie vorab klären müssen

  • Welche Datenkategorien werden eingegeben? (personenbezogen, besondere Kategorien nach Art. 9 DSGVO)
  • Wo werden die Daten verarbeitet? (EU, USA, Drittland)
  • Gibt das Tool Daten ans Training weiter?
  • Ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO möglich?
  • Wer im Unternehmen darf das Tool nutzen?
  • Gibt es eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO?
  • Sind die Nutzer entsprechend geschult?

Schritt-für-Schritt: KI-Tools datenschutzkonform einführen

  1. Schritt 1: Anwendungsfall definieren

    Legen Sie fest, wofür das KI-Tool eingesetzt wird. Texterstellung, Datenanalyse und Kundenservice haben völlig unterschiedliche Datenschutzanforderungen. Je konkreter der Use Case, desto gezielter die Risikoprüfung.

  2. Schritt 2: Datenkategorien inventarisieren

    Prüfen Sie systematisch, welche Daten in das Tool eingegeben werden könnten. Besondere Vorsicht bei Gesundheitsdaten, Personaldaten, Finanzdaten und Kundendaten. Diese benötigen eine besonders sorgfältige Rechtsgrundlage.

  3. Schritt 3: Anbieter auf DSGVO-Konformität prüfen

    Nicht jeder KI-Anbieter bietet einen AVV an. OpenAI Enterprise, Microsoft Azure OpenAI und Google Vertex AI ermöglichen DSGVO-konforme Verträge mit Datenverarbeitung innerhalb der EU. Freie Konsumentenversionen sind für Unternehmensdaten ungeeignet.

  4. Schritt 4: AVV abschließen

    Schließen Sie mit dem Anbieter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab. Prüfen Sie dabei: Speicherort der Daten, Löschfristen, Unterauftragsverarbeiter und ob Daten fürs Training genutzt werden.

  5. Schritt 5: Interne Richtlinie erstellen

    Regeln Sie intern, welche Daten in KI-Tools eingegeben werden dürfen. Eine klare Nutzungsrichtlinie verhindert Datenpannen durch Unwissenheit. Beispiel: Keine Klarnamen, keine Kundennummern, keine Vertragsdaten ohne explizite Freigabe.

  6. Schritt 6: Datenschutz-Folgenabschätzung prüfen

    Bei hochrisikoreichen Verarbeitungen – etwa beim Einsatz von KI für Personalentscheidungen oder umfangreiche Profilerstellung – ist eine DSFA Pflicht. Konsultieren Sie Ihren Datenschutzbeauftragten.

  7. Schritt 7: Mitarbeiter schulen

    Technische Maßnahmen allein reichen nicht. Schulen Sie alle Nutzer, welche Daten erlaubt sind, wie sie Ergebnisse auf Richtigkeit prüfen und wo sie Fragen stellen können. KI-Kompetenz und Datenschutzbewusstsein gehören zusammen.

  8. Schritt 8: Lokale KI als Alternative prüfen

    Für besonders sensible Daten gibt es lokale KI-Modelle wie Ollama oder LM Studio, die vollständig auf Ihren eigenen Servern laufen. Kein Datentransfer, kein AVV nötig – aber höhere technische Anforderungen und eingeschränkte Leistung.

Vorsicht: Besondere Datenkategorien

Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen und ähnliche Informationen nach Art. 9 DSGVO dürfen grundsätzlich nicht ohne explizite Einwilligung oder anderen Erlaubnistatbestand in externe KI-Tools eingegeben werden. Ein Verstoß kann zu Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes führen.

Praxistipp: Pseudonymisierung nutzen

Ersetzen Sie personenbezogene Daten vor der KI-Nutzung durch Pseudonyme oder Kürzel. Statt Kundennamen und Vertragsnummern verwenden Sie Platzhalter wie Kunde A oder Vertrag X. So bleibt der inhaltliche Kontext erhalten, ohne dass personenbezogene Daten übertragen werden.

Fazit: Rechtssicherheit als Wettbewerbsvorteil

Sie möchten KI in Ihrem Unternehmen einführen und dabei rechtssicher vorgehen? Wir helfen Ihnen bei der Auswahl, dem AVV und der internen Richtlinie.

Jetzt beraten lassen

Häufige Fragen

Muss ich mit jedem KI-Anbieter einen AVV abschließen?
Ja, sobald personenbezogene Daten verarbeitet werden, ist ein AVV nach Art. 28 DSGVO Pflicht. Enterprise-Versionen von OpenAI, Microsoft Azure und Google bieten entsprechende Verträge an.
Darf ich ChatGPT kostenlos für Geschäftsdaten nutzen?
Nein. Die kostenlose Version von ChatGPT bietet keinen ausreichenden Datenschutz für Unternehmensdaten. Nutzen Sie ChatGPT Enterprise oder Microsoft Copilot mit Azure-Backend.
Was ist der Unterschied zwischen AVV und Einwilligung bei KI?
Ein AVV regelt die Verarbeitung durch einen Auftragsverarbeiter (den KI-Anbieter). Die Einwilligung brauchen Sie von den betroffenen Personen, deren Daten verarbeitet werden – das sind zwei verschiedene Instrumente.
Kann ich KI auch ohne Cloud-Dienste nutzen?
Ja. Lokale KI-Modelle wie Ollama laufen komplett auf eigenen Servern, es werden keine Daten nach außen übertragen. Der Nachteil: höherer Einrichtungsaufwand und oft schwächere Modelle als kommerzielle Dienste.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
DSGVO und AI Act: Wie beide Regelwerke beim KI-Einsatz zusammenwirken
6 Min. Lesezeit
Digitalisierung & KI
KI und Datenschutz: Was Mitarbeiter wissen müssen bevor sie Kundendaten eingeben
6 Min. Lesezeit
Datenschutz & Compliance
KI-Nutzungsrichtlinie erstellen: Was DSGVO-konform reinmuss
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen