Frederik von der HeydenINDIVIDUELLE SOFTWAREENTWICKLUNG & AI-NATIVE BUILDER
← Alle Impulse

Compliance

DSGVO und KI: 7 Punkte die jeder Geschäftsführer kennen muss

·5 Min. Lesezeit

Ich höre diesen Satz oft: "Wir würden ja mehr mit KI machen, aber dann kommt der Datenschutz."

Meistens ist das kein echtes Problem, sondern ein ungelöstes. Die DSGVO verbietet KI nicht. Sie verlangt, dass man weiß, was man tut. Das ist ein Unterschied.

Hier sind sieben Punkte, die in der Praxis immer wieder auftauchen. Kein juristischer Ratgeber, keine Garantien. Aber eine ehrliche Einschätzung dessen, worüber Sie als Geschäftsführer nachgedacht haben sollten, bevor Sie KI ernsthaft einsetzen.

1. Verarbeitungsverzeichnis aktualisieren

Jedes Unternehmen, das personenbezogene Daten verarbeitet, braucht ein Verarbeitungsverzeichnis. Das wissen die meisten. Was viele vergessen: Wenn Sie eine KI einsetzen, die personenbezogene Daten verarbeitet, ist das ein neuer Verarbeitungszweck und gehört ins Verzeichnis.

Was das konkret bedeutet: Wenn Sie ChatGPT nutzen, um Kundenanfragen zu beantworten, und dabei Name und Anliegen eingeben, dann ist das eine Verarbeitung personenbezogener Daten über ein externes System. Das muss dokumentiert werden.

Mein Rat: Gehen Sie einmal im Quartal durch, welche neuen KI-Werkzeuge Sie einsetzen, und prüfen Sie, ob das Verzeichnis aktuell ist. Das dauert 30 Minuten und schützt Sie erheblich, wenn es jemals zu einer Prüfung kommt.

2. Datensparsamkeit ernst nehmen

Das Prinzip ist nicht neu, aber im KI-Kontext besonders relevant: Geben Sie nur das in ein KI-System ein, was Sie wirklich brauchen.

Ein Beispiel: Sie wollen mithilfe eines KI-Tools Vertragsdokumente analysieren. Müssen dabei Name und Adresse des Kunden im Text stehen? Oft nicht. Oft reichen die vertraglichen Konditionen, und die Personendaten können vorher entfernt oder geschwärzt werden.

Das ist kein bürokratischer Mehraufwand. Es ist eine Frage der Disziplin, die in der Praxis auch das Risiko senkt, dass Daten ungewollt in Trainings-Datensätze eines Anbieters fließen.

3. Lokale Modelle vs. Cloud-APIs

Das ist der Punkt, der in der Praxis am meisten Diskussionen auslöst. Und der Unterschied ist tatsächlich erheblich.

Wenn Sie ein KI-Modell über eine Cloud-API nutzen, zum Beispiel OpenAI oder Google, verlassen Ihre Daten Ihre Infrastruktur. Das ist kein Problem per se, aber es muss organisiert sein: Wo werden die Daten verarbeitet? Gibt es einen AVV? Wo liegen die Server?

Ich betreibe meine eigenen KI-Anwendungen auf deutschen Servern mit lokalen Sprachmodellen. Das bedeutet: Die Daten verlassen die Infrastruktur nicht. Für viele Anwendungsfälle ist das heute technisch möglich und gar nicht so komplex, wie es klingt.

Für Ihr Unternehmen heißt das: Unterscheiden Sie, welche Daten Sie mit welchem System verarbeiten. Sensible Mitarbeiter- oder Kundendaten haben in einem amerikanischen Cloud-Dienst ohne saubere vertragliche Grundlage nichts zu suchen. Öffentliche oder anonymisierte Daten sind unkritischer.

4. Datenanonymisierung vor der Verarbeitung

Wenn Sie Daten in eine KI eingeben und diese Daten personenbezogen sind, haben Sie prinzipiell zwei Optionen: Sie regeln es vertraglich (Punkt 5) oder Sie anonymisieren vorher.

Anonymisierung bedeutet: Die Person ist nicht mehr identifizierbar, auch nicht mit Zusatzwissen. Das ist ein höherer Standard als Pseudonymisierung, bei der ein Rückschluss noch möglich wäre.

In der Praxis sieht das zum Beispiel so aus: Ein Unternehmen möchte Kundenbewertungen automatisch analysieren. Statt den Originaltext mit Namen einzugeben, wird vorher ein Skript ausgeführt, das alle Eigennamen entfernt. Was dann in das KI-System eingegeben wird, ist kein personenbezogenes Datum mehr.

Das klingt aufwendig. Oft ist es das nicht. Für viele Anwendungsfälle reicht eine einfache Bereinigung, die sich automatisieren lässt.

5. Auftragsverarbeitung regeln

Wenn Sie einen externen KI-Anbieter nutzen, der dabei auf Ihre personenbezogenen Daten zugreift, liegt Auftragsverarbeitung vor. Das bedeutet: Sie brauchen einen Auftragsverarbeitungsvertrag.

Die großen Anbieter haben diese Verträge fertig. OpenAI bietet einen Data Processing Agreement an, Google auch, Microsoft ebenso. Das Problem ist nicht, dass es diese Verträge nicht gibt, sondern dass viele Unternehmen sie nie abgeschlossen haben.

Fragen Sie sich: Welche KI-Dienste nutzen Sie regelmäßig? Gibt es dafür einen unterschriebenen AVV? Wenn nicht, holen Sie das nach. Das ist keine akademische Übung, sondern ein handfestes rechtliches Risiko.

6. Löschkonzept für KI-generierte Daten

Die DSGVO gilt nicht nur für Daten, die Sie eingeben, sondern auch für das, was KI erzeugt. Wenn ein KI-System Zusammenfassungen von Kundengesprächen erstellt, eine Risikobewertung für einen Bewerber, oder personenbezogene Analysen, dann sind das personenbezogene Daten.

Das bedeutet: Diese Daten müssen in Ihr Löschkonzept integriert sein. Wie lange werden sie gespeichert? Wo liegen sie? Wer hat Zugriff? Was passiert, wenn ein Kunde sein Recht auf Löschung geltend macht?

Ich erlebe regelmäßig, dass Unternehmen sorgfältig strukturierte Datenbanken haben, aber daneben existiert ein KI-Tool, das in einer Worddatei oder einem internen Chat-Verlauf personenbezogene Daten erzeugt, die nirgendwo im Löschkonzept auftauchen.

7. Dokumentation: nachweisbar handeln, nicht nur behaupten

Das ist der vielleicht wichtigste Punkt, weil er alles andere zusammenhält. Die DSGVO verlangt nicht Perfektion. Sie verlangt Nachweisbarkeit.

Was das bedeutet: Sie müssen zeigen können, dass Sie sich mit dem Thema befasst haben. Dass Sie Entscheidungen getroffen haben. Dass Sie Risiken bewertet haben.

"Wir haben uns darum gekümmert" reicht nicht. "Wir haben am 15. März geprüft, welche KI-Systeme wir einsetzen, haben den AVV mit Anbieter X abgeschlossen, und das Verarbeitungsverzeichnis wurde am 20. März aktualisiert" reicht.

Das kostet keine riesigen Ressourcen. Es kostet Disziplin und einen klaren Prozess. Legen Sie eine Person fest, die dafür zuständig ist. Machen Sie eine kurze Prüfung, wenn ein neues KI-Tool eingeführt wird. Halten Sie das schriftlich fest.

Kurzes Fazit

DSGVO und KI sind kein Widerspruch. Sie sind ein Organisationsproblem. Die meisten Unternehmen, die mir sagen, Datenschutz halte sie bei KI zurück, haben kein Datenschutzproblem. Sie haben ein Dokumentationsproblem, ein Zuständigkeitsproblem oder ein Informationsproblem.

Das lässt sich lösen. Aber es löst sich nicht von selbst.

Wenn Sie nicht sicher sind, wo Sie stehen: Fangen Sie mit diesen sieben Punkten an und haken Sie ab, was bereits geregelt ist. Der Rest zeigt Ihnen, wo Handlungsbedarf besteht.

Projekt im Kopf? Lassen Sie uns 30 Minuten reden.

Termin vereinbaren