DSGVO-konforme KI im Unternehmen – worauf kommt es an?

← Alle Artikel

KI-Tools sind im Unternehmensalltag angekommen. ChatGPT, Copilot, Gemini – die Liste wird länger. Und mit jedem Tool stellt sich dieselbe Frage: Wo landen eigentlich unsere Daten?

Die kurze Antwort: Bei den meisten Cloud-KI-Diensten landen sie auf Servern außerhalb der EU – und das ist aus DSGVO-Sicht problematisch. Dieser Artikel erklärt was das konkret bedeutet und wie Unternehmen KI trotzdem rechtssicher einsetzen können.

Was ist das Problem mit Cloud-KI und DSGVO?

Wenn Sie einen Text in ChatGPT eingeben – sei es ein Vertragsentwurf, eine Kundenanfrage oder interne Prozessdokumentation – verlässt dieser Text Ihr Unternehmen. Er wird an Server von OpenAI in den USA übertragen, dort verarbeitet und je nach Einstellung möglicherweise für das Training zukünftiger Modelle verwendet.

⚠️ Das Problem: Die DSGVO verlangt, dass personenbezogene Daten nur dann in Drittländer übertragen werden dürfen, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Die USA galten lange als problematisch – und obwohl es seit 2023 einen neuen Angemessenheitsbeschluss (EU-US Data Privacy Framework) gibt, bleibt die Rechtslage komplex und kann sich ändern.

Welche Daten sind betroffen?

Nicht jede KI-Nutzung ist problematisch. Es kommt darauf an was Sie eingeben. Folgende Daten sind aus DSGVO-Sicht besonders kritisch:

Namen, Adressen, Kontaktdaten von Kunden oder Mitarbeitern
Vertragsinhalte mit personenbezogenen Angaben
E-Mails mit Kundenkommunikation
Interne HR-Dokumente, Gehaltsinformationen
Gesundheitsdaten, Bankdaten (besondere Kategorien nach Art. 9 DSGVO)

Allgemeine Fragen wie „Erkläre mir das Konzept eines Rahmenvertrags" sind dagegen unkritisch – hier werden keine personenbezogenen Daten übertragen.

Was bedeutet „DSGVO-konform" bei KI wirklich?

    💡 Kurzdefinition: Eine KI-Lösung ist dann DSGVO-konform, wenn personenbezogene Daten nur auf Servern innerhalb der EU oder in Ländern mit anerkanntem Datenschutzniveau verarbeitet werden – und wenn eine Auftragsverarbeitungsvereinbarung (AVV) mit dem Anbieter geschlossen wurde.
  

Konkret bedeutet das für den KI-Einsatz im Unternehmen:

EU-Server: Die Datenverarbeitung findet auf europäischer Infrastruktur statt
AVV vorhanden: Mit dem KI-Anbieter besteht ein Auftragsverarbeitungsvertrag
Kein Training mit Ihren Daten: Ihre Eingaben werden nicht für Modelltraining genutzt
Transparenz: Sie wissen genau wo Ihre Daten liegen und wie lange sie gespeichert werden

Drei Wege zu DSGVO-konformer KI

1. Lokale KI-Modelle (On-Premise)

Die sicherste Lösung: Das KI-Modell läuft vollständig auf Ihrer eigenen Infrastruktur. Tools wie Ollama machen es möglich, leistungsfähige Sprachmodelle lokal zu betreiben. Keine Daten verlassen Ihr Netzwerk. Nachteil: Erfordert technisches Know-how und geeignete Hardware.

2. Europäische Cloud-Anbieter

Einige KI-Anbieter betreiben ihre Infrastruktur ausschließlich in Europa und bieten AVV an. Hier sollten Sie genau prüfen: Wo stehen die Server wirklich? Gibt es Subauftragnehmer außerhalb der EU?

3. Strikte Datentrennung

Sie nutzen Cloud-KI weiterhin, geben aber niemals personenbezogene Daten ein. Verträge werden anonymisiert, Kundennamen durch Platzhalter ersetzt. Aufwändig, aber für viele Unternehmen ein praktikabler Kompromiss.

Unser Ansatz bei QuoteXtrana

QuoteXtrana wurde von Anfang an mit dem Gedanken entwickelt: Was würde ein DSGVO-Beauftragter sagen? Das Ergebnis: Verarbeitung auf europäischer Infrastruktur, kein Training mit Kundendaten, klare AVV-Vereinbarung. Unternehmen können ihre Dokumente hochladen ohne sich Gedanken darüber machen zu müssen wo die Daten landen.

QuoteXtrana 30 Tage kostenlos testen

DSGVO-konforme Dokumentenanalyse – ohne Risiko, ohne Kreditkarte.

Jetzt kostenlos starten