Warum KI und Datenschutz genau hinschauen erfordert
KI-Tools verarbeiten Eingaben – und das bedeutet: Was Mitarbeiter in ChatGPT, Copilot oder andere KI-Tools eingeben, verlässt in der Regel Ihr Unternehmen und wird auf Servern Dritter verarbeitet. Ohne klare Regeln kann das schnell zur Datenschutzverletzung werden.
Hinzu kommt: Viele KI-Tools trainieren ihre Modelle mit den Eingaben der Nutzer. Wenn ein Mitarbeiter also Kundendaten in ein KI-Tool eingibt, landen diese Daten möglicherweise im Trainingsmaterial – und damit unkontrolliert im System.
Die größten Risiken im Überblick
Unkontrollierte Datenweitergabe
Mitarbeiter nutzen KI-Tools oft ohne Rücksprache mit der IT oder dem Datenschutzbeauftragten. Vertragsdaten, Kundendetails, interne Strategien – alles kann unbeabsichtigt nach außen gelangen.
Fehlende Auftragsverarbeitungsverträge (AVV)
Viele KI-Anbieter haben keine oder unzureichende AVVs. Wer ein KI-Tool ohne rechtskonformen AVV einsetzt, verstößt gegen die DSGVO.
Ungenügende Transparenz
KI-Entscheidungen sind oft schwer nachvollziehbar. Bei automatisierter Entscheidungsfindung (z. B. in der Personalauswahl) müssen Unternehmen jedoch erklären können, wie die Entscheidung zustande kam.
Drittlandtransfer
Viele KI-Tools verarbeiten Daten auf Servern in den USA. Ohne geeignete Garantien (EU-Standardvertragsklauseln, Angemessenheitsbeschluss) ist das rechtswidrig.
Checkliste: KI-Tools datenschutzkonform einsetzen
- Inventur: Welche KI-Tools werden in Ihrem Unternehmen genutzt? (Offizielle und inoffizielle)
- AVV prüfen: Liegt ein rechtskonformer Auftragsverarbeitungsvertrag vor?
- Datenverarbeitung prüfen: Werden personenbezogene Daten verarbeitet? Wenn ja, welche?
- Speicherort prüfen: Wo werden die Daten verarbeitet? EU-Ausland? Drittland?
- Richtlinie erstellen: Klare Regeln für die KI-Nutzung – was ist erlaubt, was nicht?
- Mitarbeiter schulen: Alle Mitarbeiter über Risiken und Regeln informieren
- Datenschutz-Folgenabschätzung (DPIA): Für Hochrisiko-KI-Systeme erforderlich
Konkrete Prüfpunkte für die wichtigsten KI-Tools
ChatGPT & Co.
- AVV mit OpenAI abschließen (möglich seit Einführung der Business-Version)
- Chat-Verlauf deaktivieren (Training mit eigenen Daten verhindern)
- Keine personenbezogenen Daten in Prompts eingeben (auch nicht anonymisiert)
Microsoft Copilot
- AVV ist über Microsoft-Vertrag abgedeckt – prüfen, ob Copilot im bestehenden Vertrag enthalten ist
- Data-Residency-Optionen prüfen (EU-Daten in EU-Rechenzentren)
- Copilot-Integration in Microsoft 365 prüfen: Zugriff auf E-Mails, Kalender, Dokumente
DeepL, Notion AI, Canva AI & Co.
- AVV mit Anbieter prüfen
- Enterprise-Tarife nutzen (oft mit besseren Datenschutzbedingungen)
- Opt-Out für Training mit eigenen Daten beantragen
Fazit: KI-Nutzung braucht Regeln
KI-Tools sind kein vorübergehender Trend – sie werden bleiben. Unternehmen, die frühzeitig klare KI-Richtlinien etablieren, schützen sich vor Datenschutzverstößen und Bußgeldern. Und sie schaffen die Basis, um KI künftig gezielt und rechtskonform einzusetzen.
→ Jetzt KI-Compliance-Check vereinbaren