Ratgeber · KI
DSGVO-konforme KI: So bleiben sensible Daten unter Ihrer Kontrolle
Kurz gesagt
DSGVO-konforme KI ist eine Architektur-Frage. Der Weg führt über drei Stufen. Für Unverfängliches reicht ein Anbieter mit EU-Verarbeitung und Auftragsverarbeitungsvertrag, für Kundendaten empfehlen sich Systeme auf deutschen Servern, und für wirklich Sensibles gibt es Sprachmodelle, die lokal im Haus laufen und bei denen kein Byte den Betrieb verlässt.
Warum die Standard-Cloud oft nicht reicht
Die bekannten KI-Dienste sitzen überwiegend in den USA, und genau dort beginnt das Problem. Sobald personenbezogene Daten verarbeitet werden, verlangt die DSGVO ein angemessenes Schutzniveau und einen Vertrag zur Auftragsverarbeitung, und nicht jeder Anbieter erfüllt beides belastbar. Für Betriebe mit Kundendaten, Personalunterlagen oder Mandats- und Patientenbezug ist „einfach mal ChatGPT” deshalb keine Architektur, sondern ein Risiko.
Die gute Nachricht ist, dass es längst Wege gibt, KI sauber zu nutzen. Es sind drei, und sie unterscheiden sich danach, wie sensibel die Daten sind.
Stufe 1: EU-Verarbeitung mit Vertrag
Für Aufgaben ohne heikle Inhalte, etwa Textentwürfe oder Recherche, reicht ein Anbieter, der Verarbeitung in der EU zusichert und einen Auftragsverarbeitungsvertrag anbietet. Wichtig sind zwei Prüfpunkte. Die Daten dürfen nicht zum Training der Modelle verwendet werden, und das Team braucht eine klare Regel, was in solche Dienste eingegeben werden darf und was nie.
Stufe 2: Deutsche Server
Wer Kundendaten einbindet, etwa für einen Anfragen-Verteiler oder eine durchsuchbare Dokumentenablage, fährt besser mit Systemen, die komplett auf Servern in Deutschland laufen. Die Werkzeuge dafür sind erwachsen, von Automatisierungs-Plattformen bis zu Wissensspeichern mit Quellenangabe. So bauen wir die meisten unserer Automatisierungen auf.
Stufe 3: Sprachmodelle im eigenen Haus
Für alles, was den Betrieb nicht verlassen darf, laufen Sprachmodelle heute lokal, auf einem Server im Haus oder in der eigenen Infrastruktur. Kein Byte geht nach draußen, und trotzdem stehen die typischen Fähigkeiten bereit, vom Zusammenfassen über das Zuordnen bis zur Antwort mit Quellenangabe. Dieser Weg macht KI auch dort möglich, wo Berufsgeheimnisse gelten, in Kanzleien, Praxen und überall, wo Verträge strenge Vorgaben machen.
Die Praxis-Checkliste
- Daten sortieren. Welche Datenarten sollen in KI-Systeme, und wie sensibel sind sie? Daraus ergibt sich die Stufe.
- Verträge prüfen. Auftragsverarbeitung, Verarbeitungsort, Ausschluss der Trainingsnutzung.
- Regeln fürs Team aufschreiben. Was darf in welches Werkzeug, was nie. Das gehört zugleich zur Kompetenzpflicht aus der KI-Verordnung.
- Freigaben einbauen. Automatisierte Ergebnisse gehen erst nach menschlicher Prüfung nach draußen, wie bei unseren KI-Agenten.
- Dokumentieren. Wer worauf zugreift und wo verarbeitet wird, kurz festgehalten. Das beantwortet Rückfragen, bevor sie zu Problemen werden.
Welche Stufe zu welchen Ihrer Daten passt, klären wir in der KI-Beratung, und die Umsetzung kommt aus derselben Hand.
Wo dürfen Ihre Daten hin?
Wir klären in der Beratung, welche Architektur zu Ihren Daten passt, vom EU-Dienst mit Vertrag bis zum Sprachmodell im eigenen Haus, und setzen sie anschließend um.