Sicherheit & Ethik

DSGVO (Datenschutz-Grundverordnung)

Die DSGVO ist das europäische Datenschutzgesetz, das regelt, wie personenbezogene Daten verarbeitet werden dürfen. Für KI-Nutzung bedeutet das: Sie müssen darauf achten, welche Daten Sie in KI-Tools eingeben. Viele KI-Anbieter speichern Eingaben für Trainingszwecke – vertrauliche Firmendaten oder personenbezogene Informationen gehören deshalb nicht in ChatGPT und Co.

Was ist die DSGVO?

Die DSGVO (Datenschutz-Grundverordnung) ist die zentrale Datenschutzgesetzgebung der Europaeischen Union, die seit Mai 2018 gilt. Sie regelt, wie personenbezogene Daten von EU-Buergern erhoben, verarbeitet und gespeichert werden duerfen. Fuer Unternehmen, die Kuenstliche Intelligenz einsetzen, ist die DSGVO besonders relevant, weil KI-Systeme oft grosse Mengen personenbezogener Daten verarbeiten.

Die DSGVO gilt fuer jedes Unternehmen, das Daten von EU-Buergern verarbeitet -- unabhaengig davon, ob das Unternehmen seinen Sitz in der EU hat oder nicht. Das betrifft also auch die Nutzung von KI-Diensten US-amerikanischer Anbieter wie OpenAI oder Google.

DSGVO und KI: Was muessen Unternehmen beachten?

Der Einsatz von KI-Tools bringt spezifische Datenschutz-Herausforderungen mit sich:

  • Datenverarbeitung durch Dritte: Wenn Sie Kundendaten an eine KI-API senden, werden diese Daten ausserhalb Ihres Unternehmens verarbeitet. Das erfordert besondere rechtliche Absicherung
  • Serverstandort: Viele KI-Anbieter betreiben Server in den USA. Die Uebertragung personenbezogener Daten in die USA ist datenschutzrechtlich problematisch und erfordert zusaetzliche Schutzmassnahmen
  • Training mit Nutzerdaten: Einige KI-Anbieter nutzen eingegebene Daten, um ihre Modelle zu verbessern. Das kann einen Verstoss gegen die DSGVO darstellen, wenn personenbezogene Daten betroffen sind
  • Transparenzpflicht: Betroffene muessen informiert werden, wenn ihre Daten durch KI verarbeitet werden
  • Automatisierte Entscheidungen: Artikel 22 DSGVO gibt Betroffenen das Recht, nicht ausschliesslich einer automatisierten Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet

    • Auftragsverarbeitung und AVV

    Wenn ein Unternehmen KI-Dienste nutzt, die personenbezogene Daten verarbeiten, liegt in der Regel eine Auftragsverarbeitung vor. Das bedeutet:

  • Ein Auftragsverarbeitungsvertrag (AVV) muss mit dem KI-Anbieter abgeschlossen werden
  • Der AVV muss regeln, welche Daten verarbeitet werden, zu welchem Zweck, wie lange und welche Sicherheitsmassnahmen gelten
  • Der Anbieter darf die Daten nur im Rahmen des AVV verarbeiten -- eine eigenmaechtige Nutzung zum Modelltraining ist nicht zulaessig
  • Viele grosse Anbieter wie OpenAI, Microsoft und Google bieten mittlerweile AVVs an, die europaeischen Standards entsprechen

    • Serverstandort und Datentransfer

    Der Standort der Server, auf denen KI-Modelle laufen, ist datenschutzrechtlich entscheidend:

  • EU-Server: Ideal fuer DSGVO-Konformitaet. Anbieter wie Mistral (Frankreich), Aleph Alpha (Deutschland) oder selbst gehostete Open-Source-Modelle bieten hier Vorteile
  • US-Server: Erfordern zusaetzliche Schutzmassnahmen. Seit dem EU-US Data Privacy Framework (2023) ist der Transfer einfacher, aber nicht unumstritten
  • Self-Hosting: Open-Source-Modelle wie LLaMA oder Mistral koennen auf eigenen Servern betrieben werden -- volle Kontrolle ueber die Daten, aber hoher technischer Aufwand

    • Praktische Tipps fuer Unternehmen

    So nutzen Sie KI-Tools DSGVO-konform:

  • Dateninventar erstellen: Dokumentieren Sie, welche KI-Tools Sie nutzen und welche Daten uebertragen werden
  • AVV abschliessen: Fuer jeden KI-Dienst, der personenbezogene Daten verarbeitet
  • Datensparsamkeit: Uebertragen Sie nur die Daten, die wirklich noetig sind. Anonymisieren oder pseudonymisieren Sie Daten vor der Uebertragung
  • Datenschutzerklaerung anpassen: Informieren Sie Nutzer ueber den Einsatz von KI-Tools auf Ihrer Website oder in Ihren Produkten
  • Verarbeitungsverzeichnis fuehren: Dokumentieren Sie alle KI-bezogenen Datenverarbeitungen
  • Datenschutz-Folgenabschaetzung: Bei risikoreichen KI-Anwendungen (z.B. Profiling, automatisierte Entscheidungen) ist eine DSFA nach Artikel 35 DSGVO Pflicht
  • Loeschfristen beachten: Stellen Sie sicher, dass Daten auch bei KI-Anbietern nach Ablauf der Aufbewahrungsfrist geloescht werden
Der AI Act der EU ergaenzt die DSGVO um spezifische KI-Regulierung und wird fuer zusaetzliche Anforderungen sorgen. Unternehmen, die heute schon DSGVO-konform mit KI arbeiten, sind dafuer gut vorbereitet.

Fazit

Die DSGVO ist kein Hindernis fuer den KI-Einsatz, sondern ein Rahmen, der verantwortungsvollen Umgang mit Daten sicherstellt. Unternehmen, die von Anfang an auf Datenschutz achten -- durch AVVs, Datensparsamkeit und die richtige Anbieterwahl -- koennen KI-Tools sicher und rechtskonform nutzen. Die Investition in Datenschutz zahlt sich zudem durch Kundenvertrauen aus, denn gerade in Deutschland legen Verbraucher grossen Wert auf den Schutz ihrer Daten.

Verwandte Begriffe aus „Sicherheit & Ethik"

Datenschutz bei KI-Tools

Bei der Nutzung von KI-Tools ist Datenschutz entscheidend. Viele Tools senden Ihre Eingaben an Server in den USA, wo sie...

Urheberrecht und KI

Die Frage, wem KI-generierte Inhalte gehören, ist rechtlich noch weitgehend ungeklärt. Problematisch ist auch, dass KI-M...

AI Act (EU KI-Verordnung)

Der AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von KI, verabschiedet von der Europäischen Union. Es...

Bias (Voreingenommenheit)

Bias beschreibt systematische Verzerrungen in KI-Systemen, die zu unfairen oder diskriminierenden Ergebnissen führen. Da...

Alignment

Alignment beschreibt die Herausforderung, KI-Systeme so zu entwickeln, dass sie im Sinne menschlicher Werte und Absichte...

Erklärbare KI (Explainable AI / XAI)

Erklärbare KI bezeichnet Systeme, deren Entscheidungen für Menschen nachvollziehbar sind. Viele KI-Modelle arbeiten als ...