KI nutzen und trotzdem DSGVO-konform bleiben
Die Datenschutz-Grundverordnung (DSGVO) verunsichert viele Unternehmen beim Einsatz von KI-Tools. Darf ich Kundendaten in ChatGPT eingeben? Was passiert mit meinen Geschäftsgeheimnissen? Kann ich abgemahnt werden?
Die gute Nachricht: KI und Datenschutz schließen sich nicht aus. Sie müssen nur wissen, worauf Sie achten müssen. Dieser Artikel gibt Ihnen einen klaren Fahrplan.
Das Grundproblem: Wo landen meine Daten?
Wenn Sie einen Prompt an ChatGPT, Claude oder Gemini senden, werden diese Daten an Server übertragen – oft in die USA. Das ist aus DSGVO-Sicht relevant, weil:
- Personenbezogene Daten (Namen, E-Mails, Telefonnummern) nicht ohne Weiteres an Drittländer übermittelt werden dürfen
- Einige Anbieter Ihre Eingaben zum Training ihrer Modelle verwenden
- Ohne Auftragsverarbeitungsvertrag (AVV) die Nutzung rechtswidrig sein kann
Die 5 goldenen Regeln für DSGVO-konforme KI-Nutzung
Regel 1: Keine personenbezogenen Daten eingeben
Die einfachste und sicherste Regel: Geben Sie keine echten Kundendaten in KI-Tools ein.
Statt:
„Schreibe ein Angebot für Herrn Max Mustermann, Musterstraße 12, 1010 Wien, für eine Badezimmersanierung."
Besser:
„Schreibe ein Angebot für einen Kunden für eine Badezimmersanierung, 12 m², inkl. Fliesen und Sanitär."
Die persönlichen Daten fügen Sie nachträglich ein. So bleibt die KI Ihr Werkzeug – ohne Datenschutzrisiko.
Regel 2: Bezahlversion nutzen
Die kostenlosen Versionen von ChatGPT und anderen Tools verwenden Ihre Eingaben häufig zum Modelltraining. Die Bezahlversionen (ChatGPT Plus, Claude Pro, Gemini Advanced) bieten in der Regel:
- Kein Training auf Ihren Daten (Opt-out standardmäßig aktiv)
- Bessere Datenschutzgarantien
- Zugang zu aktuelleren Modellen
Für den geschäftlichen Einsatz lohnen sich die ca. 20 €/Monat allein aus Datenschutzgründen.
Regel 3: Auftragsverarbeitungsvertrag (AVV) abschließen
Wenn Sie regelmäßig mit KI arbeiten und dabei auch nur potenziell personenbezogene Daten verarbeiten, brauchen Sie einen AVV mit dem Anbieter.
- OpenAI (ChatGPT): Bietet einen Data Processing Addendum (DPA)
- Anthropic (Claude): DPA verfügbar für Business-Kunden
- Google (Gemini): DPA über Google Workspace
Tipp: Prüfen Sie, ob Ihr gewählter Tarif einen AVV beinhaltet. Bei den Enterprise-Varianten ist das meist Standard.
Regel 4: Datenschutzerklärung aktualisieren
Wenn Sie KI-Tools in Ihrem Unternehmen einsetzen, muss das in Ihrer Datenschutzerklärung erwähnt werden – zumindest dann, wenn Kundendaten involviert sein könnten.
Ein Muster-Absatz:
„Wir nutzen KI-gestützte Werkzeuge zur Unterstützung interner Geschäftsprozesse (z. B. Texterstellung, Kalkulation). Personenbezogene Daten werden dabei anonymisiert bzw. pseudonymisiert verarbeitet. Anbieter: [Name], Sitz: [Land]. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)."
Regel 5: Verarbeitungsverzeichnis führen
Die DSGVO verpflichtet Unternehmen dazu, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Wenn Sie KI-Tools nutzen, gehört das dort hinein:
- Zweck: Textgenerierung, Kalkulation, Kundenkommunikation
- Kategorien betroffener Personen: Kunden, Mitarbeiter
- Empfänger: Name des KI-Anbieters
- Drittlandtransfer: Ja/Nein + Rechtsgrundlage (z. B. EU-US Data Privacy Framework)
Sonderfall: KI für E-Mails und Kundenkommunikation
Viele Unternehmen nutzen KI, um E-Mails zu formulieren oder Kundenanfragen zu beantworten. Das ist grundsätzlich erlaubt, solange Sie:
- Keine vollständigen E-Mail-Verläufe in die KI kopieren (entfernen Sie Namen, Adressen, Telefonnummern)
- Die generierte Antwort prüfen, bevor Sie sie absenden
- Den Kunden nicht vortäuschen, dass ein Mensch geantwortet hat, wenn es relevant ist
Was ist mit dem EU-US Data Privacy Framework?
Seit Juli 2023 gibt es das EU-US Data Privacy Framework (DPF), das den Datentransfer zwischen EU und USA erleichtert. OpenAI und Google sind zertifiziert. Das bedeutet:
- Der Transfer personenbezogener Daten an diese Anbieter ist grundsätzlich rechtmäßig
- Ein AVV ist trotzdem empfehlenswert
- Die Situation kann sich ändern (wie beim Privacy Shield) – bleiben Sie informiert
Checkliste: DSGVO-konforme KI-Nutzung
| Maßnahme | Status |
|---|---|
| Bezahlversion des KI-Tools nutzen | ☐ |
| Personenbezogene Daten anonymisieren | ☐ |
| AVV mit dem Anbieter abschließen | ☐ |
| Datenschutzerklärung aktualisieren | ☐ |
| Verarbeitungsverzeichnis ergänzen | ☐ |
| Mitarbeiter schulen (keine echten Daten eingeben) | ☐ |
| Training auf eigenen Daten deaktivieren | ☐ |
Was passiert, wenn ich mich nicht daran halte?
Die DSGVO sieht Bußgelder von bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes vor. Für KMU realistischer: Abmahnungen und Beschwerden bei der Datenschutzbehörde.
Das Risiko ist nicht rein theoretisch. Die österreichische Datenschutzbehörde hat bereits Verfahren wegen unerlaubter Datenübermittlung an US-Dienste geführt.
So starten Sie sicher
-
Interne Richtlinie erstellen: Definieren Sie, welche Daten in KI-Tools eingegeben werden dürfen und welche nicht.
-
Team schulen: In einem KI-Workshop erarbeiten wir gemeinsam die Datenschutz-Richtlinien für Ihren Betrieb.
-
Förderung nutzen: Über KMU.DIGITAL können Sie die Beratung mit bis zu 80 % fördern lassen.
Fazit
DSGVO und KI sind kein Widerspruch. Mit den richtigen Maßnahmen können Sie KI-Tools produktiv einsetzen, ohne Datenschutzrisiken einzugehen. Die wichtigste Regel: Personenbezogene Daten anonymisieren, bevor Sie sie in eine KI eingeben.
Weiterführende Artikel:
KI-Wissen direkt ins Postfach
Neue Artikel, Praxis-Tipps und Fördernews für Ihr Unternehmen. Kein Spam, jederzeit abbestellbar.