KIProf. Dr. SchanbacherKI für den Mittelstand
KI im Unternehmen

Modul 4 von 4

Datenschutz & Rechtssicherheit

KI darf kein Datenleck und kein Haftungsrisiko sein. Dieses Modul zeigt, wie Sie Firmengeheimnisse und personenbezogene Daten schützen, welche rechtlichen Leitplanken (EU AI Act, DSGVO) gelten, wer im Ernstfall haftet – und wie eine einfache Daten-Ampel die Regeln im Alltag anwendbar macht.

Das Grundrisiko: Wohin fließen meine Daten?

Wenn Mitarbeitende vertrauliche Inhalte in ein beliebiges, kostenloses Online-Tool eingeben, verlassen diese Daten unter Umständen das Unternehmen und werden womöglich zur Verbesserung des Dienstes weiterverwendet. Für Geschäftsgeheimnisse, Kundendaten oder Quellcode kann das gravierend sein – bis hin zum Verlust des Geheimnisschutzes.

Die zentrale Frage lautet daher bei jedem Tool: Wo werden die Daten verarbeitet und gespeichert, wer hat Zugriff, und werden meine Eingaben zum Training genutzt? Seriöse Geschäftsangebote (Enterprise-/Team-Tarife) sichern vertraglich zu, dass Eingaben nicht zum Training verwendet werden.

Lokale Modelle vs. Cloud – und der EU-Weg

Für besonders sensible Daten gibt es zwei robuste Wege. Erstens: lokale bzw. on-premise betriebene Modelle, bei denen die Daten das eigene Netz nie verlassen. Zweitens: Modelle in einer kontrollierten Cloud innerhalb der EU – bei denen Region, Zugriff und Datenverarbeitung vertraglich geregelt sind und ein DSGVO-konformer Auftragsverarbeitungsvertrag besteht.

Wichtig: US-Hyperscaler wie AWS, Azure oder Google Cloud betreiben Rechenzentren in der EU, unterliegen aber dem US CLOUD Act – US-Behörden können unter Umständen Datenzugriff verlangen, selbst bei EU-Datenhaltung. Für höchste Schutzanforderungen empfehlen sich rein europäische Anbieter (z. B. IONOS, Hetzner, OVHcloud) oder eine On-Premise-Lösung. Für viele Standard-Szenarien sind Business-Tarife der Hyperscaler mit AV-Vertrag jedoch pragmatisch und ausreichend.

Cloud-Lösungen sind leistungsfähiger und einfacher zu betreiben; lokale Modelle bieten maximale Kontrolle, erfordern aber eigene Hardware und Know-how. Die richtige Wahl hängt von der Sensibilität der Daten und Ihren Ressourcen ab.

Grün — unkritische / öffentliche Daten z. B. allgemeine Recherche, Textentwürfe ohne Personenbezug jedes geprüfte Tool erlaubt Gelb — interne Daten z. B. interne Notizen, nicht-sensible Kundendaten nur Business-Tarif mit AV-Vertrag Rot — Geheimnisse & sensible Personendaten z. B. Gesundheits-, Mandanten-, Geschäftsgeheimnisse, Quellcode nur lokal oder EU-Hosting
Datenklassifizierung nach dem Ampelprinzip – sie macht die KI-Nutzungsregel im Alltag anwendbar.

Beispiel: Zwei Klassen von Daten

Eine Kanzlei legt fest: Für allgemeine Recherche und Textentwürfe ohne Mandantenbezug ist ein geprüftes Cloud-Tool erlaubt. Für mandantenbezogene Schriftsätze wird ausschließlich ein in der EU gehostetes Modell mit Auftragsverarbeitungsvertrag genutzt – und niemals ein kostenloser Consumer-Dienst. Eine einfache Datenklassifizierung macht die Regel im Alltag anwendbar.

Die rechtlichen Leitplanken: EU AI Act & DSGVO

Der EU AI Act verlangt seit dem 2. Februar 2025 von allen Unternehmen eine ausreichende KI-Kompetenz ihrer Mitarbeitenden (Art. 4) und verbietet bestimmte Praktiken. Je nach Risikoklasse kommen Transparenzpflichten und – bei Hochrisiko-Anwendungen – strenge Anforderungen inklusive menschlicher Aufsicht hinzu.

Parallel gilt die DSGVO: Sobald personenbezogene Daten verarbeitet werden, braucht es eine Rechtsgrundlage, Transparenz und angemessene Sicherheit. Wer KI mit Personendaten einsetzt, sollte den Datenschutzbeauftragten früh einbinden.

Praktische Leitplanken für den Alltag

  • Eine klare KI-Nutzungsrichtlinie: Welche Tools sind für welche Daten erlaubt?
  • Geschäftstarife mit Zusicherung „keine Nutzung der Eingaben zum Training“.
  • Sensible Daten nur in lokalen oder EU-gehosteten, vertraglich abgesicherten Diensten.
  • Menschliche Kontrolle: KI-Ergebnisse vor Verwendung prüfen.
  • Mitarbeitende schulen (auch eine Pflicht aus dem EU AI Act).

Das Wichtigste in Kürze

  • Erste Frage bei jedem Tool: Wo fließen die Daten hin und werden sie zum Training genutzt?
  • Sensible Daten gehören in lokale Modelle oder EU-gehostete Dienste mit AV-Vertrag; für höchste Anforderungen: rein europäische Anbieter (IONOS, Hetzner, OVHcloud).
  • EU AI Act verlangt KI-Kompetenz der Mitarbeitenden (seit 2.2.2025) und Transparenz.
  • Klare Nutzungsrichtlinie + Datenklassifizierung machen Schutz im Alltag umsetzbar.

?Wissens-Check

Beantworten Sie die Fragen, um Ihr Verständnis zu prüfen. Sie erhalten sofort eine Rückmeldung.

Frage 1.Wie schützt man Firmengeheimnisse beim KI-Einsatz am besten?

Frage 2.Was verlangt der EU AI Act seit dem 2. Februar 2025 von Unternehmen?

Frage 3.Welche Frage sollten Sie vor der Nutzung eines KI-Tools immer stellen?

← Vorheriges Modul