Blog
DSGVO & KI: Was Sie über Ihre Daten bei OpenAI, Claude & Co. wissen müssen
Jeder Prompt ist ein Datentransfer. Wer KI im Unternehmen nutzt, schickt potenziell personenbezogene Daten an einen Anbieter — oft in die USA. Was das für die DSGVO bedeutet und wie Sie es sauber lösen, ohne auf gute Modelle zu verzichten.
Das Grundproblem: Prompts sind Daten
Kundennamen im Support-Chat, Vertragstexte in der Zusammenfassung, E-Mail-Inhalte in der Klassifikation — sobald personenbezogene Daten im Prompt stehen, greift die DSGVO. Der Anbieter wird zum Auftragsverarbeiter.
Was Sie brauchen: der AVV
Ein Auftragsverarbeitungsvertrag (AVV) mit jedem KI-Anbieter, der Ihre Daten verarbeitet. Die großen Anbieter (OpenAI, Anthropic, Google, Azure) bieten Standard-AVVs an. Ohne AVV ist die Nutzung rechtlich angreifbar.
Datenstandort: EU statt USA
Viele Anbieter erlauben inzwischen EU-Datenresidenz: Azure OpenAI in EU-Regionen, europäische Anbieter wie Mistral, oder offene Modelle self-hosted. Für sensible Daten ist das der sauberste Weg — die Daten verlassen den EU-Raum nicht.
Drei praktische Regeln
- Datensparsamkeit: Nur ins Modell geben, was die Aufgabe braucht. Namen, Adressen etc. wo möglich pseudonymisieren.
- Kein Training auf Ihren Daten: Bei den API-Angeboten der großen Anbieter standardmäßig ausgeschlossen — prüfen und schriftlich haben.
- EU-Routing wo nötig: Sensible Workloads gezielt auf EU-gehostete oder offene Modelle legen.
Der schöne Nebeneffekt
DSGVO und Kostenoptimierung ziehen oft am selben Strang: Wer Workloads anbieterneutral verteilt, kann sensible Fälle auf EU-Modelle und günstige Massen-Workloads auf die kosteneffizienteste Option legen — Compliance und Kostenkontrolle in einem Schritt.
Wie viel steckt bei Ihnen drin?
Der kostenlose Rechner zeigt die Größenordnung in zwei Minuten — komplett im Browser, keine Daten an uns.
Kostenlos berechnenAudit anfragen