KI und Datenschutz: Was Unternehmen wirklich wissen müssen - Promptwerk Consulting
Datenschutz ist der häufigste Grund, warum KI-Projekte im Mittelstand nicht starten. Oft zu Recht – aber manchmal unnötig. Ein sachlicher Überblick.
„Wir wollen KI nutzen, aber Datenschutz.” Dieser Satz bremst mehr Projekte aus als jedes technische Problem.
Manchmal völlig zu Recht. Manchmal aber auch als Ausrede für Untätigkeit oder als Reflex, der nicht auf konkreter Analyse basiert.
Hier ist ein sachlicher Überblick über das, was tatsächlich relevant ist.
Was das Problem ist – und was nicht
Das eigentliche Problem: Wenn Mitarbeiterdaten, Kundendaten oder vertrauliche Informationen in externe KI-Dienste eingegeben werden, ohne dass eine Auftragsverarbeitungsvereinbarung (AVV) vorliegt oder die Daten in der EU verarbeitet werden.
Das ist ein echtes Problem. ChatGPT im Standard-Modus ohne Business-Vertrag, in den Sie Kundendaten eingeben – das ist datenschutzrechtlich heikel.
Was oft kein Problem ist: Allgemeine Textarbeit, interne Kommunikation ohne personenbezogene Daten, Zusammenfassungen von öffentlichen Dokumenten, Ideengenerierung. Hier ist das Datenschutzrisiko gering bis null.
Die drei wichtigsten Maßnahmen
1. Klären, welche Daten reinkommen
Nicht alle KI-Nutzung ist gleich. Eine Policy, die klar sagt „diese Datentypen nicht in externe KI-Dienste eingeben”, reicht für den Anfang.
2. Business-Verträge nutzen
Für die großen Anbieter gibt es Business-Versionen (ChatGPT Enterprise, Microsoft 365 Copilot, Google Workspace with Gemini), die AVVs mitbringen und Daten nicht für Training nutzen. Oft günstiger und einfacher als man denkt.
3. Europäische Alternativen prüfen
Für sensible Anwendungen gibt es zunehmend europäische Anbieter mit DSGVO-konformer Infrastruktur. Nicht immer die leistungsstärkste Option – aber eine legitime Wahl, wenn Compliance Vorrang hat.
Was ich Unternehmen rate
Holen Sie sich eine rechtliche Einschätzung – aber lassen Sie sie von jemandem machen, der KI versteht. Die Kombination aus Datenschutzanwalt und KI-Praxis ist selten, aber notwendig.
Und: Starten Sie mit Use Cases, die keine sensiblen Daten berühren. Das gibt Erfahrung, ohne Risiko. Die komplexeren Cases kommen danach.
Wenn Sie wissen wollen, wie eine datenschutzkonforme KI-Einführung für Ihr Unternehmen aussieht – sprechen Sie mich an.