← Alle News
Datenschutz 7 Min Lesezeit

DSGVO und KI: Welche Tools darf ich im Unternehmen nutzen?

Viele Unternehmen nutzen KI-Tools im Alltag – oft ohne zu wissen ob das datenschutzrechtlich in Ordnung ist. Wir klären die wichtigsten Fragen: Was ist erlaubt, was ist riskant, und wie schützt man sich ab.

Das Grundproblem: KI und personenbezogene Daten

Die DSGVO schützt personenbezogene Daten – also alle Informationen, die sich auf eine identifizierbare Person beziehen. Namen, E-Mail-Adressen, Telefonnummern, aber auch IP-Adressen oder Mitarbeiterdaten fallen darunter.

Das Problem: Wer ChatGPT, Gemini oder andere KI-Tools nutzt und dabei solche Daten eingibt, übermittelt sie an Server – oft in den USA. Das ist nicht automatisch verboten, aber es gelten klare Regeln.

Die wichtigste Frage: Wo werden die Daten verarbeitet?

Entscheidend ist, ob der Anbieter eine rechtliche Grundlage für die Datenübertragung hat. Für US-Anbieter gilt seit dem EU-US Data Privacy Framework (2023) eine erleichterte Übertragung – aber nur wenn der Anbieter zertifiziert ist und ein Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen wird.

  • OpenAI (ChatGPT): AV-Vertrag verfügbar für Team/Enterprise, Zertifizierung vorhanden
  • Anthropic (Claude): AV-Vertrag verfügbar, verarbeitet keine Daten für Training bei API-Nutzung
  • Google (Gemini): AV-Vertrag verfügbar für Workspace-Kunden, kostenlose Version problematisch
  • DeepL Pro: Server in Deutschland, AV-Vertrag inklusive – DSGVO-konform

Was ist der AV-Vertrag und warum ist er wichtig?

Wenn ein Unternehmen personenbezogene Daten durch einen Dienstleister verarbeiten lässt, schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AV-Vertrag) vor. Das gilt auch für KI-Tools.

Ohne AV-Vertrag ist die Nutzung eines KI-Tools mit Kundendaten rechtlich riskant – unabhängig davon ob der Anbieter amerikanisch oder europäisch ist.

Faustregel: Nur bezahlte Business-Pläne bieten in der Regel AV-Verträge. Kostenlose Versionen fast nie.

Was darf ich eingeben – und was nicht?

Selbst mit AV-Vertrag gilt: Nur so viele Daten eingeben wie nötig.

Unkritisch (in der Regel erlaubt):

  • Allgemeine Texte ohne Personenbezug
  • Interne Dokumente ohne Kundendaten
  • Anonymisierte Beispiele
  • Code ohne sensible Konfigurationsdaten

Kritisch (nur mit AV-Vertrag und Prüfung):

  • Kundennamen und -adressen
  • Mitarbeiterdaten
  • Gesundheitsdaten
  • Finanzinformationen von Personen

Grundsätzlich zu vermeiden:

  • Passwörter, Zugangsdaten
  • Sensible Verhandlungsinformationen
  • Betriebsgeheimnisse in kostenlosen Tools

DSGVO-konforme Alternativen

Wer auf Nummer sicher gehen will, setzt auf Tools mit deutschen oder europäischen Servern:

  • Neuroflash – KI-Texte, Server in Deutschland
  • DeepL Pro – Übersetzungen, Server in Deutschland
  • Aleph Alpha – deutsches Sprachmodell, maximale Datensouveränität
  • DSGPT – eigene GPT-Plattform auf deutschen Servern, einmaliger Kauf

Mitarbeiter schulen – der unterschätzte Faktor

Die beste technische Absicherung nützt nichts, wenn Mitarbeitende unbedarft Kundendaten in die kostenlose ChatGPT-Version tippen. Klare interne Regeln sind deshalb genauso wichtig wie der AV-Vertrag.

Empfehlung: Eine kurze interne Richtlinie erstellen – welche Tools sind freigegeben, welche Daten dürfen eingegeben werden, was ist verboten.

Fazit

KI und DSGVO schließen sich nicht aus – aber es braucht Sorgfalt. Wer bezahlte Business-Versionen mit AV-Vertrag nutzt, keine sensiblen Daten leichtfertig eingibt und Mitarbeitende schult, ist rechtlich gut aufgestellt.

Im Tool-Verzeichnis kannst du direkt nach DSGVO-konformen Tools und deutschem Serverstandort filtern.

KI Tools für Unternehmen

Unabhängig kuratiertes Verzeichnis für KI-Tools im Unternehmenskontext. Made in Hamburg.

Nach DSGVO-konformen Tools filtern – direkt im Verzeichnis.

Zum Tool-Verzeichnis