Warum AI-Einsatz fast immer ein DSGVO-Thema ist
Sobald personenbezogene Daten – Kundennamen, E-Mail-Adressen, Mitarbeiterdaten – in ein AI-Tool eingegeben werden, greift die DSGVO. Das gilt unabhängig davon, ob gerade nur ein Chatbot getestet oder eine Automatisierung produktiv genutzt wird.
Die wichtigsten Bausteine
Auftragsverarbeitung (AVV)
Verarbeitet ein AI-Anbieter in eurem Auftrag personenbezogene Daten, braucht es in der Regel einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Ohne AVV ist der produktive Einsatz rechtlich riskant – unabhängig davon, wie gut das Tool funktioniert.
Serverstandort & Drittstaaten-Transfer
Viele große AI-Anbieter verarbeiten Daten in den USA. Es lohnt sich zu prüfen, ob die Verarbeitung in der EU stattfindet oder ob ein Transfer in ein Drittland vorliegt – und auf welcher Rechtsgrundlage (z. B. EU-US Data Privacy Framework) dieser Transfer basiert.
Trainings-Opt-out
Manche Anbieter nutzen Eingaben standardmäßig, um ihre Modelle weiterzutrainieren – oft lässt sich das in Business- oder Enterprise-Tarifen abschalten. Für vertrauliche oder personenbezogene Daten sollte dieses Opt-out Pflicht sein, nicht optional.
Datensparsamkeit als Grundregel
Die einfachste Absicherung bleibt: so wenig personenbezogene oder vertrauliche Daten wie nötig eingeben – wo möglich anonymisieren oder mit Platzhaltern arbeiten (siehe auch das Datenschutz-Risiko aus Modul 4).
Warum das für dich als Entscheider zählt
Diese Basics sind keine Bremse für AI-Einsatz, sondern die Checkliste, die vor jedem produktiven Einsatz einmal durchlaufen werden sollte. Beyond Prompt denkt diese Fragen bei Automatisierungen von Anfang an mit, statt sie nachträglich zum Problem werden zu lassen.