Beyond Prompt AI Studio

AI im Unternehmen einordnen

Datenschutz & AI: DSGVO-Basics

Sobald ein AI-Tool mit Kunden- oder Mitarbeiterdaten arbeitet, ist Datenschutz kein Nebenthema mehr, sondern Voraussetzung für den Einsatz. Diese Basics helfen dir, Anbieter-Zusagen und Risiken realistisch einzuordnen – sie ersetzen keine Rechtsberatung im Einzelfall.

Ein Beispiel je Baustein – zum Merken

Probier es aus: Tarif macht den Unterschied

Kostenloser TarifBusiness-Tarif mit Opt-out

Du fügst einen Vertragsentwurf mit Kundendaten in einen Chatbot ein.

Laut AGB oft nutzbar fürs Modelltraining – die Daten könnten dauerhaft im System verbleiben.

Warum AI-Einsatz fast immer ein DSGVO-Thema ist

Sobald personenbezogene Daten – Kundennamen, E-Mail-Adressen, Mitarbeiterdaten – in ein AI-Tool eingegeben werden, greift die DSGVO. Das gilt unabhängig davon, ob gerade nur ein Chatbot getestet oder eine Automatisierung produktiv genutzt wird.

Die wichtigsten Bausteine

Auftragsverarbeitung (AVV)

Verarbeitet ein AI-Anbieter in eurem Auftrag personenbezogene Daten, braucht es in der Regel einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Ohne AVV ist der produktive Einsatz rechtlich riskant – unabhängig davon, wie gut das Tool funktioniert.

Serverstandort & Drittstaaten-Transfer

Viele große AI-Anbieter verarbeiten Daten in den USA. Es lohnt sich zu prüfen, ob die Verarbeitung in der EU stattfindet oder ob ein Transfer in ein Drittland vorliegt – und auf welcher Rechtsgrundlage (z. B. EU-US Data Privacy Framework) dieser Transfer basiert.

Trainings-Opt-out

Manche Anbieter nutzen Eingaben standardmäßig, um ihre Modelle weiterzutrainieren – oft lässt sich das in Business- oder Enterprise-Tarifen abschalten. Für vertrauliche oder personenbezogene Daten sollte dieses Opt-out Pflicht sein, nicht optional.

Datensparsamkeit als Grundregel

Die einfachste Absicherung bleibt: so wenig personenbezogene oder vertrauliche Daten wie nötig eingeben – wo möglich anonymisieren oder mit Platzhaltern arbeiten (siehe auch das Datenschutz-Risiko aus Modul 4).

Warum das für dich als Entscheider zählt

Diese Basics sind keine Bremse für AI-Einsatz, sondern die Checkliste, die vor jedem produktiven Einsatz einmal durchlaufen werden sollte. Beyond Prompt denkt diese Fragen bei Automatisierungen von Anfang an mit, statt sie nachträglich zum Problem werden zu lassen.

Das Wichtigste in Kürze

  • Sobald personenbezogene Daten in ein AI-Tool eingegeben werden, greift die DSGVO.
  • Bei Auftragsverarbeitung braucht es in der Regel einen AVV (Art. 28 DSGVO).
  • Serverstandort und Drittstaaten-Transfer des Anbieters vorab prüfen.
  • Für vertrauliche Daten sollte ein Trainings-Opt-out Pflicht sein, nicht optional.
  • Datensparsamkeit – so wenig wie nötig eingeben, wo möglich anonymisieren – ist die einfachste Absicherung.

Kurz-Check: Hast du es verstanden?

1 / 3

Was braucht es in der Regel, wenn ein AI-Anbieter im Auftrag eures Unternehmens personenbezogene Daten verarbeitet?

Willst du AI datenschutzkonform in deinem Unternehmen einführen?