Zum Inhalt

Datenschutz & KI

Welche Daten darf ich KI-Tools geben?

Die Frage, die die meisten nicht stellen

Wenn du ein KI-Tool im Browser nutzt, gibst du Daten an einen Server – typischerweise in den USA. Was mit diesen Daten passiert, hängt von den Nutzungsbedingungen und Datenschutzrichtlinien des Anbieters ab. Viele Anbieter nutzen Eingaben standardmäßig zum Training ihrer Modelle – es sei denn, du deaktivierst diese Option aktiv.

Das ist keine Panikmache. Es ist eine Tatsache, die du kennen musst, um informierte Entscheidungen zu treffen.

Was die DSGVO dazu sagt

Die DSGVO (Datenschutz-Grundverordnung) gilt für alle, die personenbezogene Daten von EU-Bürgern verarbeiten – also auch für dich als Selbständigen, wenn du Kundendaten hast. Personenbezogene Daten sind alle Informationen, die eine Person direkt oder indirekt identifizierbar machen: Name, Adresse, E-Mail, Telefonnummer, aber auch Kombinationen von Informationen, die zusammen eine Person erkennbar machen.

Wenn du solche Daten in ein KI-Tool eingibst, das auf Servern außerhalb der EU läuft, findet eine Datenübertragung in ein Drittland statt. Das ist unter der DSGVO nur unter bestimmten Bedingungen zulässig – zum Beispiel wenn der Anbieter sogenannte Standardvertragsklauseln (SCCs) einsetzt oder unter dem EU-US Data Privacy Framework zertifiziert ist.

Die praktische Konsequenz: Bevor du Kundendaten in ein KI-Tool eingibst, musst du prüfen, ob der Anbieter eine DSGVO-konforme Datenverarbeitung gewährleistet – und ob du als Auftraggeber deiner Kunden gegenüber dazu berechtigt bist.

Rechtlicher Hinweis: Dies ist eine vereinfachte Darstellung eines komplexen Rechtsgebiets. Für eine verbindliche Einschätzung deiner konkreten Situation wende dich an einen Datenschutzbeauftragten oder Rechtsanwalt.

Die einfache Faustregel

Wenn du dir nicht sicher bist, ob du bestimmte Daten in ein KI-Tool eingeben darfst, stelle dir diese Frage: Würde ich diese Information auf einer Postkarte schreiben und an einen unbekannten Empfänger in den USA schicken?

Wenn die Antwort Nein ist, gehört sie nicht in ein öffentliches KI-Tool.

Konkret bedeutet das:

Unbedenklich (in der Regel): Allgemeine Texte ohne Personenbezug, eigene Ideen und Entwürfe ohne Kundendaten, öffentlich zugängliche Informationen, fiktive Szenarien.

Problematisch (immer prüfen): Kundennamen in Kombination mit anderen Informationen, E-Mail-Inhalte mit Kundenbezug, Verträge mit personenbezogenen Daten, interne Unternehmensinformationen, Gesundheitsdaten jeder Art.

Nicht erlaubt (ohne ausdrückliche Prüfung und Rechtsgrundlage): Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO – dazu gehören Gesundheitsdaten, religiöse Überzeugungen, politische Meinungen, biometrische Daten und sexuelle Orientierung.

Anonymisieren statt weglassen

Du kannst KI trotzdem für die Arbeit mit sensiblen Themen nutzen – wenn du die Daten vorher anonymisierst. Ersetze echte Namen durch Platzhalter, entferne identifizierende Details, beschreibe Situationen allgemein statt konkret.

Aus „Mein Kunde Hans Müller, Inhaber der Müller GmbH in München, hat folgendes Problem..." wird dann: „Ein mittelständischer Unternehmer hat folgendes Problem..." – und du bekommst dieselbe Hilfe, ohne personenbezogene Daten preiszugeben.