Wenn sich ein graumelierter Datenschutzberater zum KI-Einsatz äußert, erwartet man den erhobenen Zeigefinger: Denkt an die DSGVO!
Ja, auch. Aber ehrlich: Datenschutz ist beim KI-Einsatz nicht das größte Risiko.
Das größte Risiko ist Ihr Know-how. Strategien, Kalkulationen, Quellcode, Angebote – einmal in ein fremdes Tool gekippt, holen Sie das nicht zurück. Der wirtschaftliche Schaden kann jedes Bußgeld übersteigen.
Über das Risiko unsinniger KI-Ergebnisse haben wir in Teil 4 geredet.
Warum alle auf die DSGVO starren.
Die DSGVO ist präsent, weil sie greifbar ist: klare Vorgaben, hohe Bußgelder, eine wachsame Behörde. Das prägt sich ein. Also denken viele bei „KI und Daten" zuerst an Datenschutz.
Die teureren Fragen stellt kaum jemand. Hat jemand eine vertrauliche Kundenliste in einen Chatbot kopiert? Sind interne Preise und Angebote nach außen gelangt? Wurde Quellcode hochgeladen?
Kein Mensch erkennbar, kein Personenbezug – und trotzdem ein Schaden, der wehtut. Die DSGVO: Nicht zuständig. Ihr Wettbewerber freut sich.
Die bessere Frage.
Deshalb lautet die entscheidende Frage vor jeder KI-Eingabe nicht nur „Sind das personenbezogene Daten?", sondern breiter:
Was darf diese KI niemals sehen?
Da geht es um weit mehr als nur personenbezogene Daten: Geschäftsgeheimnisse und Kalkulationen. Vertrauliche Verträge. Quellcode. Forschung und Entwicklung. Sicherheitsrelevantes.
Personenbezogene Daten sind nur eine Kategorie. Eine wichtige – aber nicht die einzige.
Die gute Nachricht: eine Hygiene, beide Risiken.
Jetzt das Beruhigende: Wer Datenschutz ernst nimmt, schützt sein Know-how gleich mit. Viele Datenschutzmaßnahmen verbessern gleichzeitig den Schutz von Geschäftsgeheimnissen. Ganz ersetzen sie den Informationsschutz aber nicht.
Die Maßnahmen sind dieselben. Keine sensiblen Daten in ungeprüfte Tools. Ein Anbieter mit Vertrag, der nicht mit Ihren Eingaben trainiert. Server möglichst in der EU. Wer das für personenbezogene Daten einhält, hält damit automatisch auch Geschäftsgeheimnisse zurück.
Das ist nichts Neues. Guter Datenschutz war immer auch Informationsschutz. Beim KI-Einsatz fällt es „wieder einmal" auf.
Drei Fragen, die reichen.
Vor jeder KI-Eingabe drei Fragen. Mehr braucht der Alltag nicht:
Was? Welche Daten geben Sie ein – personenbezogen, geheim, oder nur öffentlich?
Wohin? Wo landen sie – EU oder Drittland? Wer bekommt sie? Trainiert der Anbieter mit? Ist er für diese Daten überhaupt geeignet? Gibt es einen Auftragsverarbeitungsvertrag?
Darf ich? Habe ich eine Rechtsgrundlage – und erlauben Verträge, Verschwiegenheitspflichten und interne Regeln den Einsatz?
Was. Wohin. Darf ich. Drei Fragen, die neunzig Prozent der Probleme abfangen.
Der einfachste Schutz: raus, was nicht rein muss.
Oft brauchen Sie das Heikle für die Aufgabe gar nicht. Sie wollen einen Text glätten oder eine Auswertung erklären – das geht mit Platzhaltern.
Echte Namen werden zu „Kunde A", echte Zahlen zu Beispielwerten, der konkrete Kunde zu „ein Mittelständler aus der Region". Was niemand mehr zuordnen kann, ist kein Risiko mehr – weder für die DSGVO noch für Ihr Geschäft.
Eine Grenze bleibt: Besonders Sensibles – Gesundheitsdaten, aber auch echte Geschäftsgeheimnisse – halten Sie aus ungeprüften Tools grundsätzlich heraus. Auch anonymisiert mit Vorsicht.
Worum es eigentlich geht.
Datenschutz ist beim KI-Einsatz ein Baustein. Ein wichtiger. Aber nur einer – neben Informationsschutz, Ergebnisqualität und IT-Sicherheit.
Gute KI-Nutzung schaut auf alle zusammen. Das ist der Sicherheitsgurt aus dem ersten Teil, breiter gefasst: nicht nur „ist das DSGVO-konform?", sondern „was geben wir hier aus der Hand?".
Datenschutz ist nicht das größte Risiko. Aber wer ihn ernst nimmt, hat die anderen besser mit im Griff.
Im nächsten Teil geht es um den AI Act in der Praxis: Was die neue KI-Verordnung für kleine und mittlere Organisationen wirklich bedeutet – und was bis wann zu tun ist. Danach folgt die Anbieterprüfung.
Und wenn Sie für Ihre Organisation klare Regeln wollen, was in welche Tools darf: Das erste Gespräch ist kostenlos.