Künstliche Intelligenz und Datenschutz

Künstliche Intelligenz (KI) kann Unternehmen erheblich effizienter machen - zum Beispiel bei Texterstellung, Support, Programmierung, Dokumentenanalyse, Automatisierung und Wissensmanagement.

Damit KI DSGVO-konform eingesetzt werden kann, müssen Unternehmen vor allem verstehen:

• Welche Daten werden verarbeitet?
• Wo werden diese Daten verarbeitet?
• Welche KI ist für welchen Zweck geeignet?

Dieser Überblick vermittelt eine klare Entscheidungsgrundlage für Unternehmen.

Berücksichtigte Systeme:

• ChatGPT / API
• Claude
• Langdock
• Mistral
• Llama
• Open WebUI

Die DSGVO verbietet den Einsatz von KI nicht. Entscheidend ist:

Personenbezogene Daten müssen kontrolliert und nachvollziehbar verarbeitet werden.

Beispiele personenbezogener Daten:

• Namen
• E-Mail-Adressen
• Telefonnummern
• Kundendaten
• Mitarbeiterdaten
• Bewerbungen
• Verträge
• interne Kommunikation

Grundregel:
Je sensibler die Daten, desto mehr Kontrolle sollte das Unternehmen über die KI behalten.

a) Cloud-KI über API (einfach integrierbar)

Beispiele:

• ChatGPT API
• Claude API

Funktionsweise:

• Die eigene Software sendet Anfragen über eine API an externe KI-Server.

Vorteile:

• sehr leistungsfähig
• schnell integrierbar
• kein eigener Server notwendig

Nachteile:

• Daten verlassen das Unternehmen
• teilweise Verarbeitung in den USA
• DSGVO-Prüfung erforderlich

Geeignet für:

• Marketingtexte
• Produktbeschreibungen
• Programmcode
• Ideengenerierung
• Zusammenfassungen

b) EU-orientierte KI-Plattform

Beispiel:

• Langdock

Vorteile:

• Fokus auf DSGVO
• Hosting in der EU möglich
• zentrale Verwaltung für Teams
• kontrollierte Nutzung im Unternehmen

Geeignet für:

• interne KI-Nutzung
• Wissensmanagement
• KI-Chat für Mitarbeiter

c) Open Source KI lokal installieren

Beispiele:

• Mistral
• Llama

Funktionsweise: Die KI läuft auf einem eigenen Server oder im eigenen Rechenzentrum.

Vorteile:

• volle Kontrolle über Daten
• keine Übertragung an externe Anbieter
• besonders DSGVO-freundlich
• geeignet für sensible Daten

Geeignet für:

• personenbezogene Daten
• interne Dokumente
• vertrauliche Inhalte

d) Eigene KI-Oberfläche mit OpenWebUI

OpenWebUI ist eine Open Source Oberfläche, die verschiedene KI-Modelle ansprechen kann:

• lokale Modelle, z. B. Mistral oder Llama
• Cloud-KI, z. B. ChatGPT oder Claude

Wichtig:
OpenWebUI selbst ist nur die Oberfläche.
Entscheidend für die DSGVO ist, wo das Modell tatsächlich läuft.

Beispiel:
OpenWebUI + Mistral lokal → Daten bleiben im Unternehmen
OpenWebUI + ChatGPT API → Daten werden an externe Server übertragen

Daten bewusst auswählen

Nicht jede Information sollte an Cloud-KI gesendet werden.

Vertrag zur Auftragsverarbeitung (AVV)

Wenn personenbezogene Daten verarbeitet werden, ist ein Vertrag mit dem Anbieter erforderlich.

Typischerweise relevant bei:

• OpenAI
• Claude
• Langdock
• Mistral API

Bei lokal installierter KI gibt es keinen externen Auftragsverarbeiter.

Drittlandtransfer berücksichtigen

Bei Nutzung von OpenAI oder Claude können Daten außerhalb der EU verarbeitet werden.

Empfohlen:

• sensible Daten anonymisieren
• lokale KI nutzen

Interne KI-Richtlinie definieren

Mitarbeiter sollten wissen, was zulässig ist und was nicht.

OpenWebUI kann mehrere KI-Systeme gleichzeitig ansprechen. Dadurch kann automatisch je nach Anforderung die passende KI verwendet werden:

• Marketingtexte → ChatGPT
• lange Dokumente analysieren → Claude
• interne Daten → Mistral lokal
• Wissensdatenbank → Llama lokal

Die Auswahl kann durch eigene Software gesteuert werden (API-Anbindung).

Vorteile:

• einheitliche Oberfläche
• flexible Modellwahl
• Trennung sensibler und unsensibler Daten möglich
• gute Grundlage für DSGVO-konforme Architektur

Darf ich personenbezogene Daten an eine KI-API senden?
Grundsätzlich ja, wenn eine Rechtsgrundlage besteht, ein AVV vorhanden ist, die Datenverarbeitung dokumentiert wird und die Daten auf das notwendige Minimum reduziert werden. Besonders sensible Daten sollten nicht ohne Prüfung übertragen werden.

Darf ich Kundendaten mit ChatGPT oder Claude verarbeiten?
Nur eingeschränkt. Empfehlenswert sind Anonymisierung, das Entfernen personenbezogener Daten und die lokale Verarbeitung sensibler Inhalte.

Ist Open Source KI automatisch DSGVO-konform?
Nein, nicht automatisch. Eine lokale Installation bietet aber deutlich mehr Kontrolle, weil keine Daten an Dritte übertragen werden.

Muss die Datenschutzerklärung angepasst werden?
Ja, wenn KI eingesetzt wird und personenbezogene Daten verarbeitet werden. Genannt werden sollten insbesondere eingesetzte Systeme, Zweck der Verarbeitung und Art der Daten.

Wann sollte eine lokale KI eingesetzt werden?
Empfohlen bei personenbezogenen Daten, internen Dokumenten, sensiblen Informationen und vertraulichen Inhalten.

KI kann in deutschen Unternehmen DSGVO-konform eingesetzt werden, wenn:

• passende Systeme gewählt werden
• sensible Daten geschützt werden
• klare Regeln definiert werden
• Datenflüsse bewusst gesteuert werden
  
  

So lässt sich KI sicher, effizient und zukunftsfähig im Unternehmen einsetzen.

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die konkrete Bewertung der DSGVO-Konformität sollte stets individuell erfolgen, idealerweise in Abstimmung mit einem Datenschutzbeauftragten oder spezialisierten Rechtsberater.