Als die Marketingleiterin eines mittelständischen Unternehmens vor kurzem vorschlug, ChatGPT für interne Texte zu nutzen, war die Idee schnell beschlossen. Erst später stellte jemand die entscheidende Frage: „Dürfen wir das überhaupt – mit unseren Kundendaten?“
Ein kurzer Moment der Stille. Dann begann die eigentliche Arbeit: herauszufinden, wie sicher das Tool wirklich ist.
Genau an diesem Punkt stehen derzeit viele Unternehmen. Sie wollen moderne KI-Systeme nutzen, aber nicht riskieren, gegen Datenschutzvorgaben zu verstoßen. Der folgende Leitfaden zeigt, worauf es wirklich ankommt – Schritt für Schritt, ohne Fachchinesisch.
Warum es sich lohnt, genau hinzuschauen
Wer KI einsetzt, gibt Verantwortung nicht ab, sondern bekommt mehr davon.
Denn egal, wie beeindruckend ein Tool ist – die Verantwortung für die verarbeiteten Daten bleibt beim Unternehmen.
Die Praxis zeigt: In der Euphorie über neue Möglichkeiten wird oft übersehen, wo Daten landen, wer sie verarbeitet und zu welchem Zweck.
Dabei ist genau das der Kern jeder Prüfung. Nur wer versteht, was im Hintergrund passiert, kann Risiken einschätzen – und im besten Fall Vertrauen schaffen.
Datenschutz & Compliance – zwei Begriffe, ein Ziel
Datenschutz und Compliance werden oft in einem Atemzug genannt, meinen aber nicht dasselbe.
- Datenschutz schützt Menschen und ihre personenbezogenen Daten.
- Compliance schützt das Unternehmen – vor rechtlichen, finanziellen und Reputationsrisiken.
Ein datenschutzkonformes KI-System ist also nicht nur eine juristische Pflicht, sondern auch ein Qualitätsmerkmal.
Wichtige Begriffe, die man kennen sollte:
- Verantwortlicher: Das Unternehmen, das die Nutzung des KI-Tools entscheidet.
- Auftragsverarbeiter: Der Anbieter, der Daten im Auftrag verarbeitet.
- Datenresidenz: Der physische Speicherort der Daten – entscheidend für DSGVO-Konformität.
- AVV (Auftragsverarbeitungsvertrag): Regelt, wie ein Anbieter mit Daten umgeht und welche Pflichten er übernimmt.
Für die rechtliche Einordnung vieler KI-Systeme spielt auch der EU AI Act eine wachsende Rolle – mehr dazu im ausführlichen eunifyAI-Beitrag.
Check 1: Datenverarbeitung & Transparenz
Der erste Blick sollte immer den Datenschutzhinweisen gelten.
Hier entscheidet sich, ob ein Anbieter klar kommuniziert – oder Nebel produziert.
Wichtige Fragen:
- Welche Daten werden verarbeitet – nur Texteingaben oder auch Metadaten wie IP-Adressen?
- Werden Inhalte gespeichert oder nach kurzer Zeit gelöscht?
- Dienen Nutzerdaten dem Training der KI?
- Sind Subdienstleister (z. B. Cloudanbieter) benannt?
Ein seriöser Anbieter erklärt diese Punkte verständlich und vollständig.
Wer sie nur in juristischen Fußnoten versteckt, sollte zumindest skeptisch machen.
💡 Tipp: Anbieter, die offen über Datenlöschung, Speicherorte und Zugriff informieren, sind meist auch intern gut aufgestellt. Transparenz ist selten Zufall.
Check 2: Datenresidenz & Hosting
Einer der häufigsten Stolpersteine ist der Serverstandort. Viele Tools werben mit „DSGVO-konform“, speichern aber in den USA – und unterliegen damit Gesetzen wie dem CLOUD Act, der US-Behörden Zugriff erlaubt.
Darauf sollten Unternehmen achten:
- Werden Daten ausschließlich in der EU oder im EWR verarbeitet?
- Ist der Cloudanbieter (z. B. AWS, Azure, Google) genannt – und mit welchen Serverstandorten?
- Gibt es eine Option, ausschließlich europäische Server zu wählen?
Das lässt sich mit einem einfachen Schritt prüfen: eine Supportanfrage stellen.
Wie schnell und präzise der Anbieter reagiert, sagt oft mehr über seine Haltung zu Datenschutz aus als jede Marketingseite.
💡 Praxis-Hinweis: Anbieter, die EU-Rechenzentren nutzen (z. B. Frankfurt, Paris, Amsterdam), heben das meist selbstbewusst hervor – und das aus gutem Grund.
Check 3: Verträge & rechtliche Absicherung
Technische Sicherheit nützt wenig, wenn die rechtliche Basis fehlt.
Jedes Unternehmen, das personenbezogene Daten verarbeitet, braucht mit seinem KI-Anbieter einen Auftragsverarbeitungsvertrag (AVV).
In diesem Vertrag steht,
- welche Daten verarbeitet werden,
- zu welchem Zweck,
- wie lange sie gespeichert bleiben,
- und welche Schutzmaßnahmen gelten.
Wenn der Anbieter außerhalb der EU sitzt, kommt zusätzlich ein Transfermechanismus ins Spiel – meist die Standardvertragsklauseln (SCCs). Sie sollen sicherstellen, dass EU-Datenschutzstandards auch bei Drittstaaten gelten.
Fehlt ein AVV oder wird er nur „auf Anfrage“ bereitgestellt, ist das ein Warnzeichen. Seriöse Anbieter stellen ihn transparent im Kundenkonto oder als Download zur Verfügung.
Check 4: Sicherheit & Zugriff
Verträge sind das eine – der tatsächliche Umgang mit Daten das andere.
Viele Anbieter sprechen nur vage über „Sicherheit“, ohne zu erklären, was das konkret bedeutet. Unternehmen müssen daher selbst ein Gefühl dafür entwickeln, wie ernst ein Tool diesen Punkt nimmt.
Praktische Fragen zur Einschätzung:
- Gibt es eine Login-Absicherung, etwa mit Zwei-Faktor-Authentifizierung?
- Können Teammitglieder getrennte Zugänge nutzen oder läuft alles über ein gemeinsames Konto?
- Wie einfach lässt sich nachvollziehen, wer wann etwas im Tool gemacht hat?
- Bietet der Anbieter Informationen zur Verschlüsselung oder verweist er auf etablierte Cloud-Sicherheitsstandards (z. B. ISO 27001)?
Wer auf diese Fragen keine klaren Antworten findet, sollte nachhaken.
Viele Anbieter nennen Details auf Nachfrage oder in ihren Sicherheits-Whitepapers – sie stehen nur selten prominent auf der Website.
Wichtig: Sicherheit ist kein Zustand, sondern ein Prozess.
Unternehmen sollten Tools bevorzugen, die regelmäßig Updates, Audit-Berichte oder Sicherheitszertifizierungen veröffentlichen. Das zeigt, dass hinter dem Produkt ein reifes Sicherheitskonzept steht – nicht nur eine Marketingzeile..
Check 5: Compliance im weiteren Sinn
Compliance heißt nicht nur, Regeln zu befolgen, sondern auch, Verantwortung zu übernehmen.
Das betrifft Ethik, Fairness, Nachvollziehbarkeit – kurz: den Charakter des Systems.
Unternehmen sollten prüfen:
- Gibt es Informationen über Bias (Verzerrungen, Voreingenommenheiten) und Fairness?
- Werden Ergebnisse nachvollziehbar erklärt?
- Existiert eine Richtlinie, wie mit fehlerhaften oder sensiblen Ausgaben umgegangen wird?
- Werden Mitarbeitende geschult, wie sie KI sicher einsetzen?
Solche Maßnahmen sind nicht vorgeschrieben, aber sie stärken das Vertrauen – intern, bei Kunden und bei Aufsichtsbehörden. Gerade im Hinblick auf den EU AI Act wird diese Haltung künftig ein echter Wettbewerbsvorteil.
Praxisbeispiel: OpenAI (ChatGPT Team) vs. Mistral (LeChat)
Beide Tools bieten Unternehmen die Möglichkeit, KI-gestützte Texte, Analysen und Ideen zu generieren.
Doch während OpenAI aus den USA stammt und global agiert, positioniert sich Mistral aus Frankreich als europäische, datenschutzfreundliche Alternative.
OpenAI (ChatGPT Team)
OpenAI stellt mit ChatGPT Team eine Variante bereit, die verspricht, keine Nutzerdaten für Trainingszwecke zu verwenden.
Dennoch werden die Daten über US-Server verarbeitet, meist über die Cloud-Infrastruktur von Microsoft Azure.
Ein Auftragsverarbeitungsvertrag kann abgeschlossen werden – die Übermittlung in ein Drittland bleibt aber ein rechtliches Risiko, weil US-Behörden unter Umständen Zugriff verlangen könnten.
In der Praxis bedeutet das: Unternehmen müssen eine Risikoabwägung vornehmen, vor allem dann, wenn sensible oder personenbezogene Informationen eingegeben werden.
Mistral (LeChat)
Mistral verfolgt einen anderen Ansatz.
Das französische Unternehmen entwickelt seine Modelle vollständig in der EU, betreibt Server in europäischen Rechenzentren und legt großen Wert auf Transparenz und Datensouveränität.
Bei LeChat, dem offiziellen Interface, werden Eingaben nicht für Trainingszwecke genutzt. Mistral bietet zusätzlich lokale Modellversionen, die direkt auf europäischen Servern oder on-premise betrieben werden können – ein entscheidender Vorteil für Datenschutz-sensitive Branchen.
Die Datenschutzinformationen sind klar formuliert, der Anbieter benennt Datenflüsse offen und erklärt, welche Daten (z. B. Metadaten zu Nutzung und Performance) erhoben werden – ein Grad an Offenheit, den viele US-Unternehmen bislang meiden.
Fazit aus der Praxis:
Beide Anbieter liefern beeindruckende Ergebnisse, aber die Haltung zu Datenschutz könnte kaum unterschiedlicher sein.
Während OpenAI für globale Innovation steht, verkörpert Mistral die Idee einer europäischen, transparenten und selbstbestimmten KI-Entwicklung.
Für Unternehmen, die Wert auf DSGVO-Konformität und europäische Datenverarbeitung legen, ist Mistral derzeit der glaubwürdigere Weg.
Schreibe einen Kommentar