Neulich hat mir ein Bekannter erzählt, dass er für seinen Betrieb ein neues KI-Tool ausprobieren will. Jemand aus seinem Netzwerk hatte es empfohlen, die Demo sah gut aus, und der Preis war okay. Er wollte einfach anfangen.
Ich habe ihn gefragt: Weißt du wo das Tool deine Daten verarbeitet?
Stille.
Genau das ist der Moment wo die meisten einfach trotzdem anfangen. Und ich sage nicht, dass man jeden Tool-Einsatz zum Datenschutz-Projekt machen soll. Aber fünf Minuten Prüfung können später Stunden an Problemen verhindern.
Warum ein kurzer Check sich lohnt
Nicht jedes KI-Tool ist gleich. Der Unterschied zwischen einer Consumer-Version und einer Business-Version desselben Anbieters kann rechtlich erheblich sein, auch wenn die Oberfläche identisch aussieht.
Und wer später erklärt, er habe das Tool halt einfach benutzt ohne zu wissen wie es funktioniert, wird damit bei der Datenschutzbehörde nicht weit kommen.
Hier sind fünf Fragen, die du dir vor dem Einsatz jedes KI-Tools stellen solltest. Keine davon erfordert IT-Studium.
Frage 1: Wo werden meine Daten verarbeitet?
Die wichtigste Frage zuerst. Server in der EU oder im EWR sind datenschutzrechtlich unkompliziert. Server in den USA oder anderen Drittländern erfordern eine zusätzliche Rechtsgrundlage, zum Beispiel das EU-US Data Privacy Framework oder Standardvertragsklauseln.
Wo du das findest: in den Datenschutzhinweisen des Anbieters, oft unter “Data Processing” oder “Infrastructure”. Wenn dort nichts steht, ist das selbst schon eine Antwort.
Grünes Licht: EU/EWR-Server, oder USA mit DPF-Zertifizierung und AVV. Gelbes Licht: USA ohne klare Zertifizierung, aber AVV vorhanden. Rotes Licht: Keine Angabe zum Serverstandort, kein AVV verfügbar.
Frage 2: Gibt es einen Auftragsverarbeitungsvertrag?
Sobald ein Drittanbieter personenbezogene Daten für dich verarbeitet, brauchst du einen AVV. Das ist keine Option, das ist Pflicht laut DSGVO Art. 28.
Viele Tools bieten einen AVV nur in der Business- oder Enterprise-Version an. In der kostenlosen Version gibt es oft keinen.
Der AVV muss nicht kompliziert sein, er muss aber existieren und unterschrieben werden. Suche auf der Website des Anbieters nach “Data Processing Agreement” oder “DPA”. Wenn du nichts findest, frag direkt beim Anbieter nach.
Frage 3: Werden meine Daten für das Training des Modells verwendet?
Das ist der Unterschied der die meisten überrascht: In den kostenlosen Versionen von ChatGPT, Gemini und anderen Tools können Eingaben für das Training des Modells genutzt werden. In der API- oder Enterprise-Version passiert das in der Regel nicht.
Was das für dich bedeutet: Kundendaten, Auftragsbeschreibungen, interne Vorgänge, all das sollte nicht in einem Consumer-Tool landen.
Die Antwort auf diese Frage steht meist in den Nutzungsbedingungen unter “Data Usage” oder “Training”. Wenn du dir nicht sicher bist, tippe dort einfach nichts ein was einen konkreten Kunden betrifft.
Frage 4: Was werde ich dort tatsächlich eintippen?
Das ist die ehrlichste Frage. Nicht was du eintippen solltest, sondern was du und deine Mitarbeiter im Alltag tatsächlich eingeben werden.
Wenn die Antwort ist “nur allgemeine Texte, keine Kundendaten”, ist der Einsatz einfach. Wenn die Antwort ist “Kundenanfragen, Schadensbeschreibungen, Fahrzeugdaten”, dann gelten andere Anforderungen.
Eine hilfreiche Übung: schreib kurz auf, welche drei typischen Anwendungsfälle du dir für das Tool vorstellst. Dann prüfe für jeden einzelnen ob personenbezogene Daten im Spiel sind.
Frage 5: Gibt es eine Möglichkeit das Tool datenschutzkonform zu nutzen?
Oft lautet die Antwort: ja, aber anders als du es gerade planst.
Beispiel: ChatGPT kostenlos ist problematisch für Kundendaten. ChatGPT Enterprise mit EU-Datenresidenz und AVV ist eine andere Sache. Claude über die Anthropic API ist ebenfalls eine Option mit AVV. Mistral, ein französischer Anbieter, betreibt seine Infrastruktur in Europa.
Das bedeutet: Nicht jedes nützliche Tool ist automatisch ausgeschlossen. Manchmal reicht eine andere Nutzungsweise oder eine andere Version.
Das nimmst du mit
Kein Tool-Einsatz ohne kurzen Check. Das klingt nach Aufwand, ist es aber nicht, wenn du es einmal zur Gewohnheit machst.
Die fünf Fragen lassen sich in fünf Minuten klären. Wenn ein Anbieter keine klaren Antworten darauf hat, ist das selbst schon eine Aussage.
Wenn du unsicher bist was ein bestimmtes Tool für dich bedeutet, schreib mir gerne. Ich schaue mir das konkret an und sage dir was ich dazu denken würde.
Markus Mangold, Kfz-Meister, Gründer von Torq.Li, Inhaber Zeos83 SocialSolutions