Hachinger KI
Sprechstunde

DSGVO und KI — was Mittelstand wissen muss

KI-Nutzung ist DSGVO-konform möglich. Worauf zu achten ist, welche Verträge Pflicht sind und wo die typischen Stolperfallen liegen.

Datenschutz und KI ist kein Widerspruch — wenn man die richtigen Stellschrauben kennt. Die wichtigsten Punkte für KMU.

Auftragsverarbeitungsvertrag

Sobald personenbezogene Daten an einen KI-Anbieter übertragen werden, brauchen Sie einen Auftragsverarbeitungsvertrag. Anthropic stellt diesen für Business-Konten bereit, ChatGPT und andere haben eigene Vorlagen.

US-Datenübermittlung

Anthropic-Server stehen in den USA. Seit dem EU-US Data Privacy Framework gibt es eine Rechtsgrundlage, aber zusätzliche Schutzmaßnahmen sind sinnvoll: Zero-Data-Retention, klare interne Richtlinien, Datenminimierung.

Mitarbeiter-Awareness

Die größte Lücke ist meist nicht technisch, sondern menschlich. Wenn Mitarbeitende ungeschult mit KI arbeiten, landen schnell sensible Daten in Tools, die dafür nicht freigegeben sind. Klare Richtlinien plus Schulung sind die wichtigste Maßnahme.

Praxis-Tipp

Bevor Sie KI im Betrieb breit ausrollen: Datenschutz-Check, klare Nutzungsrichtlinie, kurze Mitarbeiterschulung. Das spart später deutlich mehr Aufwand als ein nachträglicher Reparatur-Modus.

Häufige Fragen

Brauche ich einen Auftragsverarbeitungsvertrag mit Anthropic? +
Ja, bei geschäftlicher Nutzung mit personenbezogenen Daten. Anthropic stellt einen DPA zur Verfügung — er ist für Geschäftskonten standardmäßig verfügbar.
Darf ich Mandanten- oder Kundennamen in KI-Tools eingeben? +
Mit Vorsicht. Solange Sie einen DPA haben und Zero-Data-Retention nutzen, ist das datenschutzrechtlich vertretbar. Sensible Sonderkategorien (Gesundheit, Religion, etc.) sollten Sie pseudonymisieren oder ganz vermeiden.
Was ist Zero-Data-Retention? +
Eine Option, bei der Eingaben nach Verarbeitung gelöscht werden und nicht zum Training des Modells verwendet werden. Bei Anthropic standardmäßig für API-Nutzung und Enterprise-Tarife.