KI und Datenschutz sind kein Widerspruch. Aber „DSGVO-konform" ist auch kein Marketing-Begriff.
Im KI-Markt wird „DSGVO-konform" inflationär verwendet. Vier konkrete Prüfsteine, an denen Sie erkennen, ob ein KI-System Ihrer Verantwortung als Unternehmen gerecht wird.
Prüfstein 1: Wo werden die Daten verarbeitet?
Server in Deutschland/EU mit dokumentiertem AVV ist in der Regel unproblematisch. Server in den USA mit DPF-Zertifizierung sind möglich, aber mit Aufmerksamkeit auf besondere Datenkategorien. Drittstaaten ohne Schutz-Mechanismus vermeiden. „Wir haben unsere eigene KI" ist nichtssagend. Die echte Frage ist: wo läuft die?
Prüfstein 2: Wandern Ihre Daten ins Training fremder Modelle?
Geschäftliche LLM-Schnittstellen schließen Training auf Kundendaten meist vertraglich aus. Kostenlose Versionen tun das nicht. Klare interne Regel: welche Modelle dürfen für welche Datenkategorien verwendet werden, schriftlich.
Prüfstein 3: Sind Berechtigungen sauber?
Werden bestehende Berechtigungen aus Quellsystemen übernommen, oder hebelt das KI-System sie aus? Ein KI-System ohne sauberes Berechtigungskonzept ist datenschutzrechtlich oft heikler als das Tool davor.
Prüfstein 4: Was passiert bei Fehlern und Auskunftsersuchen?
Auskunft (Art. 15), Löschung (Art. 17), Datenpanne, Berichtigung, alle vier müssen einen klaren Prozess haben. Sonst ist DSGVO-Konformität nur ein Marketing-Versprechen.
Sinnvolle KI beginnt mit einem klaren Verständnis der eigenen Situation.
Ohne Verkaufsdruck. Ohne generische Lösungen. Ohne unrealistische Versprechen.