Marcel Czeranski · Redaktion
·
30. Juni 2026 · 5 Min. Lesezeit
Sobald Sie einem KI-Assistenten Texte, Code oder Meeting-Aufnahmen anvertrauen, verarbeiten Sie potenziell personenbezogene oder vertrauliche Daten. Viele Anbieter nutzen Eingaben zudem — je nach Einstellung — zum Training ihrer Modelle. Für Unternehmen greift damit die DSGVO, und Verstöße können teuer werden. Der Aufwand für saubere Compliance ist überschaubar, wenn man ihn von Beginn an mitdenkt.
Der wichtigste Hebel ist der Ort der Verarbeitung. Europäische Anbieter wie Mistral, neuroflash, DeepL oder tl;dv halten Daten im EU-Rechtsraum. US-Anbieter verarbeiten meist in den USA, bieten für Geschäftskunden aber Datenschutz-Zusatzverträge und teils EU-Datenresidenz. Bei Anbietern aus Ländern ohne Angemessenheitsbeschluss — etwa China im Fall von DeepSeek — ist von der Verarbeitung sensibler Daten abzuraten.
Für den geschäftlichen Einsatz brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Seriöse Dienste stellen ihn bereit — verlangen Sie ihn aktiv. Prüfen Sie außerdem, ob sich das Training mit Ihren Eingaben abschalten lässt; in den Business- und Pro-Tarifen ist das oft standardmäßig deaktiviert. Dokumentieren Sie den Einsatz im Verzeichnis von Verarbeitungstätigkeiten.
Technik allein genügt nicht. Legen Sie fest, welche Daten in welche Tools eingegeben werden dürfen und welche nicht — Kundendaten, Geschäftsgeheimnisse und Gesundheitsdaten gehören in der Regel nicht in einen öffentlichen Chatbot. Schulen Sie Ihr Team kurz, und benennen Sie freigegebene Tools. Für besonders sensible Bereiche gibt es Lösungen mit On-Premise-Betrieb wie Tabnine, bei denen die Daten die eigene Infrastruktur nie verlassen.