Datenschutz bei KI: Was Mitarbeitende beachten sollten

KI College Blog · Datenschutz & Sicherheit

Datenschutz bei KI betrifft vor allem, welche Informationen in externe Tools eingegeben werden dürfen. Personenbezogene Daten, Kundendaten und interne vertrauliche Informationen erfordern besondere Sorgfalt. Interne Vorgaben und Tool-Freigaben sollten bekannt sein und eingehalten werden.

KI-Tools sind im Berufsalltag zugänglich und praktisch. Gleichzeitig stellen viele Mitarbeitende die Frage: Was darf ich eingeben? Und was passiert eigentlich mit meinen Daten?

Diese Frage ist berechtigt. Denn viele KI-Dienste verarbeiten Eingaben auf externen Servern. Was eingegeben wird, verlässt in der Regel die eigene IT-Infrastruktur. Deshalb ist es wichtig, vor der Nutzung zu klären, welche Tools freigegeben sind und welche Daten geeignet sind.

Was beim Datenschutz bei KI grundsätzlich gilt

Datenschutzrecht — insbesondere die DSGVO — gilt auch für den Einsatz von KI-Tools. Ob und wie ein konkretes Tool im Unternehmenskontext genutzt werden darf, hängt vom Einsatzkontext, den verarbeiteten Daten und den vertraglichen Grundlagen ab.

Dieser Beitrag gibt eine praxisnahe Orientierung. Rechtliche Fragen sollten im Zweifel intern mit der Datenschutzbeauftragten oder dem Datenschutzbeauftragten geklärt werden.

Was in KI-Tools nicht einfach eingegeben werden sollte

Besondere Vorsicht ist bei folgenden Informationen angebracht:

Namen, Adressen oder andere personenbezogene Daten von Mitarbeitenden, Bewerbenden oder Kunden
Kunden- oder Auftragsdaten mit Bezug zu identifizierbaren Personen
Interne Kennzahlen, Geschäftszahlen oder Strategieinformationen
Vertragliche oder vertraulich eingestufte Informationen
Gesundheitsdaten oder andere besondere Kategorien personenbezogener Daten

Ob und unter welchen Bedingungen diese Daten in freigegebenen Tools verarbeitet werden dürfen, hängt von den jeweiligen Unternehmensregelungen und den Verträgen mit den Tool-Anbietern ab.

Freigegebene und nicht freigegebene Tools

In vielen Unternehmen gibt es bereits Regelungen, welche KI-Tools genutzt werden dürfen. Solche Freigaben berücksichtigen typischerweise:

ob ein Auftragsverarbeitungsvertrag mit dem Anbieter besteht
ob Daten für das Modell-Training genutzt werden
ob der Speicherort der Daten bekannt und akzeptabel ist
ob das Tool bestimmten Sicherheitsstandards entspricht

Wenn keine solche Freigabe existiert, empfiehlt es sich, nur nicht-vertrauliche oder anonymisierte Inhalte einzugeben. Die Nutzung privater KI-Konten für berufliche Inhalte kann problematisch sein und sollte im Zweifel mit dem Unternehmen geklärt werden.

Auftragsverarbeitungsverträge: Worum geht es?

Wenn personenbezogene Daten an externe Dienstleister weitergegeben werden, ist datenschutzrechtlich in der Regel ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Viele KI-Tool-Anbieter stellen solche Verträge bereit.

Ob ein gültiger AVV mit einem bestimmten Anbieter besteht, ist eine Frage, die Datenschutz- oder Rechtsabteilung beantworten kann. Mitarbeitende müssen das nicht selbst beurteilen — sollten aber wissen, dass es diese Grundlage geben muss.

Datenschutz in der Praxis: Was Sie tun können

Diese Schritte helfen im Alltag:

Prüfen Sie, welche KI-Tools in Ihrem Unternehmen freigegeben sind.
Anonymisieren Sie Inhalte, bevor Sie sie in ein nicht freigegebenes Tool eingeben.
Geben Sie keine Kundennamen, Personendaten oder vertraulichen Dokumente in externe Tools ein, wenn die Grundlage unklar ist.
Fragen Sie bei Unsicherheit die interne Datenschutzansprechperson.
Nutzen Sie interne KI-Lösungen, sofern verfügbar, für sensiblere Aufgaben.

Was bedeutet „Schatten-KI“?

Als Schatten-KI bezeichnet man die Nutzung von KI-Tools, die weder vom Unternehmen freigegeben noch bekannt sind. Das kann rechtliche Risiken erzeugen und Sicherheitsprobleme verursachen.

Viele Mitarbeitende nutzen solche Tools nicht aus Absicht, sondern weil unklar ist, was erlaubt ist. Unternehmen können dem entgegenwirken, indem sie klare Freigaben kommunizieren und gute Alternativen bereitstellen.

Passende interne Inhalte

Hintergrundinformationen zum Thema: Glossar: Datenschutz bei KI

Weiteres im Glossar: Personenbezogene Daten, Auftragsverarbeitung, Schatten-KI

Empfohlene Kurse:

Fazit

Datenschutz bei KI ist kein Randthema. Er betrifft jede Person, die KI-Tools im Beruf einsetzt. Das Wichtigste: Wissen, welche Tools freigegeben sind, und sensible Daten nicht einfach eingeben.

Die genauen Anforderungen hängen vom Einsatzkontext und den jeweiligen internen Vorgaben ab. Im Zweifel lohnt sich eine Rückfrage an die Datenschutzbeauftragten des Unternehmens.

Datenschutz bei KI: Was Mitarbeitende beachten sollten

Was beim Datenschutz bei KI grundsätzlich gilt

Was in KI-Tools nicht einfach eingegeben werden sollte

Freigegebene und nicht freigegebene Tools

Auftragsverarbeitungsverträge: Worum geht es?

Datenschutz in der Praxis: Was Sie tun können

Was bedeutet „Schatten-KI“?

Passende interne Inhalte

Fazit

Mozilla Llamafile: Lokale Open-Source-KI ohne Installation

KI-Tools im Unternehmen: Was vor der Nutzung geklärt sein sollte

Halluzinationen bei KI: Wie Sie falsche Antworten erkennen

Meeting mit KI zusammenfassen: Worauf Sie achten sollten

Gemini Nano in Chrome: Lokale KI direkt im Browser

Wie Sie KI sicher ausprobieren, ohne sensible Daten zu riskieren

Was beim Datenschutz bei KI grundsätzlich gilt

Was in KI-Tools nicht einfach eingegeben werden sollte

Freigegebene und nicht freigegebene Tools

Auftragsverarbeitungsverträge: Worum geht es?

Datenschutz in der Praxis: Was Sie tun können

Was bedeutet „Schatten-KI“?

Passende interne Inhalte

Fazit

Ähnliche Beiträge