DAllgemein

Datenschutz (DSGVO/GDPR) & KI

HTML-Entity-Variante des DSGVO-&-KI-Eintrags für Referenzen
1 Aufrufe

Datenschutz (DSGVO/GDPR) & KI beschreibt die Anwendung der EU-Datenschutzgrundverordnung (DSGVO/GDPR) auf KI-Systeme – insbesondere auf generative Modelle wie ChatGPT oder ein Large Language Model (LLM). Ziel ist, personenbezogene Daten (z. B. Namen, E-Mail, Kundendaten, Mitarbeiterinfos) rechtmäßig, sicher und zweckgebunden zu verarbeiten, auch wenn die KI Inhalte erzeugt, zusammenfasst oder automatisiert Entscheidungen unterstützt.

Was bedeutet Datenschutz (DSGVO/GDPR) im KI-Kontext?

Im KI-Kontext geht es um die Frage, woher Daten stammen (Training, Fine-Tuning, Inferenz), wohin sie fließen (Cloud-Anbieter, Tools, Logs), wie lange sie gespeichert werden und welche Rechte Betroffene haben (Auskunft, Löschung, Widerspruch). Besonders kritisch ist, dass Prompts, Dokumente oder Chat-Verläufe oft unabsichtlich personenbezogene Daten enthalten – und damit zu einem Datenschutzfall werden können.

Wie funktioniert DSGVO-konforme KI-Nutzung in der Praxis?

  • 1) Use Case & Datenarten klären: Welche personenbezogenen Daten werden verarbeitet? Sind besondere Kategorien betroffen (z. B. Gesundheit)?
  • 2) Rechtsgrundlage festlegen: Einwilligung, Vertragserfüllung, berechtigtes Interesse etc. – und Zweckbindung dokumentieren.
  • 3) Datenminimierung umsetzen: Nur nötige Daten in Prompts/Uploads; Pseudonymisierung/Maskierung, z. B. via PII Redaction (PII-Schwärzung) oder PII Detection (PII-Erkennung).
  • 4) Anbieter & Auftragsverarbeitung prüfen: AV-Vertrag/DPA, Unterauftragsverarbeiter, Datenflüsse, Speicherorte (z. B. Data Residency (Datenresidenz)) und Sicherheitsmaßnahmen.
  • 5) Technische Schutzmaßnahmen: Zugriffskontrollen, Verschlüsselung, Logging, DLP-Regeln (z. B. Data Loss Prevention (DLP) für KI), Secrets-Handling (z. B. Secrets Management (Schlüsselverwaltung)) und sichere Tool-Nutzung bei Function Calling / Tool Use.
  • 6) Governance & Nachweise: Richtlinien, Schulungen, TOMs, Verzeichnis von Verarbeitungstätigkeiten, ggf. DSFA (DPIA) – passend zur AI Governance.

Warum ist Datenschutz bei KI besonders wichtig?

KI-Systeme sind oft „Datenmagneten“: Mitarbeitende kopieren E-Mails, CRM-Notizen oder Tickets in Prompts, oder Automationen (z. B. mit n8n und Automatisierung (Automation)) schicken Inhalte an externe APIs. Daraus entstehen typische Risiken: unzulässige Datenübermittlung in Drittländer, zu lange Speicherung von Prompt-Logs, fehlende Transparenz für Betroffene, oder unbeabsichtigte Offenlegung sensibler Informationen. Zusätzlich können generative Modelle Inhalte „halluzinieren“ (siehe Halluzinationen (Hallucinations)) – was zwar primär ein Qualitätsproblem ist, aber bei personenbezogenen Aussagen auch reputations- und haftungsrelevant werden kann.

Beispiele aus dem Alltag

  • Kundensupport: Ein Support-Team lässt Antworten von Generative KI (Generative AI) formulieren. DSGVO-konform wird es, wenn Ticketdaten minimiert/geschwärzt werden, der Anbieter vertraglich gebunden ist und Logs begrenzt gespeichert werden.
  • RAG im Unternehmen: Bei RAG (Retrieval-Augmented Generation) werden interne Dokumente (z. B. HR-Richtlinien) in einer Vektordatenbank (Vector Database) über Embeddings auffindbar gemacht. Hier sind Zugriffsrechte, Mandantentrennung und Löschkonzepte entscheidend.
  • Agenten-Workflows: AI Agents (KI-Agenten) greifen auf Tools zu (Kalender, CRM). Datenschutz verlangt Rollen-/Rechtekonzepte, Protokollierung und klare Grenzen, welche Daten der Agent sehen darf.

Abgrenzung: DSGVO vs. EU AI Act

Die DSGVO regelt personenbezogene Datenverarbeitung. Der EU AI Act fokussiert auf Risiko- und Pflichtenklassen für KI-Systeme (z. B. Transparenz, Risikomanagement). In der Praxis greifen beide zusammen: Ein KI-System kann gleichzeitig DSGVO-konform sein müssen und zusätzliche AI-Act-Pflichten erfüllen.