Darf ich einfach ChatGPT mit meinen Kundendaten benutzen?

Rechtlich? Mit den richtigen Verträgen und DSFA ja. Praktisch? Das ist riskant, weil viele Unternehmen diese Formalitäten nicht machen. Besser: Frag einen Datenschützer.

Was ist ein Datenverarbeitungsvertrag (DPA)?

Ein Vertrag zwischen dir und dem KI-Anbieter, der klärt: Wie werden deine Daten verarbeitet? Wer hat Zugriff? Was passiert, wenn etwas schiefgeht? OpenAI hat DPAs, aber nicht alle KI-Anbieter.

Ist Anonymisierung immer die Lösung?

Nein. Anonymisierung ist schwer zu machen und zu beweisen. Wenn du Daten anonymisiert hast, gelten viele DSGVO-Anforderungen nicht mehr. Aber echte Anonymisierung ist schwer.

Müssen wir eine DSFA machen?

Wenn du mit personenbezogenen Daten und KI arbeitest, ja. Das ist eine Anforderung der DSGVO. Die Tiefe der DSFA hängt vom Risiko ab.

Kann ein Open-Source Modell unsicher sein?

Ja, wenn du es nicht richtig sicherst. Ein Open-Source Modell auf deinen Servern ist nur sicher, wenn die Server selbst sicher sind. Oft ist der Schwachpunkt nicht das Modell, sondern die Infrastruktur drumherum.

Was macht ihr bei AXISPORT für Datenschutz?

Wir betreiben unser eigenes deutsches Rechenzentrum. Deine Daten bleiben in Deutschland. Wir helfen dir, eine DSFA zu machen, einen DPA mit uns zu schreißen (falls du unsere KI-Services nutzt), und sicherzustellen, dass deine KI rechtskonform läuft.

KI-Beratung & Strategie

KI und Datenschutz / DSGVO – Wie du KI in Deutschland rechtssicher nutzt

Das ist die Frage, die jeden deutschen CTO und Geschäftsführer nachts wach hält: "Dürfen wir die Kundendaten wirklich in den OpenAI-Server schicken?" Die Antwort ist komplex und hängt von deinen Daten und deinen Use Cases ab. Hier ist die gute Nachricht: KI und DSGVO sind nicht unvereinbar. Aber es ist nicht trivial. Du musst verstehen, was du tun darfst und was nicht. Und die beste KI-Strategie ist die, die rechtskonform von Anfang an gebaut ist, nicht eine, wo du später Anpassungen hacken musst. Bei AXISPORT haben wir von Anfang an auf Datenschutz und German Compliance fokussiert. Das ist unser Differenzierungsmerkmal.

Der DSGVO-Status von KI-Tools

Lassen Sie uns mit den großen Playern anfangen. OpenAI / ChatGPT: Wenn du die OpenAI API benutzt und deine Daten dorthin schickst, landen deine Daten auf US-Servern. Nach DSGVO ist das normalerweise okay, aber nur wenn: 1. Du einen Datenverarbeitungsvertrag (DPA) mit OpenAI hast. Das gibt es, ist aber nicht automatisch aktiv. 2. Du die Standard Contractual Clauses (SCCs) vertraust. Nach einigen Rechtsentscheidungen sind SCCs umstritten. 3. Du eine Datenschutz-Folgenabschätzung (DSFA) machst und dokumentierst, warum das okay ist. Das Problem: Viele Unternehmen nutzen ChatGPT einfach so, ohne diese Formalitäten. Das ist riskant. Google / Gemini: Ähnliches Problem. Google speichert viele Daten, und der Privacy ist nicht immer klarheit. Anthropic / Claude: Claude hat streng privacy-freundliche Policies. Deine Daten werden nicht zum Training verwendet. Das ist besser, aber auch nicht komplett transparent. Open-Source Modelle (selbst gehostet): Das ist der Sicherheitsfall. Wenn du Claude oder LLaMA auf deinen eigenen Servern laufen lässt, bleiben deine Daten bei dir. Das ist DSGVO-konform.

Die Kernfrage: Personenbezogene Daten ja oder nein?

Das Wichtigste in der DSGVO ist dieser Punkt: Was ist Personenbezug? Personenbezogene Daten sind Daten, die einen Menschen identifizieren oder reidentifizieren können. Beispiel: "Der Kunde mit ID 12345 hat eine Beschwerde eingereicht, dass das Produkt nicht funktioniert" – mit ID 12345 könnte man den Kunden reidentifizieren. Das sind Personenbezug Daten. Beispiel: "5% der Kunden beschweren sich über Product A" – da kann man niemanden identifizieren. Das sind keine Personenbezug Daten. Das Kritische: Viele KI-Use Cases brauchen Personenbezug Daten. Ein Customer Service Bot braucht Namen, E-Mails, vielleicht sogar Kaufhistorie. Wenn du diese Daten zu OpenAI schickst, verletzt du die DSGVO (es sei denn, du hast alle formalen Schritte gemacht).

DSFA und Risikoanalyse

Wenn du sensible Daten mit KI verarbeiten willst – was die meisten Unternehmen tun – brauchst du eine Datenschutz-Folgenabschätzung (DSFA). Das ist kein einfaches Checkboxen-Formular. Das ist eine echte Analyse: - Welche Daten verarbeitest du? - Wie könnten diese Daten missbraucht werden? - Wie gross ist das Risiko? - Was kannst du tun, um das Risiko zu minimieren? Eine gute DSFA wird von jemandem gemacht, der Datenschutz versteht. Nicht vom CTO allein, nicht von einem Intern, der ChatGPT noch nie benutzt hat – sondern von Leuten, die Datenschutz und KI zusammen verstehen.

Die praktische Lösung: Encryption und Anonymisierung

Es gibt Wege, KI zu nutzen und die DSGVO einzuhalten. Eine Strategie: Deine Daten verschlüsseln, bevor sie zu einem KI-Tool gehen. Das ist möglich, aber komplex. Das KI-Modell muss auf verschlüsselten Daten trainieren – und das ist schwierig. Eine bessere Strategie für viele Unternehmen: Anonymisierung. Du schickst nicht "Kundendaten mit Namen", sondern "anonymisierte Transaktionsdaten." Das ist oft datenschutztechnisch sauberer. Beste Strategie (wenn möglich): Die KI läuft auf deinen eigenen Servern, in deinem Rechenzentrum, unter deiner Kontrolle. Das ist was AXISPORT macht.

Die AXISPORT-Lösung: Deutsches Rechenzentrum

Hier ist der Punkt, wo wir anders sind: Wir betreiben ein eigenes deutsches Rechenzentrum. Das heißt: Wenn du mit uns KI baust, können deine Kundendaten hier in Deutschland bleiben. Du sendest keine Daten zu OpenAI, Google oder einer US-Cloud. Du fütterst sie in unser System, das in Deutschland läuft, unter deutschen Gesetzen, mit deutscher Sicherheit. Das macht Datenschutz viel einfacher. Das ist kein Gimmick – es ist ein echter Wettbewerbsvorteil für viele deutschen Unternehmen.

Transparenz und Nutzer-Rechte

Ein anderer wichtiger Punkt: Wenn du KI benutzt, um Entscheidungen zu treffen (z.B. Kreditvergabe, Hiring), musst du transparent sein. Nach DSGVO hat der Betroffene das Recht zu wissen, dass KI eine Rolle gespielt hat. Und unter Artikel 22 kann der Mensch in bestimmten Fällen das Recht haben, die Entscheidung nicht nur durch KI treffen zu lassen. Das ist nicht kompliziert, aber es braucht Planung. Du musst dokumentieren: "Diese Entscheidung wurde durch KI unterstützt." Du musst einem Menschen ermöglichen, die Entscheidung anzufechten. Das ist DSGVO.

Dein nächster Schritt

Wenn du KI in deinem Unternehmen einführen willst – besonders wenn personenbezogene Daten involviert sind – solltest du mit Datenschutz starten, nicht am Schluss. Das ist nicht sexy, aber es ist smart. Wir helfen gerne dabei. Eine DSFA, eine Risikoanalyse, ein Konzept für datenschutzkonforme KI – das ist Teil unseres Service.