B2B-Teams in ganz Europa wollen die Leistungsfähigkeit der KI nutzen, doch die DSGVO stellt hohe Anforderungen. Innovation und die Einhaltung von Datenschutzvorschriften für generative KI müssen Hand in Hand gehen und nicht alle Tools bieten den gleichen Schutz.
Im Gegensatz zu personenbezogenen Daten gibt es kein einheitliches, von oben vorgegebenes Gesetz, das regelt, wie Dritte mit vertraulichen Informationen eines Unternehmens umgehen müssen. Fachleute, die in den USA ansässige generative KI für Aufgaben wie strategische Analysen, Content-Ideenfindung und die Erstellung von Marketinginhalten einsetzen, verarbeiten in der Regel keine personenbezogenen Daten, dennoch können einige Kundeninformationen vertraulich sein.
Wir verpflichten uns, alle Daten unserer Kunden – unabhängig davon, ob sie rechtlich als personenbezogene Daten eingestuft sind oder nicht – so zu behandeln, als unterlägen sie den strengsten Datenschutz- und Sicherheitsstandards. "Wir nehmen Ihre Daten persönlich" und haben einen Workflow rund um das "KI-Handwerk"aufgesetzt, der sicherstellt, dass ihre Informationen sicher sind.
Alles beginnt mit der Wahl des Tools und dessen Ansatz zum Datenschutz.
Konfiguration der KI für Daten Sicherheit
Hochleistungsfähige generative KI ist kein Einzelprodukt, sondern ein wettbewerbsintensiver Markt mit hochentwickelten Modellen. Für einen europäischen Fachmann ist die Wahl der zu verwendenden KI daher eine grundlegende Compliance-Entscheidung. Die Antwort liegt nicht in Marketingaussagen, sondern in einer kritischen Bewertung, welches Tool die robustesten und transparentesten Mechanismen zur Einhaltung der Kernprinzipien der DSGVO bietet. Das Verständnis dieser Unterschiede ist der erste Schritt zu einem verantwortungsvollen Umgang mit KI.
Der erste auf dem Markt: Der Ansatz von OpenAI mit ChatGPT
ChatGPT von OpenAI hat diese Technologie weltweit bekannt gemacht, und seine kostenlose Version hat berechtigte Bedenken der Öffentlichkeit hinsichtlich des Datenschutzes hervorgerufen. Für Fachleute ist die Unterscheidung zwischen Verbraucher- und Geschäftskunden die erste wichtige Firewall für die Einhaltung der DSGVO.
- Sicherheitsvorkehrungen für Unternehmen: Der Abschluss eines Abonnements wie ChatGPT Team oder Enterprise ist eine Voraussetzung für die rechtmäßige Verarbeitung von Kundendaten. Auf diesen Ebenen verpflichtet sich OpenAI, keine Geschäftsdaten für das Training seiner öffentlichen Modelle zu verwenden. Diese Trennung ist daher unerlässlich, um den Grundsatz der Zweckbindung (Artikel 5 Absatz 1 Buchstabe b) einzuhalten und sicherzustellen, dass Kundendaten nur zum Zweck der Erbringung der Dienstleistung und nicht zum sekundären Zweck des Trainings öffentlicher Modelle verwendet werden.
- Eine Frage der Aufbewahrung: Fachleute müssen die 30-tägige Aufbewahrungsfrist für die Überwachung von Vertrauen und Sicherheit berücksichtigen. Auch wenn die Daten nicht für Schulungszwecke verwendet werden, verbleiben sie dennoch auf den Systemen von OpenAI. Daher ist es von entscheidender Bedeutung, die Sensibilität der von ihnen eingegebenen Daten zu minimieren, selbst wenn es sich um einen Geschäftsplan handelt.
Die Macht der Kontrolle: Googles Gemini Advanced
Der Einstieg von Google mit Gemini bietet eine Philosophie, die den entscheidenden Kontrollschalter direkt in die Hände der Nutzer legt, was tiefgreifende Auswirkungen auf die Einhaltung der DSGVO hat.
- Der vom Benutzer kontrollierte „Aus-Schalter“: Der Schalter „Gemini Apps Activity“ ist ein leistungsstarker Mechanismus zur Umsetzung des Datenschutzes durch Technikgestaltung (Artikel 25). Durch die standardmäßige Deaktivierung dieser Einstellung für die Arbeit mit Kunden stellt man sicher, dass AI-Chats nicht gespeichert werden. Dies ist der effektivste Weg, um die Grundsätze der Datenminimierung (Artikel 5 Absatz 1 Buchstabe c) und der Speicherbegrenzung (Artikel 5 Absatz 1 Buchstabe e) einzuhalten.
- Transparenz im Betrieb: Die Aufbewahrungsfrist von 72 Stunden für die Serviceintegrität ist ein wichtiges Detail. Ein "KI-Handwerker" muss dies verstehen und es gegebenenfalls den Kunden mitteilen. Diese kurzfristige, nicht mit Schulungen verbundene Aufbewahrung ist unter der DSGVO besser zu rechtfertigen als eine unbefristete Speicherung.
Der sicherheitsorientierte Herausforderer: Claude von Anthropic
Anthropic baut seine Marktposition auf einer Grundlage von Sicherheit und ethischen Überlegungen auf, was mit dem Geist der EU-Verordnung übereinstimmt.
- Privacy by Design: Ähnlich wie bei den Mitbewerbern sind die kostenpflichtigen Tarife von Anthropic die einzige praktikable Option für den professionellen Einsatz bei der Verarbeitung personenbezogener Daten, da sie vertraglich von der Modelltrainingsdaten-Pipeline abgeschirmt sind. Diese Verpflichtung zu „Privacy by Design“ spiegelt direkt die Vorgabe in Artikel 25 der DSGVO wider.
- Eine andere Philosophie: Der Ansatz der „konstitutionellen KI“ ist zwar ein technisches Detail, signalisiert jedoch das Engagement des Unternehmens, Sicherheitsvorkehrungen in das Modell selbst einzubauen. Für einen Risikobewerter kann dies ein wertvoller qualitativer Faktor sein, um seine Sorgfaltspflicht und Verantwortlichkeit unter Beweis zu stellen.
Um diese Richtlinien in eine praktische Konformitätsbewertung umzusetzen, werden in der folgenden Tabelle die einzelnen Plattformen anhand der Kernprinzipien des EU-Datenschutzrechts bewertet. Der Schwerpunkt liegt dabei auf den wichtigsten Unterscheidungsmerkmalen: Standardmäßige Datennutzung, Zugänglichkeit von Datenschutzkontrollen und die entscheidende Trennung zwischen Garantien für Privatpersonen und Unternehmen.
Überblick: Gen-AI-Tools und ihr Ansatz zum Datenschutz
| Funktion | 🔒 Claude (Anthropic) | ⚙️ ChatGPT (OpenAI) | ⚙️ Google Gemini |
|---|---|---|---|
| Professionelle Lizenz (Voraussetzung für die DSGVO) | Ja. Geschäfts-/API-Daten werden NICHT für Schulungszwecke verwendet. Dies ist ein zentrales Markenversprechen. | Ja. Team-/Unternehmens-/API-Daten werden standardmäßig NICHT für Schulungszwecke verwendet. | Ja. Daten aus dem Arbeitsbereich/der Cloud werden ohne Zustimmung des Administrators NICHT für Schulungszwecke verwendet. |
| Verbraucher Lizenz: Daten standardmäßig verwendet? | Ja (Opt-out). Die Daten neuer Benutzer sind standardmäßig für Schulungszwecke aktiviert; sie müssen diese Funktion aktiv deaktivieren. | Ja (Opt-out). Die Daten sind standardmäßig für Schulungszwecke aktiviert; Benutzer müssen aktiv zu den Einstellungen gehen, um sie zu deaktivieren. | Ja (Deaktivieren). „Aktivität“ wird standardmäßig gespeichert, wodurch Daten für Schulungszwecke verwendet werden können. Nutzer müssen diese Funktion in ihrem Google-Konto deaktivieren. |
| Wie kann man das verhindern? (Benutzerkontrolle zur Datenminimierung) | In den Einstellungen umschalten. Explizite einmalige Auswahl während der Ersteinrichtung. | Aktivieren Sie „Datensteuerung“ oder verwenden Sie einen „temporären Chat“ für bestimmte Sitzungen. | Deaktivieren Sie „Gemini Apps-Aktivität“ in den Haupteinstellungen Ihres Google-Kontos. |
| Datenaufbewahrung und -verwaltung (Speicherbegrenzung) | Einfache Wahl: 30 Tage (bei Ablehnung) oder 5 Jahre (bei Zustimmung). | Unbegrenzter Chat-Verlauf, sofern Chats nicht manuell vom Benutzer gelöscht werden. | Am flexibelsten. Bietet automatisches Löschen des Verlaufs nach 3, 18 oder 36 Monaten. |
| Das Fazit für Fachleute, die eine Verbraucherlizenz nutzen | Das Modell der „bewussten Entscheidung“. Die Verbraucherebene erzwingt eine direkte Entscheidung, wobei die ausdrückliche Zustimmung gemäß DSGVO Vorrang hat. | Der „ausgewogene Allrounder“. Bietet die intuitivsten Funktionen für den täglichen Gebrauch (wie „Temporärer Chat“), um die Zweckbindung aufgabenbezogen umzusetzen. | Das „integrierte Kraftpaket“. Bietet die besten Tools (automatisches Löschen) zur Durchsetzung von Speicherbeschränkungen, erfordert jedoch proaktives Management, um standardmäßigen Datenschutz zu erreichen. |
Während der Funktionsvergleich das „Was“ liefert, gibt diese abschließende Bewertung Antwort auf die Frage „Und was bedeutet das?“ Die nachstehende Tabelle fasst die Analyse zu einem direkten Urteil zusammen und bewertet jede Plattform hinsichtlich ihrer Übereinstimmung mit den Kernwerten der DSGVO: der Transparenz ihres Einwilligungsmodells und der praktischen Flexibilität ihrer Kontrollen. Diese Bewertung hilft dabei, zu bestimmen, welcher Ansatz am besten zur Ihrer Risikotoleranz gemäß dem Rechenschaftsprinzip der DSGVO passt.
F & A
F: Wenn wir ChatGPT Enterprise kaufen, sind wir dann automatisch DSGVO-konform?
A: Nicht automatisch. Durch das Abonnieren eines Business-Plans wird OpenAI daran gehindert, Ihre Daten für Trainingszwecke zu verwenden. Sie müssen dennoch die 30-tägige Datenaufbewahrungsrichtlinie für Sicherheitsüberwachungszwecke berücksichtigen. Daher raten wir unseren Partnern - auch bei der Enterprise Variante - so wenig wie möglich mit sensiblen Date zu arbeiten.
F: Was macht die Funktion „Aktivität“ von Google Gemini?
A: Es handelt sich um eine Kontrolle auf Benutzerebene. Sie können eine einfache Regel für Ihr Team festlegen: „Bei der Arbeit für Kunde X die Aktivität deaktivieren.“ Damit werden Datenminimierung und Speicherbegrenzung direkt umgesetzt. Es handelt sich um eine aktive, nachweisbare Maßnahme, die Sie zum Schutz der Daten Ihrer Kunden ergriffen haben.
Die gängigsten Gen-AI-Plattformen:
Gemini from Google
ChatGPT from OpenAI (Microsoft)
Claude from Anthropic
Kommentar verfassen