Datenschutz und KI schließen sich nicht aus. So nutzen Sie KI DSGVO-konform.
Die DSGVO-Grundsätze und KI
Zweckbindung (Art. 5): KI darf nur für den definierten Zweck genutzt werden. Datenminimierung: Nur die notwendigen Daten verarbeiten. Speicherbegrenzung: Daten nach Zweckerfüllung löschen. Integrität: Schutz vor unbefugtem Zugriff.
Verarbeitung in der EU
Die sicherste Option: Alle KI-Verarbeitung in der EU. Lokale LLMs in deutschen Rechenzentren schließen Art. 44-49 DSGVO (Drittstaatentransfer) komplett aus. Verdacloud verarbeitet ausschließlich in Deutschland.
Auftragsverarbeitung (Art. 28)
Wenn Sie einen KI-Dienstleister nutzen, ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht. Wichtig: Der Dienstleister darf Ihre Daten nicht für eigene Zwecke nutzen (z.B. Modelltraining). Bei Cloud-KI-Anbietern aus den USA: Prüfen Sie genau, was mit Ihren Daten passiert.
Transparenz und Informationspflichten
Wenn KI personenbezogene Daten verarbeitet (z.B. Kundenanfragen), müssen Betroffene informiert werden. Praxis-Tipp: Ergänzen Sie Ihre Datenschutzerklärung um einen KI-Abschnitt (Art der Verarbeitung, Zweck, Rechtsgrundlage, Empfänger).
Datenschutz-Folgenabschätzung (DSFA)
Bei hohem Risiko für die Rechte der Betroffenen ist eine DSFA Pflicht (Art. 35). Typische KI-Szenarien mit DSFA-Pflicht: KI-gestützte Bewerberauswahl, automatisierte Bonitätsprüfung, Profiling von Kunden. Für RAG-Systeme mit internen Dokumenten ist eine DSFA meist nicht erforderlich.
Interesse geweckt?
Lassen Sie uns gemeinsam herausfinden, wie wir Ihnen helfen können.