· 2 Min. Lesezeit
KI DSGVO-konform einführen: Die 7-Punkte-Checkliste für Unternehmen
Von Schatten-KI zur sauberen Lösung: Diese sieben Punkte sollten Unternehmen klären, bevor sie eine KI-Plattform ausrollen — von AVV über Subprozessoren bis zum Löschkonzept.
In den meisten Unternehmen ist KI längst im Einsatz — nur eben inoffiziell. Beschäftigte nutzen private Accounts bei US-Chatbots, kopieren Kundendaten in fremde Systeme und niemand hat einen Überblick. Diese Schatten-KI ist das eigentliche Datenschutzrisiko: Nicht die Einführung einer KI-Plattform gefährdet die DSGVO-Konformität, sondern ihr Fehlen.
Wer das Thema sauber aufsetzen will, sollte die folgenden sieben Punkte klären, bevor der Rollout startet.
1. Zweck und Rechtsgrundlage festlegen
Was sollen Beschäftigte mit der KI tun dürfen — und mit welchen Datenkategorien? Ein klarer Verwendungsrahmen (z. B. „interne Dokumente ja, besondere Kategorien personenbezogener Daten nur nach Freigabe") ist die Grundlage für alles Weitere, inklusive der Frage, ob eine Datenschutz-Folgenabschätzung nötig ist.
2. Auftragsverarbeitungsvertrag (AVV) prüfen
Der Anbieter verarbeitet Ihre Daten in Ihrem Auftrag — dafür verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Prüfen Sie: Gibt es einen AVV? Ist er auf dem aktuellen Stand? Und deckt er alle Verarbeitungen ab, die die Plattform tatsächlich vornimmt?
3. Subprozessoren und Drittlandtransfer klären
Der spannendste Teil steht oft im Anhang des AVV: die Subprozessoren-Liste. Welche Dienstleister sind eingebunden, wo sitzen sie, was verarbeiten sie? Tauchen dort US-Dienste im Datenpfad auf, stellt sich die Drittlandtransfer-Frage — und die Jurisdiktionsfrage, die wir im CLOUD-Act-Artikel ausführlich behandeln.
4. Den KI-Datenpfad verstehen
Bei KI-Plattformen genügt der Blick auf das Hosting der Anwendung nicht: Entscheidend ist, wohin Prompts und Dokumente zur Verarbeitung fließen. Läuft das Sprachmodell selbst in der EU bei einem EU-Anbieter? Auch die Hintergrundfunktionen — Texterkennung, Transkription, Embeddings? Seriöse Anbieter legen das vollständig offen.
5. Training auf Ihre Daten ausschließen
Fragen Sie explizit: Werden Eingaben oder Ergebnisse zum Training von Modellen genutzt? Lassen Sie sich die Antwort vertraglich zusichern statt nur auf einer Marketing-Seite. (Unsere eigene Antwort ist einfach: Wir selbst trainieren keine Modelle auf Ihren Daten.)
6. Lösch- und Aufbewahrungskonzept
Betroffenenrechte enden nicht am Chat-Verlauf: Können Nutzer Unterhaltungen selbst löschen — und ist das ein echtes Hard-Delete? Lassen sich Aufbewahrungsfristen zentral durchsetzen, damit Altdaten nicht ewig liegen bleiben? Gibt es einen Datenexport für Auskunftsersuchen?
7. Rollen, Transparenz und interne Regeln
Klären Sie, wer in der Plattform was sehen kann — insbesondere, ob Administratoren Zugriff auf Inhalte der Beschäftigten haben (dazu mehr im Zusammenhang mit der Mitbestimmung des Betriebsrats). Ergänzen Sie eine kurze, verständliche Nutzungsrichtlinie und eine Schulung: Die beste Plattform hilft wenig, wenn niemand weiß, was erlaubt ist.
(Hinweis: Dieser Artikel ist keine Rechtsberatung. Für die Bewertung Ihres konkreten Falls sprechen Sie mit Ihrer Datenschutzberatung.)
Wie FutureWay AI die Checkliste beantwortet
FutureWay AI ist so gebaut, dass diese sieben Punkte kurze Antworten haben: AVV mit vollständiger, öffentlicher Subprozessoren-Liste; Plattform und alle KI-Modelle auf europäischer Infrastruktur — KI-Verarbeitung zu 100 % in der EU, inklusive der Hintergrundfunktionen, die wir transparent mit Modell und Standort auflisten. Administratoren sehen niemals Chat-Inhalte, Löschen ist sofortiges Hard-Delete, Aufbewahrungsfristen sind pro Organisation konfigurierbar, und Ihre Daten werden von uns nicht zum Modelltraining genutzt.
Testen Sie FutureWay AI 14 Tage kostenlos — ohne Kreditkarte, mit bis zu 5 Nutzern.
