Wissen
Wie macht man KI DSGVO-konform?
KI ist DSGVO-konform umsetzbar, wenn Datenschutz von Anfang an Teil der Architektur ist: EU-Hosting, Datenminimierung, Berechtigungssteuerung, eine saubere Rechtsgrundlage und Transparenz gegenüber den Betroffenen. Entscheidend ist, diese Punkte schon vor dem Bau zu klären.
Die zentralen Bausteine
- EU-Hosting: Verarbeitung und Speicherung innerhalb der EU.
- Datenminimierung: nur die Daten verarbeiten, die der Use Case wirklich braucht.
- Berechtigungssteuerung: jeder sieht und nutzt nur, wofür er berechtigt ist.
- Rechtsgrundlage: Einwilligung, Vertrag oder berechtigtes Interesse sauber bestimmen.
- Transparenz: Betroffene verständlich informieren.
Worauf es bei Modell-APIs ankommt
Wird ein gehostetes Modell genutzt, sind Verarbeitungsort, Auftragsverarbeitung und der Umgang mit Eingabedaten zu prüfen. Bei besonders sensiblen Daten kann ein lokal betriebenes Modell die sicherere Wahl sein.
AI Act mitdenken
Neben der DSGVO greift der EU AI Act. Für viele Mittelstands-Use-Cases gilt „begrenztes Risiko“ mit überschaubaren Transparenzpflichten. Eine frühe Einordnung erspart spätere Überraschungen.
FAQ
Häufige Fragen
Ist KI überhaupt DSGVO-konform möglich?
Ja. Mit EU-Hosting, Datenminimierung, Berechtigungssteuerung und klarer Rechtsgrundlage lässt sich KI datenschutzkonform umsetzen.
Dürfen personenbezogene Daten in ein KI-Modell?
Nur mit gültiger Rechtsgrundlage und unter Beachtung von Datenminimierung und Zweckbindung. Oft lassen sich Daten vorab pseudonymisieren.
Cloud-Modell oder lokales Modell?
Bei sehr sensiblen Daten kann ein lokal betriebenes Modell sinnvoll sein; sonst genügt häufig ein EU-gehostetes Modell mit Auftragsverarbeitung.