KI & Datenschutz: Ein pragmatischer Überblick
Hinweis: Diese Informationen sind allgemeiner Natur und ersetzen keine Rechtsberatung. Für verbindliche Bewertungen bitte Datenschutzbeauftragte und ggf. Rechtsberatung einbeziehen.
KI ist mehr als „Chat“
KI wird heute nicht nur für Chatbots genutzt, sondern auch zur Automatisierung wiederkehrender Arbeitsschritte – z. B. in Analyse, Spezifikation, Code und Tests.
Genau dort setzen wir an: Wir nutzen unsere KI-Agenten in Tools und Projekten, um Durchlaufzeiten zu reduzieren und Qualität abzusichern.
Was passiert mit Ihren Daten bei Cloud-KI?
Wenn Sie Texte, Code oder Dokumentauszüge an einen Cloud-KI-Dienst senden, werden Eingaben (Prompts) und Ausgaben auf Infrastruktur des Anbieters verarbeitet. Zwei Fragen sind dabei entscheidend:
- Werden Inhalte gespeichert – und wie lange?
- Werden Inhalte fürs Training/Verbesserung genutzt?
Typische Aufbewahrung (sehr vereinfacht)
- OpenAI / ChatGPT (Temporary Chat): laut OpenAI Löschung innerhalb von 30 Tagen. Quelle: https://help.openai.com/en/articles/8983778/chat-and-file-retention-policies-in-chatgpt
- OpenAI API: je nach Nutzung/Endpoint typischerweise 30 Tage Retention; es gibt zudem Optionen wie Zero Data Retention (ZDR) für bestimmte Konfigurationen. Quelle: https://platform.openai.com/docs/guides/your-data
- Anthropic (Claude) API/Organisation: Inputs/Outputs werden auf dem Backend typischerweise innerhalb von 30 Tagen gelöscht (mit Ausnahmen, z. B. Files, Policy-/Security-Fälle, gesetzliche Pflichten). Quelle: https://privacy.claude.com/en/articles/7996866-how-long-do-you-store-my-organization-s-data
- Anthropic Consumer: wenn User der Nutzung zur Modellverbesserung zustimmen, kann Retention deutlich länger sein (Anthropic nennt bis zu 5 Jahre in diesem Fall). Quelle: https://www.anthropic.com/news/updates-to-our-consumer-terms
Wichtig: Nicht „Sonnet/Opus“ als Modell ist ausschlaggebend, sondern das Nutzungsmodell (Consumer vs. Business/API) und die Einstellungen.
Was ist im „Worst Case“ möglich?
Realistische Risikoquellen sind meist:
- Zu viel/zu sensibel eingegeben (personenbezogene Daten, Geschäftsgeheimnisse, komplette Dokumente).
- Ausnahmen beim Anbieter (z. B. Support/Sicherheitsprüfung/Missbrauchserkennung; teils längere Retention bei Policy-Fällen).
- Rechtliche Anfragen (Herausgabe kann je nach Jurisdiktion/Verpflichtung erforderlich sein).
- Security-Incidents (Restrisiko wie bei jedem Cloud-Service).
Der größte Hebel ist daher fast immer: Was geben wir ein – und in welchem Setup?
Praktische Leitplanken (Do/Don’t)
Diese Leitplanken helfen in der Praxis oft mehr als pauschale Verbote.
Do
- Nur Ausschnitte statt kompletter Dokumente verwenden.
- Pseudonymisieren (Namen/IDs entfernen; „Lieferant A“, „Kunde B“).
- Klare Datenklassen definieren: Was darf in KI, was nicht?
- Für sensible Anwendungsfälle bevorzugt Business/API-Setups nutzen und Retention/Logging bewusst konfigurieren.
Don’t
- Rohdaten mit Personenbezug „auf Verdacht“ hochladen.
- Geschäftsgeheimnisse ohne Not in Consumer-Chats eingeben.
- KI ohne Richtlinie, Rollen/Rechte und Freigabeprozesse „wild“ im Unternehmen ausrollen.
Alternativen: lokales Hosting / Private Cloud / Hybrid
Wenn Cloud-KI mit internen Leitlinien kollidiert, gibt es Optionen:
- On-premisess (lokales Hosting): Verarbeitung in Ihrer Infrastruktur.
- Private Cloud / VPC: isolierte Umgebung mit kontrollierbaren Datenflüssen.
- Hybrid: sensible Vorverarbeitung intern (Maskierung/Pseudonymisierung), Cloud nur für unkritische Teile.
Wir bieten solche Setups auf Wunsch an – passend zu Schutzbedarf und Betriebsrealität.
EU AI Act: Einordnung für den operativen Einsatz
Der EU AI Act ist seit 1. August 2024 in Kraft und wird gestaffelt anwendbar.
Für viele Unternehmen sind im Alltag vor allem diese Punkte relevant:
- Verbotene Praktiken vermeiden (Use-Case-Prüfung, bevor man startet). Quelle: https://ai-act-service-desk.ec.europa.eu/en/faq
- Transparenz & Governance (je nach Einsatzfall: Kennzeichnung/Information, saubere Dokumentation, Verantwortlichkeiten).
- AI Literacy (Artikel 4): Organisationen sollen Maßnahmen zur KI-Kompetenz der Mitarbeitenden etablieren. Quelle: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers
Wichtig: Ob ein konkreter Use Case als High-Risk einzustufen ist, hängt vom Einsatzkontext ab und sollte im Zweifel gezielt geprüft werden.
Wie wir als talsen team unterstützen
Datenschutz und Compliance sollen KI nicht blockieren – sondern steuerbar machen. Deshalb kombinieren wir Technologie mit klaren operativen Regeln:
KI-Automatisierung in Projekten und Produkten
Wir begleiten digitale Vorhaben von klarer, testbarer Spezifikation bis zur verlässlichen Implementierung und nutzen dabei gezielt KI-Agenten, um Analyse, Spezifikation, Code und Tests zu automatisieren bzw. zu beschleunigen.
Betriebsmodell passend zu Ihren Leitlinien
Je nach Schutzbedarf: Business/API-Setup, Hybrid-Architektur oder auf Wunsch lokales Hosting / Private Cloud (VPC) / On-premises.
Datenschutz & rechtliche Rahmenbedingungen als Bestandteil
Wir führen datenschutz-, sicherheits- und haftungsrelevante Punkte zusammen und definieren praktische Kriterien (Datenklassen, Do/Don’t, Freigaben, Logging/Retention, Rollen & Rechte) – inkl. Einordnung des EU AI Act für Ihren operativen Einsatz.
Umsetzung & Skalierung
Ergänzend bieten wir wirtschaftliches Nearshoring, auf Wunsch auch ohne KI, sowie die Entwicklung kundenspezifischer Lösungen an – von Prototyp bis produktiver Integration.