Glossar
DSGVO & KI-Datenschutz
KI-Tools unterliegen denselben DSGVO-Anforderungen wie andere Software. Entscheidend ist, welche Daten das Unternehmen verlassen, wer sie verarbeitet und ob ein Auftragsverarbeitungsvertrag abgeschlossen wurde.
Die DSGVO (Datenschutz-Grundverordnung) gilt für alle personenbezogenen Daten, auch wenn sie in ein KI-System eingegeben werden. Wer Kundendaten, Personaldaten oder andere sensible Informationen in ein KI-Tool eingibt, muss sicherstellen, dass dies rechtlich abgesichert ist.
Die wichtigsten Fragen beim KI-Einsatz
1. Verlassen die Daten das Unternehmen? Bei Microsoft 365 Copilot und Copilot Studio-Agenten bleiben Daten im eigenen Tenant. Bei Consumer-Tools wie dem öffentlichen ChatGPT können Eingaben für das Training genutzt werden (Opt-out möglich, aber aufwändig).
2. Gibt es einen Auftragsverarbeitungsvertrag (AVV)? Jeder Anbieter, der personenbezogene Daten im Auftrag verarbeitet, braucht einen AVV. Microsoft stellt diesen standardmäßig bereit. Für andere Anbieter ist zu prüfen, ob und in welcher Form ein AVV verfügbar ist.
3. Wo werden Daten gespeichert? Europäische Datenhaltung (z. B. Microsoft EU Data Boundary) ist für viele Unternehmen Pflicht. Relevante Frage: In welcher Region werden Prompts und Antworten verarbeitet und gespeichert?
Anthropic als Subprozessor bei Microsoft
Seit der Integration von Claude in Microsoft Foundry ist Anthropic als Subprozessor bei Microsoft registriert. Das bedeutet: Auch wenn Claude ein Drittanbieter-Modell ist, läuft die Verarbeitung im Rahmen der Microsoft-Datenschutzzusagen.
Praktische Empfehlung
Kein KI-Tool unternehmensbreit einführen, ohne vorher zu klären:
- Welche Datenkategorien könnten eingegeben werden?
- Wer ist der Anbieter, und gibt es einen AVV?
- Wurde der Datenschutzbeauftragte einbezogen?