Wer heute einen digitalen Assistenten oder ein wissensbasiertes KI-System einsetzt, entscheidet nicht nur über eine Funktion. Es geht um Vertrauen, Datenhoheit und die Frage, in welchem Rechtsraum Informationen verarbeitet werden.
In den vergangenen Monaten habe ich mit vielen Unternehmern und IT-Verantwortlichen über den Einsatz von Künstlicher Intelligenz gesprochen. Die Begeisterung ist groß – und das aus gutem Grund.Digitale Assistenten beantworten Kundenanfragen rund um die Uhr, wissensbasierte Systeme machen Unternehmenswissen in Sekunden durchsuchbar, Texte und Dokumente entstehen deutlich schneller.
Doch in fast jedem Gespräch taucht irgendwann dieselbe Frage auf:
„Was passiert eigentlich mit unseren Daten?“
Diese Frage ist berechtigt – und sie wird oft zu spät gestellt.
Wo die unsichtbaren Risiken liegen
Wenn ein Mitarbeiter ein internes Dokument in einen weit verbreiteten amerikanischen KI-Dienst eingibt, verlässt diese Information unter Umständen den geschützten Unternehmensbereich. Viele Anbieter unterliegen dem sogenannten US Cloud Act. Dadurch können amerikanische Behörden unter bestimmten Voraussetzungen Zugriff auf Daten verlangen – selbst dann, wenn die Server in der Europäischen Union stehen.
Für viele Unternehmen ist das problematisch. Personenbezogene Kundendaten, vertrauliche Angebote oder Strategiepapiere gehören nicht in einen Rechtsraum, in dem europäische Datenschutzstandards nur eingeschränkt durchsetzbar sind.
Hinzu kommt: Manche Anbieter behalten sich vor, Eingaben zur Verbesserung ihrer Modelle zu verwenden – sofern dies nicht vertraglich ausgeschlossen wird. Interne Informationen können dadurch potenziell in Trainingsprozesse einfließen.
Was das in der Praxis bedeutet
Drei Beispiele aus meiner Beratungspraxis:
Ein mittelständisches Unternehmen plant einen digitalen Assistenten für den Kundenservice, der Bestellnummern, Adressen und Reklamationen verarbeitet. Werden diese Daten ohne geeignete vertragliche und technische Maßnahmen über außereuropäische Anbieter verarbeitet, kann das datenschutzrechtlich problematisch werden.
Eine Steuerkanzlei möchte ein abrufgestütztes KI-System („RAG“) einsetzen, das interne Mandantenakten durchsuchbar macht. Bei einem externen außereuropäischen Anbieter verlassen hochsensible Mandantendaten potenziell die geschützte Infrastruktur der Kanzlei – berufsrechtlich ein kritischer Punkt.
Ein Onlinehändler übersetzt Produktbeschreibungen automatisiert mit einem Sprachmodell. Solange keine personenbezogenen Daten verarbeitet werden, ist das vergleichsweise unkritisch. Sobald jedoch Kundenbewertungen oder Supportdaten einbezogen werden, verändert sich die datenschutzrechtliche Bewertung deutlich.
Was sich mit amerikanischen Anbietern absichern lässt
In vielen Fällen sind amerikanische Modelle technologisch führend und praktisch kaum vermeidbar. Auch dann lässt sich das Risiko zumindest reduzieren.
Üblich sind dabei drei Maßnahmen:
- Auftragsverarbeitungsverträge inklusive Standardvertragsklauseln
- Geschäftskundentarife, bei denen Eingaben nicht zum Training verwendet werden
- Technische Schutzmaßnahmen wie Anonymisierung, Pseudonymisierung oder vorgeschaltete Filterdienste
Diese Maßnahmen senken das praktische Risiko erheblich. Vollständig auflösen lässt sich das Problem dadurch jedoch nicht, weil der US Cloud Act weiterhin gilt.
Für viele Anwendungen mag dieses Restrisiko akzeptabel sein. Für besonders schutzbedürftige Daten ist es das häufig nicht.
Es gibt europäische Alternativen
Europa hat in den vergangenen Jahren deutlich aufgeholt.
Das französische Unternehmen Mistral AI zählt inzwischen zu den leistungsfähigsten europäischen Anbietern von Sprachmodellen. In vielen praktischen Anwendungsfällen sind die Modelle technisch absolut konkurrenzfähig.
Aus meiner Sicht sind dabei drei Punkte besonders interessant:
- Entwicklung und Hosting innerhalb Europas
- Kein Zugriff über den US Cloud Act
- Teilweise vollständiger Betrieb auf eigener Infrastruktur möglich
Gerade für kleine und mittelständische Unternehmen entsteht dadurch eine realistische Möglichkeit, KI-Systeme datenschutzkonform und langfristig unabhängig aufzubauen.
In Verbindung mit einem sauber konzipierten RAG-System lassen sich so Anwendungen entwickeln, die internes Unternehmenswissen nutzbar machen, ohne dass sensible Dokumente den eigenen Rechtsraum verlassen.
Mein Rat
Bevor Sie sich für eine KI-Lösung entscheiden, beantworten Sie drei Fragen:
- Welche Daten werden verarbeitet – und wie sensibel sind sie?
- In welchem Rechtsraum werden diese Daten verarbeitet?
- Gibt es eine Alternative mit vergleichbarem Nutzen und geringerem Risiko?
In vielen Projekten, die ich begleite, lautet die Antwort auf die dritte Frage inzwischen: Ja.
Wenn Sie das Thema angehen möchten
Ich begleite kleine und mittelständische Unternehmen bei der Einführung datenschutzkonformer KI-Anwendungen – von der ersten Bewertung über die Konzeption bis zur technischen Umsetzung digitaler Assistenten und Wissenssysteme auf Basis europäischer Modelle wie Mistral.
Wenn Sie überlegen, wie Ihr Unternehmen Künstliche Intelligenz sinnvoll und rechtssicher einsetzen kann, freue ich mich über ein Gespräch.