Ausgabe 01 — Maerz 2026
IT EN DE
Das europaeische Magazin fuer private KI

Leitfaden

DSGVO und KI: kuenstliche Intelligenz datenschutzkonform nutzen

Praktischer Leitfaden zu DSGVO und kuenstlicher Intelligenz fuer europaeische Unternehmen. Wie Sie ChatGPT und andere KI-Tools nutzen, ohne den Datenschutz zu verletzen.

DSGVO und KI: eine notwendige Koexistenz

Generative kuenstliche Intelligenz bietet europaeischen Unternehmen ausserordentliche Moeglichkeiten, aber die DSGVO setzt praezise Grenzen fuer die Verarbeitung personenbezogener Daten. Es geht nicht darum, zwischen KI und Datenschutz zu waehlen: Es geht darum, KI richtig einzusetzen.

Der Fall ChatGPT: was in Italien passierte

Im Maerz 2023 hat die italienische Datenschutzbehoerde ChatGPT in Italien blockiert — der weltweit erste Fall. Die Gruende:

  • Keine Rechtsgrundlage fuer die Datenerhebung und -verarbeitung
  • Fehlende Information der Nutzer ueber die Datenverarbeitung
  • Keine Altersverifikation zum Schutz Minderjaehriger
  • Datenungenauigkeit: Das Modell generiert falsche Informationen ueber Personen

2024 wurde OpenAI mit 15 Millionen Euro von der italienischen Datenschutzbehoerde bestraft.

Konkrete Risiken fuer Unternehmen

Wenn ein Mitarbeiter ChatGPT mit Unternehmensdaten nutzt:

Risiko Konsequenz
Personenbezogene Daten in Prompts DSGVO-Verstoss, moegliches Bussgeld
Gesundheitsdaten Verstoss gegen besondere Datenkategorien (Art. 9 DSGVO)
Geschaeftsgeheimnisse Verlust von geistigem Eigentum
Kein AVV mit OpenAI Direkte Unternehmenshaftung
Daten in die USA Nicht-konforme Drittlandsuebermittlung

KI DSGVO-konform machen

1. On-Premise-Loesungen

Die sicherste Loesung: KI laeuft auf Unternehmensservern. Keine Daten verlassen das Unternehmen.

ORCA von HT-X ist genau dafuer konzipiert: eine vollstaendige KI-Plattform, die ausschliesslich in der Unternehmensinfrastruktur laeuft.

2. Datenminimierung

Bei Cloud-Diensten das Minimierungsprinzip anwenden:

  • Daten vor dem Versand anonymisieren
  • Keine Namen, Steuernummern oder identifizierende Merkmale einschliessen
  • Pseudonymisierung verwenden, wo moeglich

3. DSFA (Datenschutz-Folgenabschaetzung)

Fuehren Sie eine DSFA durch, bevor Sie ein KI-System implementieren, das personenbezogene Daten verarbeitet:

  • Beschreiben Sie die Verarbeitung und ihre Zwecke
  • Bewerten Sie Notwendigkeit und Verhaeltnismaessigkeit
  • Identifizieren Sie Risiken fuer Betroffene
  • Definieren Sie Massnahmen zur Risikominderung

4. Verarbeitungsverzeichnis

Aktualisieren Sie Ihr Verarbeitungsverzeichnis (Art. 30 DSGVO):

  • Genutzte KI-Systeme
  • Kategorien verarbeiteter Daten
  • Angewandte Rechtsgrundlagen
  • Uebermittlungen in Drittlaender (falls vorhanden)

DSGVO und KI-Verordnung: der doppelte Ansatz

Ab 2026 muessen Unternehmen sowohl die DSGVO als auch die KI-Verordnung einhalten. Eine On-Premise-Plattform wie ORCA erfuellt beide Anforderungen in einer einzigen Loesung.

Konzentrieren Sie sich auf Ihr Geschaeft, nicht auf Buerokratie

DSGVO, KI-Verordnung, DSFA, Verarbeitungsverzeichnis, Drittlandtransfers: Fuer ein KMU besteht die Gefahr, mehr Zeit mit Konformitaet zu verbringen als mit dem Wachstum des Unternehmens. Aber das muss nicht so sein.

Konformitaet sollte eine Eigenschaft der Loesung sein, nicht eine Last fuer den Unternehmer. Wenn Sie eine KI-Plattform waehlen, die Daten im Unternehmen behaelt, Open-Source-Modelle nutzt und Rueckverfolgbarkeit durch ihre Architektur gewaehrleistet, werden die meisten regulatorischen Pflichten an der Wurzel geloest — ohne spezialisierte Berater, ohne ausserordentliche Audits, ohne schlaflose Naechte.

ORCA ist genau das: eine Loesung, die Ihnen alle Vorteile der KI bietet — Prozesse verbessern, Dokumente analysieren, Entscheidungen unterstuetzen — mit vollstaendiger DSGVO- und KI-Verordnung-Konformitaet inklusive. Nicht ein Kopfschmerz mehr, sondern einer weniger.

Der Wettbewerbsvorteil des Datenschutzes

DSGVO-Konformitaet ist nicht nur eine Pflicht: Sie ist ein Wettbewerbsvorteil. Unternehmen, die den Schutz der Daten ihrer Kunden und Mitarbeiter nachweisen, bauen Vertrauen auf und differenzieren sich am Markt. Private KI ist die Zukunft fuer verantwortungsvolle europaeische Unternehmen.

Haeufig gestellte Fragen

Oeffentliches ChatGPT kann gegen die DSGVO verstossen, wenn es mit persoenlichen oder sensiblen Daten verwendet wird. Die Daten werden an OpenAI-Server in den USA gesendet, ohne angemessene Garantien fuer Uebermittlungen ausserhalb der EU. Die italienische Datenschutzbehoerde hat OpenAI mit 15 Millionen Euro bestraft. On-Premise-Loesungen wie ORCA eliminieren dieses Risiko.

Die wichtigsten Optionen sind: 1) On-Premise-KI-Plattformen wie ORCA nutzen, die Daten im Unternehmen halten, 2) Cloud-Anbieter mit EU-Datenhaltung und konformem Auftragsverarbeitungsvertrag waehlen, 3) Daten vor dem Versand an Cloud-Dienste anonymisieren, 4) Niemals personenbezogene Daten mit oeffentlichem ChatGPT verwenden.

Ja, in den meisten Faellen. Die DSGVO verlangt eine Datenschutz-Folgenabschaetzung, wenn die Verarbeitung voraussichtlich ein hohes Risiko fuer die Rechte der Betroffenen mit sich bringt. Der Einsatz von KI zur Verarbeitung personenbezogener Daten faellt fast immer in diese Kategorie.

Sie sollten niemals an oeffentliches ChatGPT senden: Gesundheitsdaten von Patienten, Finanzdaten von Kunden, Mitarbeiterdaten (Gehaelter, Bewertungen), proprietaeren Quellcode, vertrauliche Rechtsdokumente und alle Daten, die natuerliche Personen identifizieren.

Ja. ORCA ist DSGVO-konform by Design: Daten bleiben vollstaendig On-Premise in der Unternehmensinfrastruktur, es gibt keine Uebermittlung an Dritte, es unterstuetzt das Recht auf Loeschung und Datenportabilitaet und bietet einen vollstaendigen Audit Trail zum Nachweis der Konformitaet.

Suchen Sie ein privates ChatGPT fuer Ihr Unternehmen?

ORCA ist die On-Premise-KI-Plattform von HT-X (Human Technology eXcellence): Ihre Daten bleiben bei Ihnen, DSGVO- und KI-Verordnung-konform.

ORCA entdecken