KI im Unternehmen: Ein Praxis-Leitfaden zu Datenschutz, AI Act und Compliance

Im Jahr 2025 ist Künstliche Intelligenz (KI) ein fundamentaler Pfeiler der Unternehmensstrategie. Doch nach dem ersten Hype stehen Unternehmen im deutschsprachigen Raum (DACH-Region) vor kritischen, strategischen Fragen, die über die reine Leistung der Modelle hinausgehen.

Für welchen Bereich sind diese Modelle sicher einzusetzen – für das Development, die Texterzeugung oder die Testfallerstellung? Was sind die tatsächlichen Vor- & Nachteile der verschiedenen KI-Modelle im operativen Einsatz?

Vor allem aber: Was passiert mit Ihren sensiblen Unternehmensdaten? Werden Ihre Daten zur weiteren Entwicklung des KI-Modells verwendet? Wie sicher sind Ihre Daten wirklich? Wo werden diese gespeichert – in der EU oder potenziell in Drittstaaten? Und wer genau kann Ihre Prompts sehen?

Die Antworten auf diese Fragen definieren die „rote Linie“ zwischen einer konformen, nachhaltigen KI-Implementierung und einem untragbaren rechtlichen Risiko. In diesem Artikel beantworten wir genau diese Fragen.

 

1 Eine Taxonomie moderner KI-Modelle

Um fundierte Entscheidungen treffen zu können, ist eine klare Abgrenzung der verfügbaren Modellkategorien erforderlich.

 

1.1 Große Sprachmodelle (LLMs): Das Fundament

Große Sprachmodelle (Large Language Models, LLMs) bilden die Grundlage der aktuellen generativen KI-Revolution. Sie werden auf Basis riesiger Text- und Datensätze trainiert und nutzen Deep-Learning-Techniken, um menschliche Sprache zu verarbeiten und zu generieren. Ihre Kernkompetenzen umfassen eine Vielzahl von Aufgaben der natürlichen Sprachverarbeitung (NLP), darunter Textzusammenfassung, Maschinenübersetzung, Beantwortung von Fragen und das Verfassen kreativer Texte.

Zu den wichtigsten Akteuren in diesem Bereich gehören die GPT-Modellfamilie (Generative Pre-trained Transformer) von OpenAI^[6], Gemini von Google, die Claude-Modellfamilie von Anthropic, die sich auf Sicherheit und komplexe Schlussfolgerungen konzentriert, und die Llama-Modellfamilie von Meta. ^[5]

 

1.2 Spezialisierte generative Modelle

Neben den generalistischen LLMs hat sich ein Markt für hochspezialisierte Modelle entwickelt, die für bestimmte Aufgaben optimiert sind.

 

Code-Generierung und -Analyse

Diese Modelle sind speziell auf Programmiersprachen, Software-Bibliotheken und Entwicklungskonzepte trainiert.^[8] Sie dienen als „Pair-Programmer“ und verstehen den spezifischen Kontext einer Codebasis, einschließlich Dateistrukturen, Importabhängigkeiten und Namenskonventionen. ^[10]

Das prominenteste Beispiel ist GitHub Copilot, das eine Suite verschiedener Modelle nutzt, darunter GPT-4.1 und Claude 3.5 Sonnet.^[4] Andere spezialisierte Code-Modelle umfassen Devstral^[2] und Grok Code Fast.^[11] Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht in der „Analyse und Härtung von Programmcode“ eine wesentliche Chance dieser Technologie.^[8]

 

Bild-, Video- und Audiogeneratoren

Diese Modelle operieren nicht primär mit Text, sondern sind auf die Erzeugung und Bearbeitung visueller oder auditiver Daten spezialisiert.^[8] Bekannte Beispiele sind Bildgeneratoren wie DALL-E 3 und Midjourney, Video-Generatoren wie OpenAI‘s Sora ^[15] und Pika Labs sowie Stimm-Generatoren wie ElevenLabs. Ihre Anwendungsbereiche reichen von Marketing und Design bis hin zur Erstellung synthetischer Trainingsdaten.^[2]

 

1.3 Multimodale Modelle: Die nächste Evolutionsstufe

Die jüngste Generation von KI-Modellen ist multimodal, was bedeutet, dass sie mehrere Arten von Informationen (Modalitäten) gleichzeitig verarbeiten können, wie z.B. Text, Bilder, Audio und Code.^[1]

Modelle wie GPT-4o^[3], Google Gemini ^[4] und Alibaba Qwen 2.5 Omni^[2] können komplexe Anfragen bearbeiten, die verschiedene Datentypen kombinieren. Sie können beispielsweise ein Diagramm (Bild) analysieren, den darin enthaltenen Code (Text) extrahieren und eine mündliche Zusammenfassung (Audio) liefern. Diese Fähigkeit eröffnet neue Anwendungsfälle in der Datenanalyse, Barrierefreiheit und im kreativen Design.

 

1.4 Open-Source vs. proprietäre Modelle: Ein fundamentaler Unterschied

Die strategisch wichtigste Unterscheidung für Unternehmen ist die zwischen proprietären und Open-Source-Modellen.

• Proprietäre Modelle: Dies sind geschlossene („Closed Source“) Modelle, die von Unternehmen wie OpenAI, Anthropic und Google entwickelt und als kommerzieller Dienst (typischerweise über eine API) angeboten werden. Die Modellarchitektur und die Trainingsdaten sind Geschäftsgeheimnisse.
  
  
• Open-Source-Modelle: Bei diesen Modellen sind die Modellgewichte und oft auch der Trainingscode öffentlich verfügbar.^[2] Prominente Beispiele sind die Llama-Modellfamilie von Meta und die Modelle von Mistral AI.^[1]
  
  

Diese Wahl stellt eine fundamentale Weichenstellung für die Daten-Governance:

• Pfad A (Proprietär): Unternehmen, die eine proprietäre API nutzen, lagern das technische Betriebs- und Datenschutzrisiko an den Anbieter aus. Sie sind auf dessen vertragliche Zusicherungen (z.B. im Auftragsverarbeitungsvertrag), dessen Sicherheitsarchitektur und dessen Umgang mit Datentransfers in Drittstaaten angewiesen. Dies erfordert eine tiefgehende juristische Prüfung der Anbieterrichtlinien (siehe Kapitel 4).
  
  
• Pfad B (Open-Source): Unternehmen, die ein Open-Source-Modell auf ihrer eigenen Infrastruktur betreiben (On-Premise oder in einer Private Cloud in der EU)^[17], übernehmen das Risiko und die Kontrolle vollständig selbst. Der Vorteil ist die maximale Datenhoheit: Sensible Daten verlassen zu keinem Zeitpunkt die kontrollierte Umgebung des Unternehmens.^[19] Die Fragen nach Datentraining, Speicherort und Einsichtnahme durch Dritte werden trivial beantwortet („findet nicht statt“ oder „nur intern“). Der Nachteil sind die signifikant höheren Kosten und die technische Komplexität für Implementierung, Wartung und Feinabstimmung.^[2]

 

2 Anwendungsbereiche und praktische Einsatzszenarien

Die kategorisierten Modelle ermöglichen eine breite Palette von Anwendungsfällen, deren Eignung von der jeweiligen Datensensitivität abhängt.

 

2.1 Softwareentwicklung und IT-Betrieb

Der IT-Sektor profitiert massiv von spezialisierten KI-Modellen.

• Automatisierte Code-Erstellung: KI-gestützte „Pair-Programmer“ wie GitHub Copilot^[9] beschleunigen die Softwareentwicklung erheblich, indem sie Code-Blöcke in Echtzeit vorschlagen und Routineaufgaben automatisieren.^[20]
  
  
• Debugging und Code-Analyse: Modelle mit tiefem logischem Verständnis (z.B. Claude 3.7 Sonnet, GPT 4.5) werden zur Fehlersuche in komplexen Systemen eingesetzt.^[4] Das BSI hebt die Fähigkeit zur „Analyse und Härtung von Programmcode“ als strategische Chance hervor.^[8]
  
  
• Generierung von Testfällen: Ein hoch-rentabler Anwendungsfall ist die automatisierte Erstellung von Software-Tests. Basierend auf realen Problemstellungen wurde ein 3-Schritte-Prozess entwickelt, der die Effizienz steigert^[22]:
  
  1. Input (Prosa): Eine Anforderung in natürlicher Sprache (z.B. eine User Story) wird dem LLM übergeben.
  2. Output (BDD): Das Modell generiert daraus strukturierte Akzeptanzkriterien im BDD-Format (Behaviour-Driven Development), z.B. „Given-When-Then“.
  3. Output (Code): Das LLM transformiert die BDD-Fälle in ein lauffähiges Test-File (z.B. Cucumber) und generiert den fertigen Automatisierungscode (z.B. in JavaScript).

 

2.2 Texterzeugung und Unternehmenskommunikation

Dies ist der klassische Anwendungsbereich von LLMs, der von internen Prozessen bis hin zum externen Marketing reicht.

• Marketing und Content-Erstellung: KI-Modelle generieren Marketingtexte, Blog-Beiträge, Social-Media-Updates und Werbeinhalte. Spezialisierte Tools wie Jasper oder Copy.ai nutzen diese Kernmodelle. Gekoppelt mit Bildgeneratoren wie DALL-E oder Midjourney^[14] können ganze Kampagnen erstellt werden.^[2]
  
  
• Interne Dokumentation und Wissensmanagement: Die Effizienz im Büroalltag wird durch die automatisierte Zusammenfassung von Besprechungsnotizen ^[10], den Entwurf von E-Mails^[2] und die Erstellung technischer Dokumentationen^[26] gesteigert.
  
  
• Automatisierter Kundenservice: LLMs sind die treibende Kraft hinter fortschrittlichen Chatbots und Unterhaltungsagenten, die Kundenanfragen in natürlicher Sprache beantworten können.^[2]

 

2.3 Strategische Analyse und Forschung

Modelle mit großen Kontextfenstern und Echtzeit-Internetzugang ermöglichen neue Formen der strategischen Analyse.

• Domänenspezifische Dokumentenanalyse: Modelle wie Claude 2, die bis zu 100.000 Tokens (entspricht 100+ von Seiten) verarbeiten können, werden zur Analyse umfangreicher Fachdokumente eingesetzt.^[26] Anwendungsfälle umfassen die Prüfung juristischer Verträge oder die Interpretation medizinischer Studiendaten.^[2]
  
  
• Markt- und Trendforschung: Modelle mit integriertem Echtzeit-Webzugriff (z.B. Perplexity, Grok oder das neue Claude-Feature) können genutzt werden, um Live-Daten zu überwachen, Markt- und Wettbewerbstrends zu analysieren und Recherchen mit direkten Quellenangaben durchzuführen.^[2]
  
  

Die Vielfalt dieser Anwendungsfälle, von der Erstellung öffentlicher Marketingtexte bis zur Analyse streng vertraulicher Rechtsdokumente^[2] oder dem Debugging von Code, der personenbezogene Daten verarbeitet ^[4], macht deutlich, dass ein Unternehmen nicht ein KI-Modell wählen kann. Es muss eine gestaffelte KI-Strategie entwickelt werden, die auf der Datensensitivität des jeweiligen Anwendungsfalls basiert. Eine mögliche Architektur könnte wie folgt aussehen:

• Stufe 1 (Öffentliche Daten): Einsatz von Consumer-Tools für nicht-vertrauliche Aufgaben (z.B. allgemeine Recherche, Brainstorming für öffentliche Blogposts).
  
  
• Stufe 2 (Vertrauliche/Proprietäre Daten): Zwingender Einsatz von Enterprise/API-Versionen mit Auftragsverarbeitungsvertrag (AVV) für interne Dokumente, E-Mails oder die Entwicklung von nicht-kritischem Code. ^[10]
  
  
• Stufe 3 (Streng geheime/Personenbezogene Daten (PII/DSGVO)): Zwingender Einsatz von Diensten mit garantierter EU-Datenresidenz (z.B. Google Vertex AI in einer EU-Region^[29]) oder selbst-gehosteten Open-Source-Modellen.^[17]
  

Die Beantwortung von Fragen nach Anwendungsbereiche definiert somit direkt die Compliance-Anforderungen für die Beantwortung der Fragen über Datenschutz.

 

3 Chancen und Risiken im Überblick

Der Einsatz von KI-Modellen birgt ein duales Potenzial von erheblichen Vorteilen und ebenso signifikanten Risiken.

 

3.1 Vorteile: Produktivität, Innovation und Skalierbarkeit

Die primären Vorteile des KI-Einsatzes sind operativer und strategischer Natur.

• Produktivitätssteigerung und Zeitersparnis: Die Automatisierung von Routineaufgaben, sei es in der Softwareentwicklung^[20] oder bei der Testerstellung^[22], ist der größte Hebel. Entwickler können sich auf komplexe Probleme konzentrieren, anstatt Standardcode zu schreiben. Studien zeigen eine Reduzierung der Testerstellungszeit um 60-80%.^[31]
  
  
• Qualitätsverbesserung und Fehlervermeidung: Im Software-Engineering helfen LLMs, die Fehlerquote im Code zu senken^[20] und eine konsistente Code-Qualität sicherzustellen.^[22] KI-gestützte Testtools sind in der Lage, Randfälle und Sicherheitslücken zu identifizieren, die menschliche Tester oft übersehen.^[31]
  
  
• Wissensdemokratisierung und Skalierbarkeit: Durch die Kombination von Low-Code-Plattformen mit generativer KI können auch Mitarbeiter ohne tiefgehende Programmierkenntnisse („Citizen Developer“) funktionale Anwendungen erstellen. Dies entlastet die zentralen IT-Abteilungen und beschleunigt die Digitalisierung im gesamten Unternehmen.^[32]

 

3.2 Nachteile und inhärente Risiken

Diesen Vorteilen stehen technische, operative und juristische Risiken gegenüber.

• Technische Limitierungen: Die Modelle sind nicht fehlerfrei.
  
  
• Halluzinationen: Ein bekanntes Problem ist das „Halluzinieren“ – das Generieren von plausibel klingenden, aber sachlich falschen oder unsinnigen Informationen.^[12] Dies stellt ein kritisches Risiko dar, wenn die Modelle für Analyse- oder Entscheidungsfindungsaufgaben eingesetzt werden.
  
  
• Latenz und Kosten: Die leistungsfähigsten Modelle (z.B. GPT-4.5) sind oft langsamer (höhere Latenz) und teurer im Betrieb, was ihren Einsatz in Echtzeitanwendungen einschränken kann.^[24]
  
  
• Sicherheitsrisiken (Operativ und Implementierung): Das BSI warnt vor spezifischen Gefahren während des gesamten Lebenszyklus der Modelle.^[8]
  
  
• Prompt Injection: Angreifer können die Modelle durch manipulierte Eingaben (Prompts) dazu bringen, ihre internen Schutzmaßnahmen zu umgehen, bösartige Inhalte zu generieren oder sensible Informationen preiszugeben.
  
  
• Risiko der Code-Analyse: Einer der größten Vorteile – die Fähigkeit, Code auf Fehler zu analysieren^[8] – birgt gleichzeitig eines der größten Risiken.

 

Dieser Widerspruch, das „Analyse-Paradoxon“, stellt ein neues, kritisches Einfallstor für Daten-Exfiltration dar. Die Kausalkette dieses Risikos ist wie folgt:

1. Ein Entwickler möchte eine proprietäre Anwendung auf Schwachstellen prüfen und übergibt den vollständigen Quellcode an einen KI-Dienst (z.B. die OpenAI-API) mit dem Prompt: „Analysiere diesen Code auf Sicherheitslücken.“
   
   
2. In diesem Moment wird das wertvollste geistige Eigentum (IP) des Unternehmens zusammen mit einer potenziellen Liste seiner Schwachstellen an einen Drittanbieter (z.B. OpenAI oder Anthropic) übertragen.
   
   
3. Die Datenübertragung erfolgt in die USA, wo die Speicherung stattfindet.^[33]
   
   
4. Selbst, wenn die Enterprise-API-Richtlinie ein Training mit diesen Daten verbietet (was der Fall ist), werden die Daten zur Missbrauchsüberwachung (Abuse Monitoring) standardmäßig für 30 Tage gespeichert.^[35]
   
   
5. Während dieser 30 Tage sind die Daten – der Quellcode – potenziell der Einsichtnahme durch Mitarbeiter des Anbieters und dem Zugriff durch US-Behörden (im Rahmen des CLOUD Act) ausgesetzt.^[37]
   
   

Dieser Vorgang macht aus einem gut gemeinten Sicherheits-Audit einen potenziell katastrophalen IP-Diebstahl oder Sicherheitsvorfall. Das „Analyse-Paradoxon“ zeigt zwingend, dass sicherheitskritische Anwendungsfälle (wie die Analyse von proprietärem Code) ausschließlich auf einer Stufe-3-Architektur (On-Premise Open-Source)^[17] stattfinden dürfen.

 

4 Kritische Analyse der Daten-Governance

Hier beantworten wir die kritischen Datenschutzfragen des Nutzers, analysieren die Richtlinien der Hauptanbieter (OpenAI, Anthropic, Google, Meta) und ziehen die entscheidende Trennlinie zwischen Consumer- und Enterprise-Diensten.

 

4.1 Die rote Linie: Warum Consumer-Tools und Enterprise-APIs rechtlich völlig unterschiedlich zu bewerten sind

Sobald ein Unternehmen im DACH-Raum eine KI zur Verarbeitung von Daten einsetzt, die sich auf Mitarbeiter oder Kunden beziehen (personenbezogene Daten), unterliegt es der DSGVO. In diesem Szenario agiert das Unternehmen als „Verantwortlicher“ (Controller) und der KI-Anbieter (z.B. OpenAI) als „Auftragsverarbeiter“ (Processor).

Nach Artikel^[28] der DSGVO ist für diese Konstellation der Abschluss eines Auftragsverarbeitungsvertrags (AVV; oder Data Processing Addendum, DPA) zwingend erforderlich.^[38] Dieser Vertrag regelt die Rechte und Pflichten beider Seiten und stellt sicher, dass der Auftragsverarbeiter die Daten nur gemäß den Weisungen des Verantwortlichen verarbeitet.

Hier verläuft die „rote Linie“: KI-Anbieter stellen einen solchen AVV ausschließlich für ihre kostenpflichtigen Business-, Team- oder Enterprise-Angebote zur Verfügung.^[38]

Die Implikation ist ein klares juristisches Urteil: Der Einsatz von frei verfügbaren Consumer-Diensten (wie ChatGPT Free/Plus, Standard Gemini oder Claude Free/Pro) für jegliche Unternehmensdaten (insbesondere personenbezogene Daten, aber auch Geschäftsgeheimnisse) ist ein direkter Verstoß gegen die DSGVO. Es fehlt die erforderliche Rechtsgrundlage für die Datenverarbeitung.

Die folgende Analyse der Consumer-Tools dient daher primär der Aufklärung über die Risiken, die durch die „Schatten-IT“-Nutzung dieser Tools durch Mitarbeiter entstehen. Die Analyse der Enterprise/API-Produkte bewertet die verbleibenden Risiken, die trotz eines gültigen AVV bestehen.

 

4.2 Fallstudie: OpenAI (ChatGPT vs. API)

Training

• Consumer (ChatGPT Free/Plus/Pro, Sora): JA. OpenAI verwendet die Inhalte (Prompts und Antworten) von Nutzern dieser Dienste standardmäßig, um seine Modelle zu trainieren und zu verbessern.^[41]
  
  
• Opt-Out: Nutzer können dieser Verwendung über ein Datenschutzportal widersprechen („do not train on my content“).^[16]
  
  
• Ausnahme: Sogenannte „Temporary Chats“ (Provisorische Chats) werden nicht im Verlauf gespeichert und nicht für das Training verwendet.^[39]
  
  
• Enterprise (API, ChatGPT Enterprise/Team/Edu): NEIN. OpenAI gibt die vertragliche Zusage, dass Kundendaten, die über die API oder die Enterprise-Dienste übermittelt werden, nicht zur Verbesserung oder zum Training der Modelle verwendet werden. ^[35]
  
  

Datensicherheit & Einsicht

• Consumer: JA. Prompts und Konversationen können von autorisierten menschlichen Prüfern bei OpenAI eingesehen werden^[44], um die Modellantworten zu validieren oder Feedback zu verarbeiten.^[42] Bei Enterprise-Konten (Team/Business) können zudem die Administratoren des eigenen Unternehmens die Chatverläufe ihrer Mitarbeiter einsehen.^[16]
  
  
• Enterprise (API): BEDINGT JA. Die Daten werden nicht von Menschen zur Modellverbesserung eingesehen. Sie werden jedoch standardmäßig für bis zu 30 Tage aufbewahrt und können automatisiert sowie potenziell menschlich zur „Missbrauchsüberwachung“ (Abuse Monitoring) überprüft werden.^[35]
  
  
• ZDR-Option: Für qualifizierte Enterprise-Kunden bietet OpenAI eine „Zero Data Retention“ (ZDR)-Option an. Wenn diese aktiviert ist, werden die Daten nicht mehr für das Abuse Monitoring gespeichert.^[35]
  
  

Speicherung

• Wo: Die Speicherung der Daten erfolgt primär in den USA.^[48]
  
  
• Das „OpenAI Ireland“-Problem (Schrems II-Risiko): Viele EU-Unternehmen schließen ihren AVV mit der OpenAI Ireland Ltd. in der Annahme, sich damit sicher im Geltungsbereich der DSGVO zu bewegen. Die Vertragsdokumente (DPA) führen jedoch die US-Muttergesellschaft (OpenAI, LLC) als Unterauftragsverarbeiter (Subprocessor) auf.^[38] Dies legitimiert rechtlich einen Datentransfer in die USA. Dort unterliegen die Daten den US-Überwachungsgesetzen (z.B. CLOUD Act), was genau den Sachverhalt darstellt, der im Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) als hochproblematisch eingestuft wurde.^[50] Juristische Experten, wie Steiger Legal, bewerten die Rechtslage für EU-Kunden als „unklar“. ^[33] Im juristischen Kontext bedeutet „unklar“ ein nicht kalkulierbares Risiko, dass die Nutzung durch eine Datenschutzbehörde als unzulässig eingestuft wird.

 

4.3 Fallstudie: Anthropic (Claude Consumer vs. API)

Training

• Consumer (Claude Free/Pro/Max): JA. Mit einer signifikanten Richtlinienänderung im September 2025 werden Nutzerdaten dieser Dienste nun standardmäßig für das Modelltraining verwendet.^[52]
  
  
• Das aggressive „Opt-Out“ und die 5-Jahres-Frist: Das System ist als „Opt-Out“ konzipiert. Der Zustimmungsdialog ist jedoch irreführend als „Opt-In“ formuliert („You can help improve Claude“), aber standardmäßig vorausgewählt.^[53]
  
  
• Die Konsequenz: Stimmt der Nutzer zu (auch versehentlich), wird die Aufbewahrungsfrist seiner Daten von den üblichen 30 Tagen auf fünf Jahre verlängert.^[53]
  
  
• Der Haken: Widerspricht der Nutzer dem Training (Opt-Out), verliert er den Zugriff auf Personalisierungs- und Memory-Funktionen.^[56] Diese Kopplung von Dienstleistung an die Einwilligung zur Datenverarbeitung stellt die „Freiwilligkeit“ der Einwilligung – eine Kernforderung der DSGVO – stark in Frage.
  
  
• Enterprise (API, Claude for Work/Team): NEIN. Diese Dienste sind von der Richtlinienänderung explizit nicht betroffen.^[53] Anthropic garantiert vertraglich, API-Daten nicht für das Training zu verwenden.^[57]
  
  

Datensicherheit & Einsicht

• Consumer: JA. Konversationen, die für eine Sicherheitsüberprüfung markiert werden („flagged for safety review“), werden von Anthropic-Mitarbeitern eingesehen und können zum Training interner Sicherheitsmodelle verwendet werden.^[58]
  
  
• Enterprise (API): NEIN. Es sei denn, der Nutzer gibt proaktiv Feedback (z.B. über die Daumen-hoch/runter-Funktion). In diesem Fall kann die Konversation zur Qualitätskontrolle verwendet werden.^[57]
  
  

Speicherung

• Wo: Die Datenspeicherung („Data storage“) erfolgt ausschließlich in den USA.^[34]
  
  
• Der „Multi-Region-Processing“-Haken: Um die Latenz (Geschwindigkeit) für globale Kunden zu verbessern, hat Anthropic im August/September 2025 die Verarbeitung („processing“) der Daten auf Rechenzentren in mehreren Regionen, einschließlich Europa und Asien, ausgeweitet.^[59] Dies ändert jedoch nichts am Kernproblem für EU-Kunden: Die Daten werden zwar möglicherweise kurz in der EU verarbeitet, aber anschließend permanent in den USA gespeichert.^[34] Dies stellt weiterhin einen transatlantischen Datentransfer dar, der unter Schrems II als problematisch gilt.^[37]

 

4.4 Fallstudie: Google (Gemini Apps vs. Vertex AI)

Training

• Consumer (Gemini Apps): JA. Standardmäßig werden die Konversationen und Daten für das Training der KI-Modelle verwendet.^[44]
  
  
• Der „Privacy vs. Functionality“-Kompromiss: Um das Training zu stoppen, muss der Nutzer die „Gemini Apps-Aktivität“ in seinem Google-Konto deaktivieren.^[63]
  
  
• Der Haken: Das Deaktivieren dieser Einstellung deaktiviert gleichzeitig alle leistungsstarken Erweiterungen (Extensions).^[44] Die Integration mit Gmail, Google Docs und Google Drive funktioniert dann nicht mehr.
  
  
• Implikation: Google zwingt den Nutzer, wie Anthropic, zu einer Wahl zwischen voller Funktionalität und Datenschutz. Dies ist eine problematische Form der „erzwungenen“ Einwilligung im Sinne der DSGVO.
  
  
• Enterprise (Vertex AI / Google Cloud): NEIN. Als Teil der Google Cloud Platform bietet Vertex AI eine starke vertragliche „Training Restriction“.^[66] Weder Prompts noch Kundendaten werden zum Trainieren der Modelle verwendet.^[67]
  
  

Datensicherheit & Einsicht

• Consumer: JA. Prompts werden von menschlichen Prüfern („human reviewers“) bei Google eingesehen, um die Dienste zu verbessern.^[44] Google warnt Nutzer explizit davor, vertrauliche Informationen einzugeben.^[62]
  
  
• Das 3-Jahres-Problem: Von Menschen überprüfte Konversationen werden für bis zu drei Jahre gespeichert, selbst wenn der Nutzer seine Gemini-Aktivität löscht. ^[69] Google gibt an, diese Daten würden anonymisiert^[70], aber die lange Aufbewahrungsfrist stellt ein massives Compliance-Problem dar und widerspricht potenziell dem „Recht auf Vergessenwerden“ (Art. 17 DSGVO).
  
  
• Enterprise (Vertex AI): NEIN. Prompts und Antworten sind nicht für menschliche Prüfer zugänglich^[62], außer zur Missbrauchsüberwachung oder wenn der Kunde explizit Feedback gibt.
  
  

Speicherung

• Consumer: Global in Google-Rechenzentren, einschließlich der USA.
  
  
• Enterprise (Vertex AI): KLARE KONTROLLE. Dies ist der entscheidende Vorteil der Google-Plattform für EU-Kunden. Als Google Cloud-Dienst bietet Vertex AI klare Data Residency Controls.^[30] Ein Unternehmen kann vertraglich und technisch festlegen, dass seine Daten die EU nicht verlassen.^[29] Diese „Data Residency“-Garantie löst das Schrems II-Problem^[50] effektiver als die „US-Subprozessor“-Modelle von OpenAI und Anthropic.

 

4.5 Fallstudie: Meta (Llama und Meta AI)

Llama (Open-Source-Modell)

• Datenschutz: Vollständig vom Hoster abhängig. Wenn ein deutsches Unternehmen Llama 3 auf seinen eigenen Servern in Frankfurt betreibt^[17], werden Daten nicht für externes Training verwendet, sind intern gespeichert und werden nur von internen Mitarbeitern eingesehen. Selbst-gehostete Open-Source-Modelle bieten maximale Datenhoheit.^[19]
  
  
• Acceptable Use Policy: Metas Richtlinie für Llama^[72] ist keine Datenschutzrichtlinie. Sie regelt lediglich, wofür das Modell nicht verwendet werden darf (z.B. illegale Aktivitäten, Gewalt, Betrug, Ausbeutung von Kindern).

 

Meta AI (Consumer-Produkt in Facebook, Instagram etc.)

• Training: JA. Meta trainiert seine KI-Modelle explizit mit den öffentlichen Nutzerdaten seiner Plattformen, einschließlich öffentlicher Posts, Fotos und Bildunterschriften.^[74] Private Nachrichten werden (laut Meta) nicht verwendet.^[75]
  
  
• Opt-Out: Es gibt keinen einfachen Opt-Out-Button.^[75] Nutzer (insbesondere in der EU) müssen ein komplexes Formular ausfüllen und detailliert begründen, warum die Verarbeitung sie in ihren Rechten beeinträchtigt. Meta behält sich das Recht vor, diesen Antrag abzulehnen.^[77]
  
  
• Implikation: Dies ist die datenschutzfeindlichste Implementierung unter den großen Anbietern und für jegliche Unternehmensnutzung völlig unbrauchbar.

 

5 Synthese und vergleichende Übersicht

Jetzt können wir die folgenden Fragen beantworten.

 

5.1 Werden meine Daten zur weiteren Entwicklung verwendet?

• Bei Consumer-Produkten (ChatGPT Plus, Claude Pro, Gemini Apps): Ja, standardmäßig. Alle Anbieter nutzen diese Daten für das Training. OpenAI und Google bieten ein Opt-Out an. Das Opt-Out bei Anthropic und Google ist jedoch mit erheblichen Nachteilen verbunden (Funktionsverlust oder 5-Jahres-Speicherung).^[44] Bei Meta (Facebook/Instagram) ist ein Opt-Out kaum praktikabel. ^[77]
  
  
• Bei Enterprise/API-Produkten (OpenAI API, Vertex AI, Claude API): Nein. Alle drei großen Anbieter (OpenAI, Anthropic, Google) garantieren in ihren Auftragsverarbeitungsverträgen (AVV), dass Kundendaten aus den API-Diensten nicht für das Training ihrer Modelle verwendet werden.^[35]

 

5.2 Wie sicher sind meine Daten?

• Bei Consumer-Produkten: Geringe Sicherheit. Die Daten sind der Einsichtnahme durch menschliche Prüfer des Anbieters ausgesetzt^[44] und werden für potenziell sehr lange Zeiträume gespeichert (bis zu 3 Jahre bei Google^[69], 5 Jahre bei Anthropic^[54]).
  
  
• Bei Enterprise/API-Produkten: Hohe Sicherheit. Die Daten sind durch Branchenstandards (Verschlüsselung, Zugriffskontrollen) geschützt. Das Restrisiko besteht in der temporären Speicherung (meist 30 Tage) für „Abuse Monitoring“^[35] und dem potenziellen Zugriff durch US-Behörden (Schrems II-Risiko). Dienste mit „Zero Data Retention“ (ZDR)^[35] oder garantierter EU-Residenz^[29] bieten die höchste Sicherheit.

 

5.3 Wo werden diese gespeichert?

• OpenAI & Anthropic: Primär in den USA.^[33] Selbst wenn ein EU-Vertragspartner (OpenAI Ireland)^[38] oder EU-Verarbeitung (Anthropic)^[59] involviert ist, bleiben die USA der Speicherort oder ein Unterauftragsverarbeiter, was ein Datentransferrisiko (Schrems II) darstellt.
  
  
• Google (Vertex AI): Kontrollierbar. Bietet als einziger der großen US-Anbieter eine klare Option zur Speicherung und Verarbeitung ausschließlich innerhalb der EU. ^[29]
  
  
• Meta (Llama): Beim Self-Hosting ist der Speicherort die eigene Infrastruktur (z.B. Deutschland).^[17]

 

5.4 Wer kann meine Prompts sehen?

Es gibt drei Gruppen, die Prompts einsehen können:

• Anbieter (Menschliche Prüfer): Bei allen Consumer-Produkten.^[44] Bei Enterprise/API-Produkten nur für eng definierte Zwecke wie Missbrauchsbekämpfung^[35] oder wenn der Nutzer aktiv Feedback gibt.^[57]
  
  
• Eigene Administratoren: Bei Enterprise-Team-Lizenzen (ChatGPT Team, Claude for Work, Google Workspace) können die Administratoren des eigenen Unternehmens die Konversationen der Mitarbeiter einsehen.^[16]
  
  
• Öffentlichkeit: Bei der Nutzung von Open-Source-Tools, die von Dritten gehostet werden, oder bei unsicheren Implementierungen.

 

5.5 Vergleichende Matrix der Daten-governance: Consumer- vs. Enterprise-Modelle (Stand 2025)

Die folgende Tabelle fasst die kritischen Unterschiede zusammen und visualisiert die „rote Linie“ (siehe 4.1) zwischen Consumer- und Enterprise-Diensten.

Anbieter	Produkt (Consumer)	Produkt (Enterprise/API)	Standard -Training (Consumer)?	Standard -Training (Enterprise)?	Datenspeicherung (Ort)	Aufbewahrungsfrist (Consumer)	Menschliche Einsicht (Consumer)?	AVV (DPA) verfügbar?
OpenAI	ChatGPT Free/Plus/Pro	API, ChatGPT Enterprise	Ja (Opt-Out möglich)	Nein	USA (mit EU-Subprozessor- Thematik)	30 Tage (nach Löschung	Ja	Nur Enterprise
Anthropic	Claude Free/Pro/Max	API, Claude for Work	Ja (Opt-Out erzwingt 5-Jahres -Frist)	Nein	USA	5 Jahre (bei Training) / 30 Tage (ohne Training)	Ja (für Safety)	Nur Enterprise
Google	Gemini Apps	Vertex AI	Ja (Opt-Out deaktiviert Funktionen	Nein	EU- Residenz möglich	3 Jahre (für überprüfte Chats	Ja	Nur Enterprise
Meta	Meta AI (in Apps)	Llama (Self- Hosted)	Ja (Opt-Out kaum möglich)	Nein (abhängig vom Hoster)	Global / USA	Unbegrenzt	Ja	Nein / N/A

 

6 Abschließende Empfehlungen für den datenschutzkonformen Einsatz

Basierend auf der vorangegangenen Analyse ergeben sich klare Handlungsempfehlungen für Unternehmen im DACH-Raum, die KI-Modelle datenschutzkonform einsetzen wollen.

 

6.1 Empfehlung 1: Verbot von Consumer-Tools für Unternehmenszwecke

Die Analyse in Kapitel 4 zeigt unmissverständlich: Die Nutzung von Consumer-Produkten (wie ChatGPT Plus, Claude Pro, Gemini Apps) für jegliche Verarbeitung von Unternehmensdaten (Code, interne Memos, Kundendaten) ist ein klarer Verstoß gegen die DSGVO.

Die Gründe sind:

1. Es ist kein Auftragsverarbeitungsvertrag (AVV) verfügbar.^[38]
   
   
2. Die Daten werden standardmäßig für das Modelltraining des Anbieters verwendet.^[41]
   
   
3. Die Daten werden von menschlichen Prüfern des Anbieters eingesehen.^[44]
   
   
4. Es findet eine unkontrollierte Datenübermittlung in die USA statt.
   
   

Unternehmen müssen klare interne Nutzungsrichtlinien erlassen, die den Einsatz dieser „Schatten-IT“ verbieten, und dies technisch (z.B. durch Sperrung der Endpunkte) durchsetzen.

 

6.2 Empfehlung 2: Zwingender Abschluss eines Auftragsverarbeitungsvertrags (AVV)

Für jede Nutzung von externen KI-Diensten (auch Enterprise/API) zur Verarbeitung von Daten, die potenziell personenbezogen sind, ist ein AVV (DPA) nach Art. 28 DSGVO zwingend erforderlich.^[38] Dieser Vertrag stellt sicher, dass der Anbieter die Daten nicht für eigene Zwecke (wie Training) verwendet.^[35] Ohne gültigen AVV ist der Einsatz illegal.

 

6.3 Empfehlung 3: Bewertung des transatlantischen Datentransferrisikos (Schrems II)

Das größte verbleibende Risiko trotz eines AVV ist der Datentransfer in die USA. Seit dem „Schrems II“-Urteil des EuGH und dem Ende des „Privacy Shield“-Abkommens^[50] sind Datentransfers in die USA, wo Daten dem Zugriff von US-Behörden unterliegen, rechtlich hoch problematisch.

• Das Problem: Sowohl OpenAI (über US-Subprozessoren^[33]) als auch Anthropic (durch US-Speicherung^[34]) bergen dieses Risiko.
  
  
• Die sicherste proprietäre Lösung: Die Wahl eines Anbieters, der eine vertraglich und technisch garantierte Datenresidenz innerhalb der EU anbietet. Aktuell bietet dies unter den großen US-Anbietern am klarsten Google Cloud mit Vertex AI.^[29]
  
  
• Die souveränste Lösung (Open-Source): Das Self-Hosting von leistungsfähigen Open-Source-Modellen (z.B. Llama, Mistral) auf eigener Infrastruktur (On-Premise) oder in einer europäischen Private Cloud.^[17] Dies eliminiert das Drittanbieter-Datenschutzrisiko vollständig, ist aber mit höheren technischen Kosten verbunden.

 

6.4 Technische und Organisatorische Maßnahmen (TOMs)

Unabhängig vom gewählten Modell müssen Unternehmen flankierende technische und organisatorische Maßnahmen (TOMs) ergreifen. Dazu gehört die verbindliche Schulung der Mitarbeiter (insbesondere zur „Prompt-Hygiene“), die Implementierung von Anonymisierungs- und Pseudonymisierungs-Gateways, die sensible Daten (wie Namen oder IDs) vor der Übergabe an eine API filtern ^[78], und die Durchsetzung strenger interner Zugriffskontrollen.

 

6.5 Zusammenfassende Bewertung

Die Wahl des richtigen KI-Modells im Jahr 2025 ist eine Risikoabwägung. Für unkritische Aufgaben, die keine sensiblen Daten oder Geschäftsgeheimnisse beinhalten, bieten die Enterprise-APIs von OpenAI und Anthropic oft die höchste Leistung.

Sobald jedoch personenbezogene Daten (DSGVO) oder wertvolles geistiges Eigentum (z.B. Quellcode, F&E-Daten) verarbeitet werden sollen, verschiebt sich die Priorität von reiner Leistung zu Compliance. In diesem Szenario sind juristisch nur Lösungen vertretbar, die eine garantierte EU-Datenresidenz bieten (wie Google Vertex AI^[29]) oder die das Datenschutzrisiko durch Self-Hosting (Open-Source^[17]) vollständig eliminieren.

Quelle: Bild generiert von Gemini (Google AI)