Zum Hauptinhalt springen
Custom AI Development · DSGVO-konforme KI

KI, die den rechtlichen Rahmen einhält.

DSGVO-konforme KI heißt, dass eine Anwendung die Vorgaben zum Datenschutz, den EU AI Act und, wo einschlägig, berufliche Verschwiegenheitspflichten berücksichtigt. Wir bauen Anwendungen so, dass diese Anforderungen von Beginn an eingeplant sind, statt sie im Nachhinein zu ergänzen.

Einordnung

DSGVO-konforme KI betrifft die rechtliche Zulässigkeit.

Wo eine KI läuft und welches Modell sie nutzt, sind technische Fragen. Ob ihr Einsatz zulässig ist, ist eine rechtliche. Diese Seite beschreibt, welche Vorgaben dabei eine Rolle spielen und wie eine Anwendung gebaut sein muss, damit diese Vorgaben eingehalten werden.

Wo die Anwendung läuft, beschreibt die Seite zu On-Premises KI. Welches Modell zum Einsatz kommt, behandelt die Seite zu Private LLM. Beide Themen greifen hier ineinander, denn der Betrieb im eigenen Haus ist oft der einfachste Weg zur rechtlichen Zulässigkeit.

Die folgenden Ausführungen sind eine allgemeine Einordnung und ersetzen keine Rechtsberatung. Die konkrete Bewertung im Einzelfall erfolgt in Abstimmung mit Ihren zuständigen Stellen.

Datenschutz

Die DSGVO als Ausgangspunkt.

Verarbeitet eine Anwendung personenbezogene Daten, gilt die Datenschutz-Grundverordnung. Sie verlangt vor allem eine Rechtsgrundlage für die Verarbeitung, eine sichere Handhabung der Daten und Transparenz darüber, was mit ihnen geschieht.

AnforderungWas das bedeutet
RechtsgrundlageFür jede Verarbeitung personenbezogener Daten muss ein rechtlicher Grund vorliegen, etwa eine Einwilligung oder ein berechtigtes Interesse.
DatensparsamkeitEs werden nur die Daten verarbeitet, die für den Zweck erforderlich sind.
SicherheitDie Daten werden vor unbefugtem Zugriff geschützt, im Betrieb und bei der Übertragung.
Ort der VerarbeitungWerden Daten außerhalb der EU verarbeitet, gelten zusätzliche Anforderungen. Ein Betrieb im eigenen Haus vermeidet diese Frage.
Datenabfluss

Warum der Ort der Verarbeitung zählt.

Viele bekannte KI-Dienste werden von US-Unternehmen betrieben. Hier kommt der US Cloud Act ins Spiel. Er erlaubt US-Behörden, unter bestimmten Voraussetzungen Zugriff auf Daten zu verlangen, die von US-Unternehmen verarbeitet werden, auch dann, wenn diese Daten auf Servern in Europa liegen.

Für Unternehmen entsteht daraus ein Spannungsfeld: Die DSGVO schützt personenbezogene Daten, während eine ausländische Regelung Zugriff darauf ermöglichen kann. Wer sensible Daten verarbeitet, sollte deshalb genau prüfen, wo und von wem eine Anwendung betrieben wird.

Eine Anwendung, die auf der eigenen Infrastruktur läuft und keine Daten an externe Dienste weitergibt, ist von dieser Frage nicht betroffen. Die Daten bleiben im Haus und unterliegen allein dem europäischen Recht. Details zum Betrieb im Haus stehen auf der Seite zu On-Premises KI.

EU AI Act

KI wird nach Risiko eingeordnet.

Der EU AI Act ist der europäische Rechtsrahmen für künstliche Intelligenz. Er ordnet Anwendungen nach ihrem Risiko in Klassen ein und knüpft daran unterschiedliche Pflichten. Die meisten Anwendungen im geschäftlichen Alltag fallen in eine niedrige Klasse.

RisikoklasseBeispieleFolge
Unannehmbares RisikoAnwendungen, die grundlegende Rechte verletzenNicht erlaubt
Hohes RisikoAnwendungen in sensiblen Bereichen, etwa bei PersonalentscheidungenUmfangreiche Pflichten und Dokumentation
Begrenztes RisikoAssistenzsysteme und Chat-AnwendungenTransparenzpflichten
Geringes RisikoDie meisten internen WerkzeugeKaum zusätzliche Pflichten

Wir ordnen Ihren Anwendungsfall in die passende Klasse ein und leiten daraus die konkreten Anforderungen ab. So wissen Sie von Beginn an, welche Pflichten für Ihre Anwendung gelten.

Berufliche Verschwiegenheit

Besondere Vorgaben für geschützte Berufe.

Für einige Berufe gilt eine gesetzliche Schweigepflicht. §203 StGB stellt die unbefugte Weitergabe fremder Geheimnisse unter Strafe. Betroffen sind unter anderem Ärzte, Anwälte, Steuerberater und weitere Berufe, die mit besonders schutzwürdigen Informationen arbeiten.

Wird bei der Arbeit mit solchen Informationen ein externer Dienst eingesetzt, kann dies bereits eine Weitergabe an Dritte darstellen. Das ist nur unter engen Voraussetzungen zulässig. Eine Anwendung, die im eigenen Haus läuft und keine Daten nach außen gibt, vermeidet diese Weitergabe von vornherein.

Typisch betroffen

  • Praxen und Kliniken im Gesundheitsbereich
  • Kanzleien und Rechtsabteilungen
  • Steuerberatung und Wirtschaftsprüfung
  • weitere Berufe mit gesetzlicher Verschwiegenheit

Was hilft

  • Betrieb auf eigener Infrastruktur ohne Datenabfluss
  • klare Trennung von geschützten und offenen Daten
  • nachvollziehbare Protokolle über die Nutzung
  • Einbindung der zuständigen Stellen von Beginn an
Unser Ansatz

Konformität wird eingeplant, nicht ergänzt.

Wir berücksichtigen die rechtlichen Anforderungen bereits beim Entwurf der Anwendung. So entsteht keine Lösung, die im Nachhinein aufwendig angepasst werden muss.

Einordnung

Wir bestimmen, welche Daten verarbeitet werden und welche Vorgaben daraus folgen.

Entwurf

Die Architektur wird so gewählt, dass Daten im Haus bleiben und der Zugriff nachvollziehbar ist.

Umsetzung

Die Anwendung wird gebaut und die getroffenen Maßnahmen dokumentiert.

Abstimmung

Wir arbeiten mit Ihren zuständigen Stellen zusammen, etwa dem Datenschutzbeauftragten.

Häufige Fragen

Fragen zu DSGVO-konformer KI.

Ist der Einsatz von KI mit der DSGVO vereinbar?

Ja, wenn die Verarbeitung personenbezogener Daten eine Rechtsgrundlage hat, die Daten sicher verarbeitet werden und nicht ohne Grund in Drittstaaten gelangen. Eine Anwendung, die auf der eigenen Infrastruktur läuft, erfüllt diese Anforderungen leichter, weil die Daten das Haus nicht verlassen.

Was besagt der US Cloud Act?

Der US Cloud Act erlaubt US-Behörden, unter bestimmten Voraussetzungen Zugriff auf Daten zu verlangen, die von US-Unternehmen verarbeitet werden, auch wenn diese Daten in Europa liegen. Das kann im Widerspruch zur DSGVO stehen. Eine Anwendung im eigenen Haus ist davon nicht betroffen.

Was regelt der EU AI Act?

Der EU AI Act ordnet KI-Anwendungen nach ihrem Risiko in Klassen ein und knüpft daran Pflichten. Die meisten Geschäftsanwendungen fallen in eine niedrige Risikoklasse. Wir ordnen Ihren Anwendungsfall ein und leiten die passenden Anforderungen ab.

Was gilt für Berufsgruppen mit Schweigepflicht?

Für Ärzte, Anwälte, Steuerberater und weitere Berufe gilt die Verschwiegenheitspflicht nach §203 StGB. Werden dabei externe Dienste eingesetzt, sind besondere Anforderungen zu beachten. Ein Betrieb im eigenen Haus vermeidet die Weitergabe geschützter Daten an Dritte.

Wir klären, was in Ihrem Fall zulässig ist.

Im Erstgespräch ordnen wir Ihren Anwendungsfall ein und zeigen, wie eine konforme Lösung aussehen kann. Die erste Einschätzung ist kostenlos.

Erstgespräch vereinbaren →