Typisch betroffen
- Praxen und Kliniken im Gesundheitsbereich
- Kanzleien und Rechtsabteilungen
- Steuerberatung und Wirtschaftsprüfung
- weitere Berufe mit gesetzlicher Verschwiegenheit
DSGVO-konforme KI heißt, dass eine Anwendung die Vorgaben zum Datenschutz, den EU AI Act und, wo einschlägig, berufliche Verschwiegenheitspflichten berücksichtigt. Wir bauen Anwendungen so, dass diese Anforderungen von Beginn an eingeplant sind, statt sie im Nachhinein zu ergänzen.
Wo eine KI läuft und welches Modell sie nutzt, sind technische Fragen. Ob ihr Einsatz zulässig ist, ist eine rechtliche. Diese Seite beschreibt, welche Vorgaben dabei eine Rolle spielen und wie eine Anwendung gebaut sein muss, damit diese Vorgaben eingehalten werden.
Wo die Anwendung läuft, beschreibt die Seite zu On-Premises KI. Welches Modell zum Einsatz kommt, behandelt die Seite zu Private LLM. Beide Themen greifen hier ineinander, denn der Betrieb im eigenen Haus ist oft der einfachste Weg zur rechtlichen Zulässigkeit.
Die folgenden Ausführungen sind eine allgemeine Einordnung und ersetzen keine Rechtsberatung. Die konkrete Bewertung im Einzelfall erfolgt in Abstimmung mit Ihren zuständigen Stellen.
Verarbeitet eine Anwendung personenbezogene Daten, gilt die Datenschutz-Grundverordnung. Sie verlangt vor allem eine Rechtsgrundlage für die Verarbeitung, eine sichere Handhabung der Daten und Transparenz darüber, was mit ihnen geschieht.
| Anforderung | Was das bedeutet |
|---|---|
| Rechtsgrundlage | Für jede Verarbeitung personenbezogener Daten muss ein rechtlicher Grund vorliegen, etwa eine Einwilligung oder ein berechtigtes Interesse. |
| Datensparsamkeit | Es werden nur die Daten verarbeitet, die für den Zweck erforderlich sind. |
| Sicherheit | Die Daten werden vor unbefugtem Zugriff geschützt, im Betrieb und bei der Übertragung. |
| Ort der Verarbeitung | Werden Daten außerhalb der EU verarbeitet, gelten zusätzliche Anforderungen. Ein Betrieb im eigenen Haus vermeidet diese Frage. |
Viele bekannte KI-Dienste werden von US-Unternehmen betrieben. Hier kommt der US Cloud Act ins Spiel. Er erlaubt US-Behörden, unter bestimmten Voraussetzungen Zugriff auf Daten zu verlangen, die von US-Unternehmen verarbeitet werden, auch dann, wenn diese Daten auf Servern in Europa liegen.
Für Unternehmen entsteht daraus ein Spannungsfeld: Die DSGVO schützt personenbezogene Daten, während eine ausländische Regelung Zugriff darauf ermöglichen kann. Wer sensible Daten verarbeitet, sollte deshalb genau prüfen, wo und von wem eine Anwendung betrieben wird.
Eine Anwendung, die auf der eigenen Infrastruktur läuft und keine Daten an externe Dienste weitergibt, ist von dieser Frage nicht betroffen. Die Daten bleiben im Haus und unterliegen allein dem europäischen Recht. Details zum Betrieb im Haus stehen auf der Seite zu On-Premises KI.
Der EU AI Act ist der europäische Rechtsrahmen für künstliche Intelligenz. Er ordnet Anwendungen nach ihrem Risiko in Klassen ein und knüpft daran unterschiedliche Pflichten. Die meisten Anwendungen im geschäftlichen Alltag fallen in eine niedrige Klasse.
| Risikoklasse | Beispiele | Folge |
|---|---|---|
| Unannehmbares Risiko | Anwendungen, die grundlegende Rechte verletzen | Nicht erlaubt |
| Hohes Risiko | Anwendungen in sensiblen Bereichen, etwa bei Personalentscheidungen | Umfangreiche Pflichten und Dokumentation |
| Begrenztes Risiko | Assistenzsysteme und Chat-Anwendungen | Transparenzpflichten |
| Geringes Risiko | Die meisten internen Werkzeuge | Kaum zusätzliche Pflichten |
Wir ordnen Ihren Anwendungsfall in die passende Klasse ein und leiten daraus die konkreten Anforderungen ab. So wissen Sie von Beginn an, welche Pflichten für Ihre Anwendung gelten.
Für einige Berufe gilt eine gesetzliche Schweigepflicht. §203 StGB stellt die unbefugte Weitergabe fremder Geheimnisse unter Strafe. Betroffen sind unter anderem Ärzte, Anwälte, Steuerberater und weitere Berufe, die mit besonders schutzwürdigen Informationen arbeiten.
Wird bei der Arbeit mit solchen Informationen ein externer Dienst eingesetzt, kann dies bereits eine Weitergabe an Dritte darstellen. Das ist nur unter engen Voraussetzungen zulässig. Eine Anwendung, die im eigenen Haus läuft und keine Daten nach außen gibt, vermeidet diese Weitergabe von vornherein.
Wir berücksichtigen die rechtlichen Anforderungen bereits beim Entwurf der Anwendung. So entsteht keine Lösung, die im Nachhinein aufwendig angepasst werden muss.
Wir bestimmen, welche Daten verarbeitet werden und welche Vorgaben daraus folgen.
Die Architektur wird so gewählt, dass Daten im Haus bleiben und der Zugriff nachvollziehbar ist.
Die Anwendung wird gebaut und die getroffenen Maßnahmen dokumentiert.
Wir arbeiten mit Ihren zuständigen Stellen zusammen, etwa dem Datenschutzbeauftragten.
Ja, wenn die Verarbeitung personenbezogener Daten eine Rechtsgrundlage hat, die Daten sicher verarbeitet werden und nicht ohne Grund in Drittstaaten gelangen. Eine Anwendung, die auf der eigenen Infrastruktur läuft, erfüllt diese Anforderungen leichter, weil die Daten das Haus nicht verlassen.
Der US Cloud Act erlaubt US-Behörden, unter bestimmten Voraussetzungen Zugriff auf Daten zu verlangen, die von US-Unternehmen verarbeitet werden, auch wenn diese Daten in Europa liegen. Das kann im Widerspruch zur DSGVO stehen. Eine Anwendung im eigenen Haus ist davon nicht betroffen.
Der EU AI Act ordnet KI-Anwendungen nach ihrem Risiko in Klassen ein und knüpft daran Pflichten. Die meisten Geschäftsanwendungen fallen in eine niedrige Risikoklasse. Wir ordnen Ihren Anwendungsfall ein und leiten die passenden Anforderungen ab.
Für Ärzte, Anwälte, Steuerberater und weitere Berufe gilt die Verschwiegenheitspflicht nach §203 StGB. Werden dabei externe Dienste eingesetzt, sind besondere Anforderungen zu beachten. Ein Betrieb im eigenen Haus vermeidet die Weitergabe geschützter Daten an Dritte.
Im Erstgespräch ordnen wir Ihren Anwendungsfall ein und zeigen, wie eine konforme Lösung aussehen kann. Die erste Einschätzung ist kostenlos.
Erstgespräch vereinbaren →