KI-Tools in Websites und Apps einzubauen kann sinnvoll sein. Aber sobald ein KI-Dienst Nutzerdaten verarbeitet, stellt sich die DSGVO-Frage.
Das grundlegende Problem
Die großen Anbieter sitzen in den USA, und Datentransfers dorthin sind nach der DSGVO nur unter bestimmten Bedingungen erlaubt. Sobald Ihre Website Nutzerdaten (auch nur eine IP-Adresse oder einen eingetippten Text) an einen US-Anbieter schickt, brauchen Sie dafür eine Rechtsgrundlage.
Die Optionen
- Einwilligung: der Nutzer stimmt aktiv zu, bevor seine Daten den Dienst erreichen. Passt für optionale Funktionen, nicht für solche, die beim Seitenaufruf automatisch laufen.
- Anonymisierung vor der Übertragung: werden keine personenbezogenen Daten gesendet, schrumpft das Problem deutlich.
- EU-Anbieter nutzen: Dienste mit EU-Servern und sauberem Setup sind für viele Fälle die unkomplizierteste Wahl.
- Selbst gehostete Modelle: alles läuft lokal, keine Drittanbieter, keine Transfers, oft die sauberste Lösung für sensible Daten.
In jedem Projekt mit KI kläre ich vorab: Welche Daten fließen wohin, auf welcher Rechtsgrundlage, und ist ein Auftragsverarbeitungsvertrag nötig und abgeschlossen? Das ist meist in einer halben Stunde geklärt und schützt vor Abmahnungen und Bußgeldern. Was sich für Ihren Betrieb lohnt, lesen Sie unter KI-Tools für kleine Unternehmen.
