DSGVO und KI-Chatbots: Ein Leitfaden für europäische Nutzer

DSGVO-Grundlagen: Eine kurze Auffrischung

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 der Eckpfeiler des Datenschutzes in Europa. Sie regelt, wie Organisationen personenbezogene Daten von Personen im Europäischen Wirtschaftsraum (EWR) erheben, speichern, verarbeiten und übertragen. Personenbezogene Daten umfassen alle Informationen, die eine Person direkt oder indirekt identifizieren können: Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen, Gesundheitsdaten, Finanzdaten und mehr.

Die DSGVO basiert auf mehreren Grundprinzipien: Rechtmäßigkeit und Transparenz (Sie brauchen eine Rechtsgrundlage und müssen Betroffene über die Datenverwendung informieren), Zweckbindung (Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden), Datenminimierung (nur erheben, was nötig ist) und Speicherbegrenzung (Daten nicht länger als nötig aufbewahren). Verstöße können zu Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes führen — je nachdem, welcher Betrag höher ist.

Wie KI-Chatbots Ihre Daten verarbeiten

Wenn Sie einen Prompt in ChatGPT, Claude, Gemini oder einen anderen KI-Chatbot eingeben, wird der eingegebene Text an entfernte Server des KI-Anbieters gesendet. Je nach Anbieter und Ihren Kontoeinstellungen können diese Daten:

• Auf Servern gespeichert werden — für einen bestimmten Zeitraum, manchmal unbefristet, in Gesprächsprotokollen.
• Für das Modelltraining verwendet werden, es sei denn, Sie widersprechen ausdrücklich (und nicht alle Anbieter bieten diese Option).
• Von menschlichen Prüfern eingesehen werden — zu Qualitätssicherungs- und Sicherheitszwecken.
• International übertragen werden, oft an Rechenzentren außerhalb des EWR, typischerweise in den USA.

Jede dieser Aktivitäten löst spezifische Pflichten nach der DSGVO aus. Sobald personenbezogene Daten einer EU-Person in einen Prompt eingehen, greift die gesamte Verordnung.

Sind Sie ein Verantwortlicher?

Das ist die entscheidende Frage, die die meisten Fachleute übersehen. Nach der DSGVO ist der Verantwortliche die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Wenn Sie beschließen, die E-Mail eines Kunden, die Krankengeschichte eines Patienten oder die Beschwerde eines Kunden in einen KI-Chatbot einzufügen, handeln Sie (oder Ihre Organisation) als Verantwortlicher für diese Verarbeitungstätigkeit.

Der KI-Anbieter (OpenAI, Anthropic, Google usw.) fungiert in diesem Szenario als Auftragsverarbeiter. Aber als Verantwortlicher liegt die primäre Compliance-Last bei Ihnen. Sie brauchen eine Rechtsgrundlage für die Verarbeitung, müssen angemessene Schutzmaßnahmen gewährleisten und sind verantwortlich, wenn etwas schiefgeht.

Einfach ausgedrückt: Die Tatsache, dass der KI-Anbieter seine eigene Datenschutzerklärung hat, entbindet Sie nicht von Ihren DSGVO-Pflichten. Sie haben die Entscheidung getroffen, die Daten dorthin zu senden, und das macht Sie verantwortlich.

Die Risiken bei der Weitergabe von Kundendaten an KI

Das Einfügen personenbezogener Daten in KI-Chatbots birgt aus DSGVO-Perspektive mehrere konkrete Risiken:

Unerlaubte internationale Datenübertragungen

Die meisten KI-Anbieter verarbeiten Daten in den USA. Seit dem Schrems-II-Urteil erfordert die Übertragung personenbezogener Daten in die USA spezifische Schutzmaßnahmen wie Standardvertragsklauseln (SCCs) in Verbindung mit ergänzenden Maßnahmen. Die bloße Nutzung von ChatGPT ohne einen ordnungsgemäßen Auftragsverarbeitungsvertrag (AVV) kann eine rechtswidrige Übertragung darstellen.

Kontrollverlust über Daten

Sobald Daten an einen KI-Anbieter gesendet werden, haben Sie nur begrenzte Einblicke, wie sie gespeichert werden, wer darauf zugreift und ob sie für das Training verwendet werden. Das widerspricht dem DSGVO-Grundsatz der Rechenschaftspflicht, der verlangt, dass Sie die Einhaltung in jedem Schritt nachweisen können.

Verletzung von Vertraulichkeitspflichten

Anwälte, Ärzte, Steuerberater und Personalverantwortliche sind oft an die Berufsverschwiegenheit gebunden. Die Weitergabe von Mandanten- oder Patientendaten an einen Drittanbieter-KI-Dienst kann nicht nur gegen die DSGVO, sondern auch gegen branchenspezifische Vorschriften und berufsrechtliche Verhaltensregeln verstoßen.

Keine gültige Rechtsgrundlage

Hat die betroffene Person der Verarbeitung ihrer personenbezogenen Daten durch ein KI-System zugestimmt? In den meisten Fällen lautet die Antwort nein. Die ursprüngliche Einwilligung oder das berechtigte Interesse, das die Datenerhebung gerechtfertigt hat, deckt selten das Senden an einen KI-Chatbot zur Analyse oder Zusammenfassung ab.

Praktische Schritte für DSGVO-konforme KI-Nutzung

Konformität bedeutet nicht, KI gänzlich zu meiden. Es bedeutet, bewusst mit ihr umzugehen. Hier sind umsetzbare Schritte:

1. Vor dem Senden anonymisieren. Entfernen oder ersetzen Sie alle personenbezogenen Kennungen (Namen, E-Mails, Telefonnummern, Adressen, Geburtsdaten) aus Ihren Prompts, bevor Sie sie absenden. Das ist die wirksamste Einzelmaßnahme.
2. Den AVV des Anbieters prüfen. Nutzen Sie nur KI-Tools von Anbietern, die einen DSGVO-konformen Auftragsverarbeitungsvertrag anbieten. Prüfen Sie deren Unterauftragnehmer, Aufbewahrungsrichtlinien und Übertragungsmechanismen.
3. Training mit Ihren Daten deaktivieren. Widersprechen Sie nach Möglichkeit der Verwendung Ihrer Eingaben für das Modelltraining. Sowohl OpenAI als auch Anthropic bieten diese Option für Geschäftskonten.
4. Enterprise- oder API-Tarife nutzen. Business-Tarife bieten in der Regel stärkere Datenschutzzusagen, kürzere Speicherfristen und standardmäßig kein Training mit Ihren Daten.
5. Ein Verarbeitungsverzeichnis führen. Dokumentieren Sie die Nutzung von KI-Tools in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Artikel 30 DSGVO. Geben Sie den Zweck, die Datenkategorien und die Schutzmaßnahmen an.
6. Ihr Team schulen. Stellen Sie sicher, dass jeder, der KI-Tools nutzt, versteht, was personenbezogene Daten sind und warum sie niemals ohne vorherige Anonymisierung in einen Chatbot eingefügt werden sollten.

Datenschutz-Folgenabschätzungen (DSFA)

Nach Artikel 35 DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die Nutzung von KI-Chatbots zur Verarbeitung personenbezogener Daten, insbesondere sensibler Kategorien wie Gesundheitsdaten, Rechtsunterlagen oder Finanzinformationen, erfüllt diese Voraussetzung mit hoher Wahrscheinlichkeit.

Eine DSFA sollte umfassen:

• Eine systematische Beschreibung der Verarbeitung (welche Daten, welche KI-Tools, welcher Zweck).
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit (brauchen Sie wirklich KI dafür?).
• Eine Bewertung der Risiken für die Betroffenen (Datenlecks, unbefugter Zugriff, Modelltraining).
• Maßnahmen zur Minderung dieser Risiken (Anonymisierung, AVVs, Zugriffskontrollen, Widerspruchsoptionen).

Wenn Ihre Organisation regelmäßig KI-Chatbots nutzt und noch keine DSFA durchgeführt hat, sind Sie wahrscheinlich bereits nicht konform. Viele Datenschutzaufsichtsbehörden in Europa haben KI-Tools als vorrangiges Durchsetzungsgebiet für 2026 eingestuft.

Die einfachste Lösung: An der Quelle anonymisieren

Die meisten DSGVO-Risiken im Zusammenhang mit KI-Chatbots verschwinden, wenn personenbezogene Daten den KI-Anbieter gar nicht erst erreichen. Wenn Ihr Prompt keine Namen, keine E-Mail-Adressen, keine Telefonnummern und keine identifizierenden Informationen enthält, gelten die DSGVO-Verarbeitungsregeln für diese Interaktion nicht.

Genau diesen Ansatz verfolgt Private Prompt. Es handelt sich um eine schlanke Browser-Erweiterung, die personenbezogene Daten in Ihren Prompts automatisch erkennt und ersetzt, bevor sie an einen KI-Chatbot gesendet werden. Die Anonymisierung erfolgt vollständig in Ihrem Browser — sensible Daten verlassen Ihr Gerät also nie. Wenn die KI antwortet, stellt Private Prompt die Originalwerte wieder her, sodass Ihr Arbeitsablauf nahtlos bleibt.

Indem personenbezogene Daten an der Quelle entfernt werden, entfällt die Notwendigkeit komplexer AVVs für die gelegentliche Nutzung, der Umfang Ihrer DSFA wird reduziert und Ihr Team erhält ein praktisches Werkzeug, das Konformität zum Standard macht — statt zu einem nachträglichen Gedanken.