5 Fragen, die Sie Ihrem KI-Anbieter Stellen Sollten

Vielleicht sind Sie es bereits gewohnt, die Bequemlichkeit von KI-Tools zu nutzen, um Herausforderungen im Alltag effizient zu bewältigen.

Doch wenn Sie als Unternehmerin oder Unternehmer innerhalb des Europäischen Wirtschaftsraums (EWR) tätig sind, sollten Sie beim Kauf von KI-Tools besonders auf fünf zentrale Fragen achten, die wir in dem folgenden Video für Sie zusammengestellt haben.

Video ansehen

Hier finden Sie eine Zusammenfassung der fünf wichtigsten Fragen:

1. Welche Daten werden an das Tool übermittelt?

Als Unternehmerin oder Unternehmer gelten Sie nach der DSGVO (Datenschutz-Grundverordnung) als verantwortliche Person für die Datenverarbeitung und müssen eine rechtmäßige Grundlage für die Verarbeitung von Kundendaten nachweisen. Das bedeutet, dass Sie beim Übermitteln von Daten an ein Tool besonders sorgfältig vorgehen müssen, um eine unbeabsichtigte Weitergabe personenbezogener Daten Ihrer Kundinnen und Kunden zu vermeiden.

Hier sind einige Szenarien, in denen Sie unbeabsichtigt personenbezogene Daten Ihrer Kundschaft weitergeben könnten:

1. Hochladen einer Datei zur Analyse

Sie laden eine Tabellenkalkulation in ein KI-Tool hoch, um Hilfe bei der Formatierung oder Analyse zu erhalten – vergessen dabei jedoch, dass sie Namen, E-Mail-Adressen, Telefonnummern oder Kaufhistorien Ihrer Kundschaft enthält.

Risiko: Personenbezogene Daten werden ohne Einwilligung oder rechtliche Grundlage offengelegt.

2. Nutzung von KI-Tools zur E-Mail-Erstellung

Sie fügen den vollständigen Inhalt einer Support-E-Mail in ein Tool ein, um Formulierungen zu verbessern oder eine Übersetzung zu erhalten – ohne zuvor sensible Informationen wie Name, Bestellnummer oder Adresse der Kundin bzw. des Kunden zu entfernen.

Risiko: Identifizierbare Kundendaten werden an ein Drittanbieter-Tool weitergegeben.

3. Teilen von Screenshots oder Aufzeichnungen

Sie senden einen Screenshot einer Software-Oberfläche oder eines Chatverlaufs an ein Tool, um Feedback oder Hilfe bei der Fehlerdiagnose zu erhalten – oder laden eine Aufzeichnung Ihres Gesprächs mit einer Kundin oder einem Kunden hoch, um eine Zusammenfassung zu erstellen – wobei jedoch sichtbare oder hörbare personenbezogene Informationen wie Namen, Nachrichten, E-Mail-Adressen oder Kontodaten enthalten sind.

Risiko: Sensible Daten werden unbeabsichtigt offengelegt.

4. Erstellen von Geschäftsberichten mit KI

Sie bitten ein KI-Tool darum, Ihren Verkaufsbericht zusammenzufassen, der einzelne Transaktionsdetails oder Rechnungsinformationen von Kundinnen und Kunden enthält.

Risiko: Selbst wenn die Daten anonymisiert sind, könnten Muster Rückschlüsse auf Einzelpersonen ermöglichen.

5. Training von Chatbots mit echten Gesprächen

Sie trainieren einen Chatbot mit echten Chatprotokollen zwischen Ihrem Support-Team und Kundinnen bzw. Kunden, vergessen jedoch, personenbezogene Daten zu anonymisieren.

Risiko: Verstoß gegen die DSGVO aufgrund fehlender Anonymisierung und Einwilligung.

2. Wo werden die Daten verarbeitet und gespeichert?

Wenn das Tool personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) speichert oder verarbeitet, müssen Sie anhand des Data Processing Agreements (DPA) oder der vom Anbieter bereitgestellten Informationen sicherstellen, dass geeignete Schutzmaßnahmen getroffen wurden.

Damit Sie einem DPA vertrauen und ein Tool bedenkenlos nutzen können, sollte das DPA mindestens folgende Punkte klar und transparent regeln:

Gegenstand und Dauer der Verarbeitung
- Welche Daten genau verarbeitet werden
- Für welchen Zweck und wie lange die Daten verarbeitet werden
Art und Zweck der Verarbeitung
- Welche konkreten Verarbeitungstätigkeiten durchgeführt werden (z.B. Speicherung, Analyse, Weiterleitung)
Pflichten und Rechte des Verantwortlichen
- Welche Verantwortlichkeiten Sie als Datenverantwortliche haben und wie das Tool Sie unterstützt
Pflichten des Auftragsverarbeiters (des Tool-Anbieters)

Sicherstellung der Vertraulichkeit und Integrität der Daten
Verpflichtung zur Einhaltung der DSGVO und anderer Datenschutzgesetze

Sicherheitsmaßnahmen
- Welche technischen und organisatorischen Maßnahmen zum Schutz der Daten implementiert sind (z.B. Verschlüsselung, Zugriffsbeschränkungen)
Unterauftragsverarbeiter
- Ob und welche Subprozessoren (Unterauftragnehmer) eingesetzt werden dürfen
- Regelungen zur Zustimmung und Kontrolle der Subprozessoren
Betroffenenrechte
- Unterstützung bei der Erfüllung von Betroffenenrechten (z.B. Auskunft, Löschung)
Meldung von Datenschutzverletzungen
- Verpflichtung zur unverzüglichen Meldung von Datenschutzvorfällen
Datenrückgabe und Löschung
- Regeln, wie und wann die Daten nach Vertragsende gelöscht oder zurückgegeben werden
Ort der Datenverarbeitung

Klare Angabe, in welchen Ländern die Daten verarbeitet und gespeichert werden

3. Welche Sicherheitsmaßnahmen sind vorhanden?

Um nachvollziehen zu können, wie die Daten geschützt werden, sollten Sie im DPA oder in einer separaten Sicherheitsdokumentation nach den folgenden Informationen suchen:

Verschlüsselung (Encryption):

Die Daten werden in „unleserliche Zeichen“ umgewandelt und können nur mit einem Schlüssel wieder lesbar gemacht werden. Selbst wenn ein Hacker die Daten stiehlt, kann er sie ohne den passenden Schlüssel nicht entschlüsseln.

Zugriffskontrolle (Access Control):

Hierbei wird festgelegt, wer die Daten einsehen oder bearbeiten darf. Nur autorisierte Personen erhalten Zugriff auf bestimmte Daten. Der Anbieter (Vendor) sollte in der Lage sein, diese Schutzmaßnahmen im Detail zu beschreiben oder entsprechende Informationssicherheitszertifikate – wie beispielsweise ISO 27001 oder einen SOC 2 Type II Audit Report – vorzulegen.

4. Können Nutzer ihre Einwilligung einfach widerrufen und ihre DSGVO-Rechte ausüben?

Prüfen Sie, ob der Anbieter klare und einfache Anweisungen bereitstellt, wie Nutzer:

ihre Einwilligung jederzeit widerrufen können
Einsicht in ihre gespeicherten Daten verlangen können
Änderungen an ihren Daten anfragen oder die Löschung ihrer personenbezogenen Daten beantragen können

Wo finden Sie diese Anweisungen normalerweise?

Datenschutzerklärung

Der Anbieter muss in klarer und verständlicher Sprache erklären, wie Nutzer ihre Rechte nach der DSGVO ausüben können, z. B. Einwilligung widerrufen, Daten einsehen, berichtigen oder löschen lassen.

Nutzungsbedingungen

Oft ergänzen die Nutzungsbedingungen die Datenschutzerklärung und enthalten Details zum Umgang mit Nutzerrechten.

Data Processing Agreement (DPA)

Dieses enthält vertragliche Regelungen zur Verarbeitung personenbezogener Daten, einschließlich der Verpflichtung, die Ausübung von Betroffenenrechten zu unterstützen.

Support- oder Help-Center

Manche Anbieter bieten FAQs oder Anleitungen an, wie Nutzer ihre Einwilligung widerrufen und ihre Datenschutzrechte wahrnehmen können.

Kontakt zum Datenschutzbeauftragten

Seriöse Anbieter nennen häufig einen Datenschutzbeauftragten, an den sich Nutzer zur Auskunft und zum Widerruf der Einwilligung wenden können.

Wenn diese Quellen keine klaren und einfachen Anweisungen enthalten, sollten Sie vorsichtig sein und den Anbieter kritisch hinterfragen.

5. Werden meine Daten für das Training der KI verwendet, und besteht die Möglichkeit, dem zu widersprechen?

Es ist wichtig, dass Sie die Möglichkeit haben, der Nutzung Ihrer Daten für das Training zu widersprechen und diese später aus den KI-Tools löschen zu lassen, da einige Tools Ihre Daten standardmäßig zur Verbesserung ihrer KI-Modelle verwenden.

Normalerweise können Sie an folgenden Stellen herausfinden, ob Sie der Nutzung Ihrer Daten für das Training von KI-Modellen widersprechen können und wie Sie eine Löschung Ihrer Daten beantragen:

Datenschutzerklärung

Anbieter informieren hier oft darüber, ob und wie Nutzerdaten für Trainingszwecke verwendet werden und ob Sie dem widersprechen können.

Einstellungen im Benutzerkonto

Manche Tools bieten in den Profileinstellungen oder Datenschutz-Einstellungen eine Möglichkeit zum Opt-out für das Training an.

Nutzungsbedingungen

Dort können ebenfalls Hinweise stehen, wie die Daten verwendet werden und ob es Möglichkeiten zum Widerspruch gibt.

Support- oder Help-Center / FAQ

Oft werden hier Fragen zur Datenverwendung und zum Widerruf beantwortet.

Kontakt zum Datenschutzbeauftragten oder Kundenservice

Wenn keine direkte Option sichtbar ist, können Sie hier gezielt nachfragen und eine Löschung oder das Opt-out beantragen.

Wenn Sie in diesen Quellen keine entsprechenden Hinweise finden, sollten Sie den Anbieter kritisch hinterfragen.

Fazit

Bevor Sie ein KI-Tool kaufen, sollten Sie stets zuerst diese Fragen stellen – zum Schutz nicht nur Ihrer eigenen Daten, sondern auch der Daten Ihrer Kundinnen und Kunden. Sie können die wichtigsten Punkte und entsprechenden Vorgehensweisen, die wir für Sie zusammengefasst haben, nutzen, um Informationssicherheitsfragen besser zu handhaben.

Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn gerne mit Ihren Kolleginnen und Kollegen. Bleiben Sie sicher im Netz!

Neugierig, wie KI-Agenten Ihr Unternehmen voranbringen können? Lassen Sie uns gemeinsam herausfinden, welches Potenzial in Ihrer Idee steckt.

Sehen Sie sich unseren Gen AI Service an

FAQ

1. Was ist DSGVO?

DSGVO steht für Datenschutz-Grundverordnung (auf Englisch: GDPR – General Data Protection Regulation). Es handelt sich um eine EU-Verordnung, die seit dem 25. Mai 2018 gilt und in allen Mitgliedstaaten direkt anwendbar ist.

Ziel der DSGVO:

Die DSGVO schützt die Grundrechte und -freiheiten von Personen, insbesondere das Recht auf Schutz personenbezogener Daten.

Was regelt die DSGVO?

Die DSGVO legt Regeln fest für:

Erhebung, Speicherung, Verarbeitung und Weitergabe personenbezogener Daten
Die Rechte von betroffenen Personen, z.B.:
- Auskunftsrecht
- Recht auf Löschung („Recht auf Vergessenwerden“)
- Recht auf Datenübertragbarkeit
Die Pflichten von Unternehmen, z.B.:
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- Meldepflicht bei Datenpannen (innerhalb von 72 Stunden)
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten
- Bestellung eines Datenschutzbeauftragten (unter bestimmten Voraussetzungen)
Sanktionen bei Verstößen:
- Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist.

Für wen gilt die DSGVO?

Für alle Unternehmen und Organisationen, die personenbezogene Daten von Personen in der EU verarbeiten – egal ob sie selbst in der EU ansässig sind oder nicht.

2. Was ist ein DPA?

Ein Data Processing Agreement (DPA) ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der die Verarbeitung personenbezogener Daten gemäß der DSGVO regelt.

3. Was ist ISO 27001?

ISO 27001 ist ein internationaler Standard, der die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) festlegt. Sein Hauptzweck ist es, Organisationen dabei zu unterstützen, die Sicherheit ihrer Informationswerte systematisch und effektiv zu verwalten und sie vor Bedrohungen wie Datenverletzungen, Cyberangriffen oder versehentlichem Datenverlust zu schützen.

Wichtige Punkte zu ISO 27001:

Es bietet einen risikobasierten Ansatz für die Informationssicherheit.
Organisationen, die nach ISO 27001 zertifiziert sind, zeigen, dass sie bewährte Verfahren zum Schutz sensibler Daten einhalten.
Die Zertifizierung ist weltweit anerkannt und wird häufig von Kunden oder Partnern zur Sicherstellung des Datenschutzes verlangt.
Sie umfasst die Menschen, Prozesse und IT-Systeme, die an der Verwaltung der Informationssicherheit beteiligt sind.

4. Was ist ein SOC 2 Type II Audit Report?

Ein SOC 2 Type II Audit Report ist eine detaillierte Prüfung durch eine unabhängige Drittpartei, die bewertet, wie gut ein Dienstleister Kundendaten über einen bestimmten Zeitraum hinweg verwaltet und schützt. Der Fokus liegt speziell auf Kontrollen in den Bereichen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Zur Erläuterung:

SOC 2 steht für System and Organization Controls 2, einen Standard, der vom American Institute of CPAs (AICPA) entwickelt wurde.
Es bewertet die Kontrollen einer Organisation basierend auf den Trust Services Criteria, die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz umfassen.
Type II bedeutet, dass die Prüfung nicht nur das Design der Kontrollen beurteilt, sondern auch deren operative Wirksamkeit über einen bestimmten Zeitraum (in der Regel 6 bis 12 Monate) testet.
Der Bericht bietet die Zusicherung, dass der Dienstleister konsequent strenge Datenschutzmaßnahmen umsetzt und einhält.