Du schreibst in das KI-Werkzeug: "Formuliere eine Antwort an Herrn Müller, Kreditkartennummer 4532-XXXX-XXXX-1234, bezüglich seiner Reklamation vom 3. März." Dreißig Sekunden später hast Du eine höfliche Antwort. Aber Deine Kundendaten liegen jetzt auf dem Rechner eines fremden Unternehmens. Vielleicht in den USA. Vielleicht werden sie für das Training neuer Modelle verwendet. Du weißt es nicht, weil Du die Nutzungsbedingungen nicht gelesen hast. Und Herr Müller weiß es erst recht nicht.

Was passiert mit den Daten, die Du eingibst

Du tippst eine Anfrage in ein KI-Werkzeug und bekommst eine Antwort. Dazwischen passiert mehr, als Du siehst. Deine Eingabe wird an einen Rechner des Anbieters geschickt, dort verarbeitet und die Antwort zurückgesendet. Bei manchen Anbietern wird Deine Eingabe gespeichert und möglicherweise für die Weiterentwicklung des Modells verwendet.

Das bedeutet: Alles, was Du in das Eingabefeld schreibst, verlässt Deinen Rechner. Bei harmlosen Anfragen wie "Formuliere einen Geburtstagsgruß" ist das unproblematisch. Bei Kundennamen, Vertragsinhalten, Finanzdaten oder Geschäftsgeheimnissen ist es ein Problem.

Die erste Regel lautet deshalb: Behandle das Eingabefeld eines KI-Werkzeugs wie ein offenes Fenster. Alles, was Du hineinschreibst, könnte theoretisch von Fremden gelesen werden.

Drei Regeln, die Dich und Deine Kunden schützen

Du willst KI nutzen, ohne Datenschutzprobleme zu bekommen. Drei einfache Regeln reichen für den Alltag.

Regel eins: Keine personenbezogenen Daten eingeben. Namen, Adressen, Telefonnummern, Kontonummern, Vertragsinhalte, Gesundheitsdaten. All das gehört nicht in ein KI-Werkzeug, das Daten an externe Rechner schickt. Wenn Du einen Text über einen Kunden schreiben willst, ersetze den echten Namen durch einen Platzhalter. "Formuliere eine Antwort an [Kunde] bezüglich [Reklamation vom Datum]."

Regel zwei: Ergebnisse prüfen, bevor sie weitergehen. Ein KI-Werkzeug kann falsche Informationen überzeugend formulieren. Wenn Du einen Text ungeprüft an einen Kunden schickst und darin ein Fehler steckt, haftest Du. Nicht die KI.

Regel drei: Wissen, wo Deine Daten gespeichert werden. Prüfe in den Einstellungen Deines KI-Dienstes, ob Deine Eingaben gespeichert werden und ob Du das abschalten kannst. Viele Anbieter erlauben es, die Speicherung zu deaktivieren. Nutze diese Möglichkeit.

Was die Datenschutz-Grundverordnung verlangt

Du bist Unternehmer in Deutschland und verarbeitest Kundendaten. Die Datenschutz-Grundverordnung gilt für Dich, auch wenn Du KI-Werkzeuge nutzt.

Drei Punkte sind besonders wichtig:

Datenminimierung: Gib dem KI-Werkzeug nur die Daten, die es für die Aufgabe wirklich braucht. Nicht "zur Sicherheit" den gesamten Kundendatensatz, sondern nur die Information, die für den konkreten Text oder die konkrete Analyse nötig ist. Weniger Daten bedeuten weniger Risiko.

Auftragsverarbeitung: Wenn Du personenbezogene Daten über einen KI-Dienst verarbeitest, brauchst Du einen Vertrag zur Auftragsverarbeitung mit dem Anbieter. Die meisten großen Anbieter bieten das an. Ohne diesen Vertrag ist die Verarbeitung rechtswidrig.

Auskunftsrecht: Deine Kunden haben das Recht zu erfahren, welche Daten über sie verarbeitet werden. Wenn ein KI-Dienst Kundendaten speichert, musst Du das wissen und Deinen Kunden mitteilen können.

Das klingt aufwendig, lässt sich aber mit der ersten Regel fast vollständig vermeiden: Wenn Du keine personenbezogenen Daten eingibst, entstehen die meisten Datenschutzfragen gar nicht erst.

Vertrauliche Geschäftsinformationen schützen

Du arbeitest an einem Angebot für einen Großkunden und nutzt die KI, um den Text zu verbessern. Im Angebot stehen Preise, Konditionen und strategische Informationen. Sobald Du das in ein externes KI-Werkzeug eingibst, liegen diese Informationen auf einem fremden Rechner.

Für vertrauliche Geschäftsinformationen gibt es zwei sichere Wege:

Platzhalter verwenden: Ersetze Preise, Firmennamen und Konditionen durch allgemeine Begriffe. "Formuliere ein Angebot mit drei Preisstufen: [Betrag A], [Betrag B], [Betrag C] für [Kunde]." Die konkreten Zahlen fügst Du danach selbst ein.

Lokales Modell nutzen: Ein KI-Modell, das auf Deinem eigenen Rechner läuft, schickt keine Daten nach außen. Für die Bearbeitung vertraulicher Texte ist das die sicherste Lösung.

Warum Du KI-Ergebnissen nicht blind vertrauen darfst

Du fragst die KI nach einer rechtlichen Einschätzung und bekommst eine überzeugend formulierte Antwort. Sie klingt fachkundig, zitiert Paragraphen und empfiehlt eine Vorgehensweise. Aber der zitierte Paragraph existiert nicht. Die KI hat ihn erfunden.

Das passiert häufiger, als man denkt. KI-Werkzeuge erzeugen Texte, die plausibel klingen, aber sachlich falsch sein können. Bei Unterhaltungstexten ist das harmlos. Bei Rechtstexten, Finanzdaten oder Gesundheitsinformationen kann es teuer werden.

Die Faustregel: Je wichtiger die Entscheidung, desto gründlicher die Prüfung. Einen Geburtstagsgruß kannst Du ungeprüft abschicken. Ein Angebot, eine Kündigung oder eine Auskunft an eine Behörde verdienen einen zweiten Blick, bevor Du sie unterschreibst.

Was Dein Team wissen muss

Du hast die Regeln verstanden, aber Deine Mitarbeitenden nutzen das KI-Werkzeug auch. Wenn jemand aus Bequemlichkeit eine komplette Kundenliste in die KI kopiert, nützen Dir Deine eigenen Vorsichtsmaßnahmen nichts.

Eine kurze Richtlinie reicht für den Anfang. Ein Dokument, eine Seite, fünf Punkte:

• Keine echten Kundennamen, Adressen oder Kontonummern eingeben.
• Keine Verträge, Angebote oder Finanzdaten im Volltext eingeben.
• Jedes KI-Ergebnis vor der Weiterverwendung prüfen.
• Nur freigegebene KI-Dienste nutzen, keine privaten Werkzeuge für Firmenaufgaben.
• Bei Unsicherheit fragen, nicht raten.

Diese fünf Punkte lassen sich in einer Teambesprechung in zehn Minuten besprechen. Sie decken neunzig Prozent der Alltagssituationen ab.

Den richtigen Anbieter wählen

Du willst einen KI-Dienst nutzen, der Deine Daten ernst nimmt. Drei Fragen helfen Dir bei der Auswahl.

Wo werden die Daten verarbeitet? Ein Anbieter, der Daten in Europa verarbeitet, unterliegt der europäischen Datenschutz-Grundverordnung. Das gibt Dir mehr rechtliche Sicherheit als ein Anbieter, der Daten in Ländern mit schwächerem Datenschutz verarbeitet.

Werden Eingaben für das Training verwendet? Manche Anbieter nutzen Deine Eingaben, um ihre Modelle weiterzuentwickeln. Andere bieten die Möglichkeit, das abzuschalten. Bevorzuge Anbieter, die Dir diese Wahl lassen.

Gibt es einen Vertrag zur Auftragsverarbeitung? Für geschäftliche Nutzung mit personenbezogenen Daten ist dieser Vertrag Pflicht. Seriöse Anbieter stellen ihn bereit, oft als fertiges Formular auf ihrer Webseite.

Du musst kein Datenschutzexperte sein, um diese drei Fragen zu stellen. Die Antworten zeigen Dir schnell, ob ein Anbieter Dein Vertrauen verdient.