Sind meine Geschäftsdaten in der KI sicher? Was Sie als Unternehmer:in wirklich wissen müssen

Wenn wir mit Unternehmer:innen über künstliche Intelligenz sprechen, kommt fast immer dieselbe Frage – meist erst zögerlich, dann sehr direkt:

„Was passiert eigentlich mit meinen Daten, wenn ich KI einsetze? Landen meine Kundenlisten, Angebote oder E-Mails irgendwo in einem amerikanischen Rechenzentrum – und trainiert OpenAI dann seine nächste KI damit?"

Die kurze Antwort vorweg

Ja, KI lässt sich in Ihrem Unternehmen datenschutzkonform einsetzen. Es kommt aber entscheidend darauf an, wie sie eingerichtet ist. Eine schlecht konfigurierte KI-Lösung kann tatsächlich Daten preisgeben. Eine richtig aufgesetzte Lösung gibt Ihnen drei zentrale Garantien:

1. Ihre Daten werden nicht zum Training von KI-Modellen verwendet.
2. Ihre Daten werden nicht dauerhaft gespeichert (Stichwort: „Zero Data Retention").
3. Ihre Daten werden nicht an Dritte weitergegeben und bleiben – wo immer möglich – innerhalb der EU.

Genau diese drei Punkte sind der Kern unserer Arbeit. Schauen wir uns an, was dahintersteckt.

Was passiert überhaupt mit Ihren Daten?

Stellen Sie sich eine moderne KI wie einen extrem fähigen externen Spezialisten vor. Sie schicken ihm eine Frage oder ein Dokument („Bitte fasse dieses Angebot zusammen" oder „Beantworte diese Kundenanfrage"). Er bearbeitet die Aufgabe und schickt Ihnen das Ergebnis zurück.

Die entscheidenden Fragen für den Datenschutz sind dabei:

• Behält dieser Spezialist eine Kopie Ihrer Unterlagen?
• Lernt er aus Ihren Unterlagen für andere Kunden?
• In welchem Land sitzt er – und welche Gesetze gelten dort?
• Gibt er Ihre Unterlagen an noch jemand anderen weiter?

Bei einem privat genutzten Gratis-Chatbot lauten die Antworten oft: ja, ja, USA, möglicherweise. Bei einer professionell eingerichteten Geschäftslösung, wie wir sie bauen, lauten sie: nein, nein, EU, nein.

Der Unterschied liegt nicht in der KI selbst, sondern in der Vertragsgestaltung, der technischen Konfiguration und der Architektur rundherum. Und genau das ist unsere Aufgabe.

Garantie 1: Ihre Daten trainieren keine fremde KI

Das ist die häufigste Sorge – und die am leichtesten auszuräumende.

Die großen Anbieter (OpenAI, Anthropic, Microsoft, Amazon) unterscheiden klar zwischen ihren kostenlosen Privatprodukten und ihren geschäftlichen Schnittstellen (den sogenannten APIs, über die wir als Dienstleister arbeiten).

Über die geschäftlichen Schnittstellen gilt bei allen seriösen Anbietern: Ihre Eingaben werden standardmäßig nicht zum Training der Modelle verwendet. Das ist nicht bloß ein Versprechen auf einer Marketing-Folie, sondern vertraglich zugesichert – in einem Dokument, das „Auftragsverarbeitungsvertrag" heißt (dazu gleich mehr).

Wichtig zu verstehen: Die kostenlose Version von ChatGPT, die Ihre Mitarbeiter:innen vielleicht privat nutzen, verhält sich anders als die geschäftliche Anbindung. Deshalb gehört zu unserer Beratung immer auch eine klare Richtlinie, welche Werkzeuge im Unternehmen genutzt werden dürfen – damit niemand versehentlich sensible Daten in ein privates Gratis-Tool eingibt.

Garantie 2: Ihre Daten werden nicht gespeichert (Zero Data Retention)

Standardmäßig speichern manche Anbieter Ihre Anfragen für eine kurze Zeit zwischen – meist 7 bis 30 Tage – um Missbrauch (etwa illegale Inhalte) zu erkennen. Danach werden sie gelöscht.

Für Unternehmen, die auf Nummer sicher gehen wollen, gibt es eine stärkere Stufe: „Zero Data Retention" (auf Deutsch etwa „null Datenspeicherung"). Das bedeutet, dass Ihre Anfrage gar nicht erst dauerhaft abgelegt wird. Sie wird bearbeitet, das Ergebnis kommt zurück – und danach existiert die Anfrage auf den Servern des Anbieters schlicht nicht mehr.

Wir richten Ihre Lösung – wo immer es für Ihren Anwendungsfall möglich und sinnvoll ist – in genau diesem Modus ein. Bei mehreren Anbietern muss dieser Modus eigens beantragt und freigeschaltet werden; wir kümmern uns um diesen Prozess für Sie.

Ein wichtiger, ehrlicher Hinweis: „Zero Data Retention" beim KI-Anbieter bedeutet noch nicht automatisch, dass nirgendwo Daten liegen. Eine KI-Anwendung besteht aus vielen Bausteinen – nicht nur dem KI-Modell selbst. Genau deshalb betrachten wir die gesamte Kette. Mehr dazu im Abschnitt über „agentische" Systeme weiter unten.

Garantie 3: Ihre Daten bleiben in der EU – und gehen nicht an Dritte

Hier wird es rechtlich interessant. Viele KI-Anbieter haben ihren Hauptsitz in den USA, und das amerikanische Recht erlaubt Behörden unter Umständen weitreichende Zugriffe. Das ist der Kern dessen, was Jurist:innen unter „Schrems II" diskutieren – benannt nach dem österreichischen Datenschützer Max Schrems.

Wir lösen das auf drei Ebenen:

1. EU-Datenresidenz. Wir wählen, wo immer möglich, Rechenzentren innerhalb der EU (etwa in Frankfurt, Irland oder Paris). Ihre Daten werden dann physisch in Europa verarbeitet und gespeichert. Microsoft (Azure) und Amazon (AWS) bieten das als reine Standortwahl an – Ihre Daten verlassen die EU nicht.

2. Rechtliche Absicherung für jeden Fall. Sollte eine Verarbeitung doch einmal die EU verlassen müssen, sichern wir das mit den dafür vorgesehenen rechtlichen Instrumenten ab (dem „EU-US Data Privacy Framework" bzw. den „Standardvertragsklauseln" der EU-Kommission) – inklusive einer dokumentierten Risikoabwägung. So sind Sie auch dann auf der sicheren Seite, wenn sich die Rechtslage ändert.

3. Europäische Alternativen. Für Kund:innen mit besonders hohen Anforderungen setzen wir auf europäische Anbieter wie Mistral (Frankreich), IONOS oder OVHcloud (Deutschland/Frankreich) oder Scaleway. Diese Unternehmen sitzen in der EU, unterliegen ausschließlich europäischem Recht – und die Frage nach einem Datentransfer in die USA stellt sich gar nicht erst.

Und an Dritte? Ihre Daten werden nicht an andere Kunden, Werbepartner oder sonstige Dritte weitergegeben. Das ist bei allen von uns eingesetzten Geschäftslösungen vertraglich ausgeschlossen.

Welche Gesetze gelten – und wer ist wofür verantwortlich?

Keine Sorge, wir machen daraus keine Juravorlesung. Aber zwei Begriffe sollten Sie kennen, weil sie das Fundament Ihrer Sicherheit bilden.

Die DSGVO und Ihre Rolle

Sobald in Ihren Daten Personen vorkommen – Kundennamen, E-Mail-Adressen, Mitarbeiterdaten – gilt die Datenschutz-Grundverordnung (DSGVO), in Österreich ergänzt durch das Datenschutzgesetz (DSG). Überwacht wird das von der österreichischen Datenschutzbehörde (DSB) in Wien.

Dabei gibt es klare Rollen:

• Sie sind „Verantwortlicher". Sie entscheiden, warum und wofür Daten verarbeitet werden. Es sind Ihre Daten und Ihre Geschäftszwecke.
• Wir sind Ihr „Auftragsverarbeiter". Wir verarbeiten die Daten ausschließlich in Ihrem Auftrag und nach Ihren Weisungen – wie ein externer Buchhalter oder ein Steuerberater, nur eben für KI.
• Die KI-Anbieter sind unsere „Subauftragsverarbeiter". Sie stehen am Ende der Kette und sind ebenfalls vertraglich gebunden.

Der Auftragsverarbeitungsvertrag (AVV)

Diese Kette wird durch einen Auftragsverarbeitungsvertrag (AVV) abgesichert – ein von der DSGVO vorgeschriebenes Dokument, das wir mit Ihnen abschließen. Darin steht schwarz auf weiß:

• welche Daten wir für Sie verarbeiten und zu welchem Zweck,
• dass wir nur auf Ihre Weisung handeln,
• welche technischen und organisatorischen Schutzmaßnahmen wir treffen,
• welche Subauftragsverarbeiter (also welche KI-Anbieter) wir einsetzen,
• und dass Ihre Daten am Ende der Zusammenarbeit gelöscht oder zurückgegeben werden.

Sie bekommen damit ein rechtsverbindliches Dokument in die Hand, das Sie auch Ihrer eigenen Datenschutzaufsicht oder Ihren Kund:innen vorlegen können.

Die Datenschutz-Folgenabschätzung (DSFA)

Bei sensibleren Anwendungen – etwa wenn es um Personalentscheidungen, Bewertungen von Personen oder große Mengen heikler Daten geht – verlangt die DSGVO zusätzlich eine Datenschutz-Folgenabschätzung (DSFA). Das ist eine strukturierte Risikoprüfung, die vor dem Start durchgeführt werden muss. Wir erstellen sie gemeinsam mit Ihnen – das ist einer der häufigsten Punkte, an denen Unternehmen ohne fachliche Begleitung stolpern.

Und der neue EU AI Act?

Seit 2024 gibt es zusätzlich die KI-Verordnung der EU (EU AI Act), die schrittweise in Kraft tritt. Für die meisten Anwendungen bei kleinen und mittleren Unternehmen ist sie gut beherrschbar. Zwei Punkte sind für Sie relevant:

• Transparenz: Ab August 2026 müssen Menschen erkennen können, dass sie mit einer KI sprechen (etwa bei einem Chatbot), und KI-erzeugte Inhalte müssen entsprechend gekennzeichnet sein. Das bauen wir von vornherein in Ihre Lösung ein.
• Risikoeinstufung: Die meisten Büro- und Automatisierungsaufgaben (Texte zusammenfassen, E-Mails vorbereiten, Daten sortieren) gelten als risikoarm. Nur bestimmte sensible Einsatzbereiche (z. B. Personalauswahl oder Kreditentscheidungen) unterliegen strengeren Regeln – auch das prüfen wir für Sie und ordnen Ihre Anwendung sauber ein.

Die gute Nachricht: Die schweren Pflichten treffen vor allem die Hersteller der großen KI-Modelle, nicht Sie als Anwender:in.

Wie schützen wir Ihre Daten technisch? (In einfachen Worten)

Verträge sind die eine Hälfte. Die andere Hälfte ist die Technik. Hier sind die wichtigsten Schutzmechanismen, die wir in jede Lösung einbauen – verständlich erklärt:

Verschlüsselung. Ihre Daten sind auf dem Transportweg und bei der Speicherung verschlüsselt – wie ein versiegelter Brief, den nur der richtige Empfänger öffnen kann.

Datensparsamkeit und Pseudonymisierung. Oft braucht die KI gar nicht zu wissen, wer jemand ist, sondern nur, worum es geht. Deshalb setzen wir – wo sinnvoll – eine Art automatischen „Schwärzungsfilter" davor: Namen, Adressen oder Kundennummern werden vordem Versand an die KI durch Platzhalter ersetzt und erst im fertigen Ergebnis wieder eingesetzt. Die KI sieht dann z. B. „Kunde A" statt „Frau Maria Huber, Hauptstraße 5". So verlassen personenbezogene Daten Ihr Haus im Idealfall gar nicht erst im Klartext.

EU-Standortbindung. Jeder Baustein der Lösung – nicht nur die KI, sondern auch Datenbanken und Speicher – wird auf europäische Standorte festgelegt.

Strenge Zugriffskontrolle und kurze Aufbewahrung. Nur befugte Personen und Systeme kommen an die Daten heran, und wir setzen klare Löschfristen. Was nicht gebraucht wird, wird nicht aufbewahrt.

Der besondere Punkt bei „agentischen" KI-Lösungen

Wir bauen nicht einfach nur einen Chatbot. Wir bauen agentische Systeme – KI, die mehrere Schritte selbstständig erledigt: Informationen nachschlagen, Dokumente abrufen, Werkzeuge bedienen, Teilaufgaben an spezialisierte Hilfs-KIs delegieren.

Das ist mächtig – aber datenschutzrechtlich anspruchsvoll, und hier zeigt sich echte Expertise. Denn: Selbst wenn das KI-Modell selbst nichts speichert, fließen Ihre Daten in einem solchen System durch viele Stationen – ein Gedächtnis, eine Wissensdatenbank, verschiedene Werkzeuge. Jede dieser Stationen könnte theoretisch Daten zurückbehalten.

Unser Ansatz: Wir betrachten die gesamte Kette, nicht nur das KI-Modell. Wir stellen sicher, dass

• jeder einzelne Baustein denselben Schutzstandard erfüllt (EU-Standort, keine unnötige Speicherung),
• jeder externe Dienst, mit dem die KI „spricht", vertraglich abgesichert ist,
• nur die wirklich nötigen Daten an jeden Schritt weitergegeben werden,
• und alles nachvollziehbar protokolliert wird – falls eine Person einmal Auskunft über ihre Daten verlangt, können wir lückenlos belegen, was wann womit geschehen ist.

Das ist der Unterschied zwischen „wir nutzen halt ChatGPT" und einer durchdachten, geprüften Unternehmenslösung.

Für höchste Ansprüche: die „souveräne" Variante

Manche Daten sind so sensibel, dass selbst ein EU-Standort eines US-Konzerns nicht ausreicht – etwa im Gesundheitswesen, bei Rechtsdaten oder im öffentlichen Sektor.

Für diese Fälle bieten wir eine souveräne Variante an: KI-Modelle, die vollständig auf europäischer Infrastruktur – oder sogar bei Ihnen im Haus – betrieben werden. Dabei verlassen Ihre Daten zu keinem Zeitpunkt eine von Ihnen kontrollierte Umgebung. Es gibt keinen externen Anbieter, keinen Datentransfer, keine offene Frage zur Speicherung.

Diese Variante ist aufwendiger und in der Regel teurer – deshalb empfehlen wir sie gezielt dort, wo sie wirklich gebraucht wird. Aber sie steht Ihnen offen, und wir beraten Sie ehrlich, wann sie sich lohnt.

Was Sie konkret von uns bekommen

Vertrauen entsteht durch Nachvollziehbarkeit. Deshalb erhalten Sie von uns nicht nur ein Versprechen, sondern prüfbare Unterlagen:

• einen Auftragsverarbeitungsvertrag (AVV) mit allen gesetzlich vorgeschriebenen Anlagen,
• eine Liste aller eingesetzten Subauftragsverarbeiter (also welche Anbieter im Hintergrund arbeiten),
• ein verständliches Sicherheits- und Datenschutz-Datenblatt: Wo werden Ihre Daten verarbeitet? Wie lange? Wer hat Zugriff? Welche Garantien gelten?
• bei Bedarf eine gemeinsam erstellte Datenschutz-Folgenabschätzung.

Und während wir wachsen, bauen wir unsere Nachweise weiter aus – etwa durch anerkannte Zertifizierungen wie ISO 27001 (Informationssicherheit), den BSI C5-Standard (Cloud-Sicherheit, im deutschsprachigen Raum häufig gefragt) oder ISO 42001 (KI-Management). So können Sie sich auf geprüfte Standards verlassen, nicht nur auf unser Wort.

Unser Versprechen an Sie

KI muss kein Datenschutz-Risiko sein. Richtig aufgesetzt, ist sie DSGVO-konform, sicher und nachvollziehbar – und genau das ist unsere Aufgabe.

Wir nehmen Ihnen die komplizierten Teile ab: die Vertragsgestaltung, die technische Absicherung, die Wahl der richtigen Anbieter und Standorte, die rechtliche Einordnung. Sie behalten die Kontrolle über Ihre Daten – und gewinnen ein Werkzeug, das Ihr Unternehmen wirklich voranbringt.

Sie haben Fragen zu Ihrer konkreten Situation? Lassen Sie uns sprechen. In einem unverbindlichen Erstgespräch schauen wir uns gemeinsam an, welche Ihrer Abläufe sich datenschutzkonform mit KI verbessern lassen – und welche Garantien Sie dabei genau bekommen.