Zurück zum Glossar

Begriff

DSGVO-konformer LLM-Einsatz

DSGVO-konformer LLM-Einsatz bezeichnet die datenschutzgerechte Nutzung grosser Sprachmodelle wie ChatGPT, Claude oder Gemini im Unternehmen — mit Rechtsgrundlage, Auftragsverarbeitungsvertrag, kontrollierter Eingabe personenbezogener Daten, EU-Hosting und Trainings-Opt-out.

DSGVO-konformer LLM-Einsatz — ausführlich erklärt

Sobald ein Unternehmen ein grosses Sprachmodell (LLM) wie ChatGPT, Claude oder Gemini geschäftlich nutzt und dabei personenbezogene Daten in Prompts oder angehängte Dokumente fliessen, greift die Datenschutz-Grundverordnung (DSGVO) vollständig — sie kennt keine Ausnahme für KI. Datenschutzkonformer LLM-Einsatz heisst, die Verarbeitung so zu gestalten, dass alle Pflichten aus der DSGVO und ab August 2026 zusätzlich aus dem EU AI Act erfüllbar bleiben.

Den Kern bilden sechs Bausteine, die ineinandergreifen:

  1. Rechtsgrundlage (Art. 6 DSGVO): Für jede Verarbeitung personenbezogener Daten durch das LLM muss eine Rechtsgrundlage dokumentiert sein — meist berechtigtes Interesse, Vertragserfüllung oder Einwilligung.
  2. Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO): Verarbeitet der Anbieter Daten in deinem Auftrag, ist ein AVV zwingend. ChatGPT Free, Plus, Pro und Go bieten keinen AVV und sind im beruflichen Kontext mit Personendaten daher ungeeignet. AVV-fähig sind unter anderem ChatGPT Team und Enterprise, Claude Team und Enterprise, Microsoft Copilot for Microsoft 365 sowie Google Workspace mit Gemini Business+.
  3. Keine unkontrollierten Personendaten in Prompts: Mitarbeitende sollen keine Namen, Kontaktdaten, Gesundheits- oder Vertragsdaten ohne Freigabe in Prompts geben. Pseudonymisierung oder Maskierung reduziert das Risiko erheblich.
  4. EU-Hosting und Data Residency: Drittlandtransfers in die USA lassen sich für DPF-zertifizierte Anbieter über das EU-US Data Privacy Framework absichern; EU-Hosting-Optionen oder Data-Residency-Zusagen senken das Risiko zusätzlich.
  5. Trainings-Opt-out: Geschäftliche Eingaben dürfen nicht ins Modelltraining fliessen. Enterprise- und API-Angebote der grossen Anbieter trainieren standardmaessig nicht auf Kundendaten — der Opt-out-Status ist im jeweiligen Vertrag (DPA) zu prüfen.
  6. Transparenz, Betroffenenrechte, DSFA: Transparenzpflichten (Art. 13/14) gehoeren in die Datenschutzerklaerung; bei systematischer Auswertung kann eine Datenschutz-Folgenabschaetzung (Art. 35) noetig sein. Betroffenenrechte wie Auskunft und Loeschung sind bei LLMs technisch anspruchsvoll.

Beispiel / Praxisbezug

Eine Marketing-Abteilung will Kundenanfragen mit einem LLM vorsortieren. Statt der kostenlosen ChatGPT-Variante wechselt sie auf ChatGPT Enterprise, schliesst den AVV nach Art. 28 ab und aktiviert die Data-Residency-Option fuer die EU. Ein internes Prompt-Leitbild verbietet das Einfuegen vollstaendiger Kundendatensaetze; stattdessen werden Namen durch Platzhalter ersetzt. Die Verarbeitung wird in der Datenschutzerklaerung ergaenzt, und der KI-Kompetenz-Nachweis nach Art. 4 EU AI Act wird fuer das Team dokumentiert. Damit ist die Nutzung belastbar abgesichert, ohne dass die Produktivitaet leidet.

Abgrenzung zu ähnlichen Begriffen

Der AVV (Auftragsverarbeitungsvertrag) ist nur ein Baustein des DSGVO-konformen LLM-Einsatzes, nicht das Ganze — er regelt die Rolle des Anbieters, nicht die Eingabe-Disziplin oder die Rechtsgrundlage. Data Residency beschreibt, in welcher Region Daten gespeichert und verarbeitet werden, und unterstuetzt die Konformitaet, ist aber kein Ersatz fuer einen AVV. Der EU AI Act ergaenzt die DSGVO um produktbezogene KI-Pflichten (Risikoklassen, KI-Kompetenz), waehrend die DSGVO den Personenbezug regelt; beide gelten parallel. Der CLOUD Act betrifft den Zugriff von US-Behoerden und ist ein Risikofaktor bei US-Anbietern, nicht selbst eine Compliance-Massnahme.

Entdecke mehr

Themenuebersicht