Inhaltsverzeichnis
- 1. Der Kern des Problems: Daten verlassen unbemerkt das Haus
- 2. Was die DSGVO konkret verlangt
- 3. Diese Daten gehören nicht in ein öffentliches LLM
- 4. Öffentlicher Dienst und kontrollierte Lösung im Vergleich
- 5. Der sicherste Weg: Daten bleiben im Haus
- 6. Warum ein Verbot allein nicht genügt
- 7. Warum Anonymisieren nur die halbe Lösung ist
- 8. Wie Aliru unterstützt
Ein Mitarbeiter kopiert einen Kundenvertrag in ein KI-Tool, um ihn zusammenfassen zu lassen. Eine Kollegin lässt sich eine E-Mail an einen unzufriedenen Kunden formulieren und fügt dafür den ganzen bisherigen Schriftverkehr ein. Beides dauert Sekunden, beides spart Zeit und in beiden Fällen haben gerade personenbezogene Daten das Unternehmen verlassen.
Genau hier setzt die häufigste Sorge beim KI-Einsatz an: Was passiert eigentlich mit unseren Daten? Dieser Beitrag beantwortet das entlang der DSGVO, benennt die konkreten Risiken und zeigt, wie sich der Datenschutz sichern lässt, ohne auf den Nutzen von KI zu verzichten. Er vertieft den Überblick aus LLM-Risiken im Unternehmen.
Der Kern des Problems: Daten verlassen unbemerkt das Haus
Bei öffentlichen KI-Diensten wird jede Eingabe an einen externen Anbieter gesendet und dort verarbeitet.
Damit gelangen unter Umständen personenbezogene Daten, Vertragsinhalte oder Geschäftsgeheimnisse zu einem Dritten, oft in ein Rechenzentrum außerhalb der EU. Das Tückische ist, dass es sich nicht wie ein Datenabfluss anfühlt. Es gibt keinen Upload-Dialog, keinen sichtbaren Versand, nur ein Textfeld. Genau deshalb passiert es im Arbeitsalltag ständig und unbemerkt.
Häufig ist zudem unklar, in welchem Land die Verarbeitung stattfindet und ob die Eingaben gespeichert oder zur Weiterentwicklung des Modells verwendet werden. Diese Unklarheit ist aus Datenschutzsicht bereits das eigentliche Problem, weil sich ohne Klarheit keine Rechtmäßigkeit belegen lässt.
Was die DSGVO konkret verlangt
Für personenbezogene Daten braucht es eine Rechtsgrundlage und eine geprüfte Auftragsverarbeitung.
Sobald in einer Eingabe ein Name, eine E-Mail-Adresse, eine Kundennummer oder ein anderer Personenbezug steckt, greifen die vollen Pflichten der DSGVO. Ohne Vertrag mit dem Anbieter, der die Verarbeitung regelt, fehlt die rechtliche Basis. Kommt eine Verarbeitung außerhalb der EU hinzu, entstehen weitere Anforderungen an den Datentransfer. Ein Verstoß ist nicht nur ein Bußgeldrisiko, sondern beschädigt auch das Vertrauen der eigenen Kunden, die ihre Daten schließlich nicht für ein KI-Training freigegeben haben.
Wie sich Datenschutz strukturell und nachweisbar verankern lässt, zeigen wir am Beispiel von Dynamics 365 in Security und Compliance in Dynamics 365.
Diese Daten gehören nicht in ein öffentliches LLM
Eine einfache Faustregel schützt vor den meisten Vorfällen: sensible Daten bleiben draußen.
Konkret betrifft das vier Kategorien, die im Alltag am häufigsten falsch behandelt werden.
| Datenkategorie | Warum kritisch |
|---|---|
| Personenbezogene Daten | DSGVO-pflichtig, Rechtsgrundlage und Vertrag nötig |
| Geschäftsgeheimnisse | Verlust von Wettbewerbsvorteilen, kein Schutz beim Dritten |
| Zugangsdaten und Schlüssel | direkte Sicherheitslücke, oft versehentlich mitkopiert |
| Vertrauliche Kundeninformationen | Vertrauensbruch und mögliche vertragliche Verstöße |
Öffentlicher Dienst und kontrollierte Lösung im Vergleich
Der Unterschied zwischen mieten und betreiben entscheidet über den Datenschutz.
| Kriterium | Öffentliches LLM | Kontrollierte Lösung |
|---|---|---|
| Datenhaltung | oft unklar, ggf. außerhalb der EU | definiert, in Europa |
| Training mit Eingaben | teils möglich oder unklar | vertraglich ausgeschlossen oder lokal irrelevant |
| Auftragsverarbeitung | nicht immer geprüft | geprüft und dokumentiert |
| Nachweisbarkeit | Blackbox | bekannte, dokumentierte Datenflüsse |
Der sicherste Weg: Daten bleiben im Haus
Am wirksamsten ist eine Lösung, bei der gar keine Daten nach außen fließen.
Das gelingt mit einer kontrollierten, betriebenen Umgebung und, wo sinnvoll, mit lokal betriebenen Modellen, die vollständig auf eigener Infrastruktur laufen. Dann stellt sich die Frage nach Drittland-Transfer und Trainingsnutzung gar nicht erst, weil die Daten das Unternehmen nie verlassen. Wie das funktioniert, beschreiben wir in KI-Modelle lokal betreiben. Ergänzend sind die Sicherheitsaspekte relevant, die wir in Sicherheitsrisiken bei LLMs behandeln.
Warum ein Verbot allein nicht genügt
Der erste Reflex vieler Unternehmen ist ein Verbot öffentlicher KI-Dienste, doch das löst das Problem selten.
Wenn die Werkzeuge im Alltag spürbar Zeit sparen, weichen Mitarbeiter auf private Zugänge oder das eigene Smartphone aus, sobald der Nutzen groß genug ist. Damit verlagert sich der Datenabfluss lediglich in einen Bereich, den das Unternehmen gar nicht mehr sieht und wird noch schwerer kontrollierbar. Wirksamer als ein reines Verbot ist deshalb ein freigegebener, sicherer Weg, der die gleiche Arbeitserleichterung bietet, ohne dass Daten unkontrolliert abfließen. Dieses Muster und seine Folgen beschreiben wir in Schatten-KI im Unternehmen.
Warum Anonymisieren nur die halbe Lösung ist
Personenbezug vor der Eingabe zu entfernen klingt sicher, greift in der Praxis aber oft zu kurz.
Zum einen ist echte Anonymisierung aufwendig und fehleranfällig: Ein übersehener Name, eine Kundennummer im Fließtext oder ein charakteristischer Sachverhalt kann eine Person wieder identifizierbar machen. Zum anderen schützt das Schwärzen personenbezogener Daten nicht die Geschäftsgeheimnisse, die in Verträgen, Kalkulationen oder Strategiepapieren stecken und ebenfalls nicht in einen fremden Dienst gehören. Verlässlicher als das manuelle Bereinigen jeder einzelnen Eingabe ist eine Umgebung, in der die Daten von vornherein den kontrollierten Bereich nicht verlassen. Wie sich Datenhaltung und Souveränität in Europa absichern lassen, vertiefen wir in Datenhoheit und souveräne KI.
Wie Aliru unterstützt
Wir richten eine datenschutzkonforme, betriebene KI-Lösung ein, bei der Sie die Kontrolle behalten.
Mit Datenhaltung in Europa, geprüfter Auftragsverarbeitung und der Option, Modelle vollständig lokal zu betreiben. So nutzen Ihre Teams KI im Alltag, ohne dass vertrauliche Daten das Haus verlassen. Sprechen Sie mit uns über datenschutzkonforme KI.
Häufig gestellte Fragen
Ist die Nutzung von LLMs DSGVO-konform?

Sie kann es sein, aber nicht automatisch. Sobald personenbezogene Daten verarbeitet werden, braucht es eine Rechtsgrundlage und bei externen Diensten eine geprüfte Auftragsverarbeitung. Ohne diese Grundlage ist die Nutzung riskant.
Werden meine Eingaben in einem LLM gespeichert oder zum Training genutzt?

Das hängt vom Anbieter und Tarif ab. Bei manchen öffentlichen Diensten ist es unklar oder wird eingeräumt. Für den Unternehmenseinsatz sollte vertraglich geklärt sein, dass Eingaben nicht zum Training verwendet werden.
Welche Daten sollten niemals in ein öffentliches LLM gelangen?

Personenbezogene Daten ohne Rechtsgrundlage, Geschäftsgeheimnisse, Zugangsdaten und vertrauliche Kundeninformationen. Für solche Daten braucht es eine kontrollierte Umgebung mit Datenhaltung in Europa.
Wie sichert man den Datenschutz beim KI-Einsatz?

Durch eine kontrollierte, betriebene Lösung mit Datenhaltung in Europa, geprüfter Auftragsverarbeitung und, wo möglich, lokal betriebenen Modellen, bei denen keine Daten nach außen fließen.
Inhaltsverzeichnis
- 1. Der Kern des Problems: Daten verlassen unbemerkt das Haus
- 2. Was die DSGVO konkret verlangt
- 3. Diese Daten gehören nicht in ein öffentliches LLM
- 4. Öffentlicher Dienst und kontrollierte Lösung im Vergleich
- 5. Der sicherste Weg: Daten bleiben im Haus
- 6. Warum ein Verbot allein nicht genügt
- 7. Warum Anonymisieren nur die halbe Lösung ist
- 8. Wie Aliru unterstützt
Sie haben Fragen zu Dynamics 365?
Wir haben die Antworten.
Vereinbaren Sie einfach ein unverbindliches Erstgespräch mit einem Dynamics-Experten.
Termin vereinbaren



















