Zur Blogübersicht

Januar 2026

Was passiert mit unseren Daten? Datenschutz und LLMs im Unternehmen

Was passiert mit vertraulichen Daten, die in ein LLM gelangen? Die zentralen DSGVO-Risiken beim KI-Einsatz und wie eine kontrollierte Lösung den Datenschutz sichert.

Julian Kissel
Gründer & CEO
Datenschutz und LLMs

Ein Mitarbeiter kopiert einen Kundenvertrag in ein KI-Tool, um ihn zusammenfassen zu lassen. Eine Kollegin lässt sich eine E-Mail an einen unzufriedenen Kunden formulieren und fügt dafür den ganzen bisherigen Schriftverkehr ein. Beides dauert Sekunden, beides spart Zeit und in beiden Fällen haben gerade personenbezogene Daten das Unternehmen verlassen.

Genau hier setzt die häufigste Sorge beim KI-Einsatz an: Was passiert eigentlich mit unseren Daten? Dieser Beitrag beantwortet das entlang der DSGVO, benennt die konkreten Risiken und zeigt, wie sich der Datenschutz sichern lässt, ohne auf den Nutzen von KI zu verzichten. Er vertieft den Überblick aus LLM-Risiken im Unternehmen.

Der Kern des Problems: Daten verlassen unbemerkt das Haus

Bei öffentlichen KI-Diensten wird jede Eingabe an einen externen Anbieter gesendet und dort verarbeitet.

Damit gelangen unter Umständen personenbezogene Daten, Vertragsinhalte oder Geschäftsgeheimnisse zu einem Dritten, oft in ein Rechenzentrum außerhalb der EU. Das Tückische ist, dass es sich nicht wie ein Datenabfluss anfühlt. Es gibt keinen Upload-Dialog, keinen sichtbaren Versand, nur ein Textfeld. Genau deshalb passiert es im Arbeitsalltag ständig und unbemerkt.

Häufig ist zudem unklar, in welchem Land die Verarbeitung stattfindet und ob die Eingaben gespeichert oder zur Weiterentwicklung des Modells verwendet werden. Diese Unklarheit ist aus Datenschutzsicht bereits das eigentliche Problem, weil sich ohne Klarheit keine Rechtmäßigkeit belegen lässt.

Was die DSGVO konkret verlangt

Für personenbezogene Daten braucht es eine Rechtsgrundlage und eine geprüfte Auftragsverarbeitung.

Sobald in einer Eingabe ein Name, eine E-Mail-Adresse, eine Kundennummer oder ein anderer Personenbezug steckt, greifen die vollen Pflichten der DSGVO. Ohne Vertrag mit dem Anbieter, der die Verarbeitung regelt, fehlt die rechtliche Basis. Kommt eine Verarbeitung außerhalb der EU hinzu, entstehen weitere Anforderungen an den Datentransfer. Ein Verstoß ist nicht nur ein Bußgeldrisiko, sondern beschädigt auch das Vertrauen der eigenen Kunden, die ihre Daten schließlich nicht für ein KI-Training freigegeben haben.

Wie sich Datenschutz strukturell und nachweisbar verankern lässt, zeigen wir am Beispiel von Dynamics 365 in Security und Compliance in Dynamics 365.

Diese Daten gehören nicht in ein öffentliches LLM

Eine einfache Faustregel schützt vor den meisten Vorfällen: sensible Daten bleiben draußen.

Konkret betrifft das vier Kategorien, die im Alltag am häufigsten falsch behandelt werden.

Datenkategorie Warum kritisch
Personenbezogene Daten DSGVO-pflichtig, Rechtsgrundlage und Vertrag nötig
Geschäftsgeheimnisse Verlust von Wettbewerbsvorteilen, kein Schutz beim Dritten
Zugangsdaten und Schlüssel direkte Sicherheitslücke, oft versehentlich mitkopiert
Vertrauliche Kundeninformationen Vertrauensbruch und mögliche vertragliche Verstöße

Öffentlicher Dienst und kontrollierte Lösung im Vergleich

Der Unterschied zwischen mieten und betreiben entscheidet über den Datenschutz.

Kriterium Öffentliches LLM Kontrollierte Lösung
Datenhaltung oft unklar, ggf. außerhalb der EU definiert, in Europa
Training mit Eingaben teils möglich oder unklar vertraglich ausgeschlossen oder lokal irrelevant
Auftragsverarbeitung nicht immer geprüft geprüft und dokumentiert
Nachweisbarkeit Blackbox bekannte, dokumentierte Datenflüsse

Der sicherste Weg: Daten bleiben im Haus

Am wirksamsten ist eine Lösung, bei der gar keine Daten nach außen fließen.

Das gelingt mit einer kontrollierten, betriebenen Umgebung und, wo sinnvoll, mit lokal betriebenen Modellen, die vollständig auf eigener Infrastruktur laufen. Dann stellt sich die Frage nach Drittland-Transfer und Trainingsnutzung gar nicht erst, weil die Daten das Unternehmen nie verlassen. Wie das funktioniert, beschreiben wir in KI-Modelle lokal betreiben. Ergänzend sind die Sicherheitsaspekte relevant, die wir in Sicherheitsrisiken bei LLMs behandeln.

Warum ein Verbot allein nicht genügt

Der erste Reflex vieler Unternehmen ist ein Verbot öffentlicher KI-Dienste, doch das löst das Problem selten.

Wenn die Werkzeuge im Alltag spürbar Zeit sparen, weichen Mitarbeiter auf private Zugänge oder das eigene Smartphone aus, sobald der Nutzen groß genug ist. Damit verlagert sich der Datenabfluss lediglich in einen Bereich, den das Unternehmen gar nicht mehr sieht und wird noch schwerer kontrollierbar. Wirksamer als ein reines Verbot ist deshalb ein freigegebener, sicherer Weg, der die gleiche Arbeitserleichterung bietet, ohne dass Daten unkontrolliert abfließen. Dieses Muster und seine Folgen beschreiben wir in Schatten-KI im Unternehmen.

Warum Anonymisieren nur die halbe Lösung ist

Personenbezug vor der Eingabe zu entfernen klingt sicher, greift in der Praxis aber oft zu kurz.

Zum einen ist echte Anonymisierung aufwendig und fehleranfällig: Ein übersehener Name, eine Kundennummer im Fließtext oder ein charakteristischer Sachverhalt kann eine Person wieder identifizierbar machen. Zum anderen schützt das Schwärzen personenbezogener Daten nicht die Geschäftsgeheimnisse, die in Verträgen, Kalkulationen oder Strategiepapieren stecken und ebenfalls nicht in einen fremden Dienst gehören. Verlässlicher als das manuelle Bereinigen jeder einzelnen Eingabe ist eine Umgebung, in der die Daten von vornherein den kontrollierten Bereich nicht verlassen. Wie sich Datenhaltung und Souveränität in Europa absichern lassen, vertiefen wir in Datenhoheit und souveräne KI.

Wie Aliru unterstützt

Wir richten eine datenschutzkonforme, betriebene KI-Lösung ein, bei der Sie die Kontrolle behalten.

Mit Datenhaltung in Europa, geprüfter Auftragsverarbeitung und der Option, Modelle vollständig lokal zu betreiben. So nutzen Ihre Teams KI im Alltag, ohne dass vertrauliche Daten das Haus verlassen. Sprechen Sie mit uns über datenschutzkonforme KI.

Häufig gestellte Fragen

Ist die Nutzung von LLMs DSGVO-konform?

Sie kann es sein, aber nicht automatisch. Sobald personenbezogene Daten verarbeitet werden, braucht es eine Rechtsgrundlage und bei externen Diensten eine geprüfte Auftragsverarbeitung. Ohne diese Grundlage ist die Nutzung riskant.

Werden meine Eingaben in einem LLM gespeichert oder zum Training genutzt?

Das hängt vom Anbieter und Tarif ab. Bei manchen öffentlichen Diensten ist es unklar oder wird eingeräumt. Für den Unternehmenseinsatz sollte vertraglich geklärt sein, dass Eingaben nicht zum Training verwendet werden.

Welche Daten sollten niemals in ein öffentliches LLM gelangen?

Personenbezogene Daten ohne Rechtsgrundlage, Geschäftsgeheimnisse, Zugangsdaten und vertrauliche Kundeninformationen. Für solche Daten braucht es eine kontrollierte Umgebung mit Datenhaltung in Europa.

Wie sichert man den Datenschutz beim KI-Einsatz?

Durch eine kontrollierte, betriebene Lösung mit Datenhaltung in Europa, geprüfter Auftragsverarbeitung und, wo möglich, lokal betriebenen Modellen, bei denen keine Daten nach außen fließen.

Dynamics 365.
Einfach mit Aliru.

Ihre Ansprechpartner

Julian Kissel

CEO

Jan Bettinger

Kundenberater

Kontaktformular

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.