Welche Daten darf ich in eine KI eingeben?

Question

Accepted Answer

Unkritisch sind allgemeine, öffentliche oder anonymisierte Inhalte. Vorsicht gilt bei personenbezogenen Daten, Geschäftsgeheimnissen, Zugangsdaten und allem, was einer Verschwiegenheit unterliegt – diese gehören nicht ungeprüft in ein beliebiges KI-Werkzeug, besonders nicht bei Anbietern außerhalb der EU ohne Vereinbarung zur Auftragsverarbeitung. Im Zweifel anonymisieren oder ein Unternehmens-Werkzeug mit klarem Datenschutz-Status nutzen.

Die entscheidende Frage: Wer verarbeitet die Eingabe?

Sobald Sie Text in ein KI-Werkzeug eingeben, verlässt dieser Text in der Regel Ihr Haus und wird auf den Servern eines Anbieters verarbeitet – oft im Ausland. Die Kernfrage lautet deshalb nicht „Was kann die KI?", sondern „Wer verarbeitet meine Eingabe, wo, und auf welcher Rechtsgrundlage?". Davon hängt ab, welche Inhalte unbedenklich sind und welche nicht.

Was unkritisch ist – und was Vorsicht erfordert

Eher unkritisch	Vorsicht geboten
Allgemeine Fragen ohne Personenbezug	Namen, Adressen, Kontaktdaten von Personen
Öffentlich verfügbare Informationen	Gesundheits-, Vertrags- oder Finanzdaten
Anonymisierte oder erfundene Beispiele	Geschäftsgeheimnisse und interne Strategien
Eigene, nicht vertrauliche Entwürfe	Zugangsdaten, Passwörter, Schlüssel

Die Faustregel: Was Sie einer fremden, externen Stelle nicht ohne Weiteres geben würden, gehört auch nicht ungeprüft in ein KI-Werkzeug.

Personenbezogene Daten und die DSGVO

Sobald personenbezogene Daten im Spiel sind, greift die Datenschutz-Grundverordnung (DSGVO). Eine Eingabe in ein KI-Werkzeug ist dann eine Verarbeitung, die eine Rechtsgrundlage und – bei externen Anbietern – in der Regel eine Vereinbarung zur Auftragsverarbeitung voraussetzt. Bei Anbietern außerhalb der EU kommt die Frage der Drittland-Übermittlung hinzu. Die allgemeinen Pflichten rund um personenbezogene Daten auf der eigenen Website erläutern wir unter was die DSGVO für Ihre Website bedeutet.

Die konkrete rechtliche Bewertung – welche Rechtsgrundlage greift, welcher Vertrag nötig ist – gehört in die Hand Ihrer Datenschutz- oder Rechtsberatung. Dieser Beitrag ordnet die technischen Zusammenhänge ein, ersetzt aber keine Rechtsberatung.

Geschäftsgeheimnisse und Verschwiegenheit

Unabhängig vom Datenschutz gibt es Inhalte, die aus geschäftlichen Gründen nicht nach außen sollen: Kalkulationen, Verträge, technische Unterlagen, Strategiepapiere. Bei Berufen mit gesetzlicher Verschwiegenheitspflicht – etwa in der Beratung, in Kanzleien oder im Gesundheitswesen – kommt eine besondere Sorgfaltspflicht hinzu. Solche Inhalte gehören nicht in ein allgemeines Verbraucher-Werkzeug.

Der sichere Weg

Drei Wege führen aus dem Dilemma, ohne auf KI verzichten zu müssen:

Anonymisieren: Namen, Zahlen und Kennungen vor der Eingabe durch Platzhalter ersetzen.
Unternehmens-Werkzeug nutzen: eine Lösung mit dokumentiertem Datenschutz-Status, passendem Server-Standort und Vereinbarung zur Auftragsverarbeitung.
Klare interne Regeln: festlegen, welche Inhalte erlaubt sind und welche nicht – und das Team darin schulen.

Wer diese Punkte klärt, kann KI produktiv und zugleich verantwortbar einsetzen. Eng damit verbunden ist die Frage, wie man eine KI überhaupt gut anweist, ohne unnötig sensible Details preiszugeben. Die übergreifende Einordnung finden Sie im Beitrag Mit KI richtig kommunizieren.