Ein Steuerberater in Hamburg nutzte ein KI-gestütztes Dokumententool, das Mandantendaten auf US-amerikanischen Servern verarbeitete. Er wusste es nicht, weil er die AGB nicht gelesen hatte.
Fehler 1: KI-Tools ohne Auftragsverarbeitungsvertrag einsetzen
Sobald ein externes Tool personenbezogene Daten verarbeitet, brauchen Sie laut DSGVO einen Auftragsverarbeitungsvertrag mit dem Anbieter. Viele Tools bieten diesen an, aber selten wird er aktiv angefragt.
Ohne diesen Vertrag haften Sie als Betrieb, nicht der Anbieter.
Fehler 2: Mitarbeiterdaten in generative KI eingeben
Wer Gehaltsabrechnungen oder Krankmeldungen in ein KI-System eingibt, um sie zusammenfassen zu lassen, gibt sensible Daten an Dritte weiter. Das ist ohne explizite Einwilligung der Betroffenen nicht zulässig.
Auch wenn das Tool intern wirkt, werden Daten oft an externe Modelle gesendet.
Fehler 3: Keine Löschfristen für KI-generierte Daten
KI-Tools speichern Konversationen und Outputs manchmal länger als die eigentlichen Rohdaten. Betriebe vergessen, diese Daten in ihre Löschfristen einzubeziehen.
Ein jährlicher Check der genutzten Tools auf Datenspeicherung und Löschoptionen reicht oft aus, um dieses Risiko deutlich zu reduzieren.
Checkliste vor dem Tool-Einsatz
- Wo werden Daten gespeichert und verarbeitet?
- Gibt es einen Auftragsverarbeitungsvertrag?
- Welche Daten dürfen laut interner Richtlinie eingegeben werden?