Bevor Sie einen KI-Einsatz unterzeichnen, stellen Sie dem Anbieter die einzig wirklich wichtige Frage: Wohin gehen meine Daten und wer kann sie lesen? Die ehrliche Antwort lautet niemals “sie bleiben bei uns”. Sie beinhaltet mindestens eine verschlüsselte Durchleitung zu einem Drittserver, eine vorübergehende Speicherung aus betrieblichen Gründen und einen Datenverarbeitungsvertrag, der Ihre spezifischen rechtlichen Verpflichtungen abdecken muss. Wenn der Vertriebsmitarbeiter Ihnen antwortet “Keine Sorge, das ist sicher”, wechseln Sie den Vertriebsmitarbeiter.

Was mit professionellen APIs passiert

OpenAI API / Enterprise: Daten, die über die API eingereicht werden, werden nicht standardmäßig zum Trainieren von Vorlagen verwendet. OpenAI legt dies in seinen Enterprise-Bedingungen fest. Die Daten können zu Sicherheitszwecken und zur Aufdeckung von Missbrauch vorübergehend gespeichert werden (30 Tage als Standard bei der API, konfigurierbar). Die Hauptspeicherung der Daten ist in den USA, mit eingeschränkten Regionsoptionen.

Anthropic API / Claude for Business : ähnliche Richtlinien. Die über die API eingereichten Daten werden nicht für das Training verwendet. Speicherung in den USA.

ChatGPT kostenlos und Plus (Web-Schnittstellen): Bis 2023 konnten die Unterhaltungen zum Üben verwendet werden. Die Option zur Deaktivierung wurde hinzugefügt. Auf den Verbraucherschnittstellen hat sich das Standardverhalten geändert, sollte aber bei jeder Aktualisierung der Bedingungen überprüft werden.

Das Problem des Industriegeheimnisses

Bei den Nutzungsbedingungen wird in der Regel zwischen Training (bei Pro-APIs oft ausgeschlossen) und vorübergehender Aufbewahrung (aus verschiedenen betrieblichen Gründen oft vorhanden) unterschieden.

Die Frage des Betriebsgeheimnisses geht jedoch über das Training hinaus. Wenn Sie bei einer API einreichen :

  • Verträge mit Ihren Preisklauseln
  • Strategien zur Produktentwicklung
  • Patente oder technisches Know-how
  • Informationen über Ihre Kunden oder Lieferanten mit Geheimhaltungsklauseln

Diese Daten werden über die Server eines Dritten geleitet. Auch ohne Training, selbst mit Verschlüsselung, schaffen Sie einen Fluss sensibler Daten außerhalb Ihres Perimeters. Dieser Datenfluss kann rechtliche Verpflichtungen gegenüber Ihren Kunden (wenn Ihre Verträge Klauseln zur Vertraulichkeit des Datenaustauschs enthalten), Ihren Partnern oder einer zukünftigen Regulierung schaffen.

Was die DSGVO sagt

Wenn Ihre Daten Informationen über natürliche Personen (Mitarbeiter, Kunden, Interessenten) enthalten, befinden Sie sich auf DSGVO-Territorium.

Wenn Sie eine API von Drittanbietern zur Verarbeitung dieser Daten nutzen, werden Sie zum für die Verarbeitung Verantwortlichen und müssen einen Datenverarbeitungsvertrag (Data Processing Agreement, DPA) mit dem Anbieter haben. OpenAI, Anthropic und Google bieten dies in ihren Enterprise-Angeboten an.

Die Frage des Datenstandorts ist für bestimmte Sektoren kritisch: Gesundheitsdaten (HDS), Finanzdaten, Verteidigungsdaten. Für diese Sektoren ist der Transit außerhalb der EU eingeschränkt oder verboten. Eine US-amerikanische API ohne europäische Lokalisierungsoption kann zu einer Nichtkonformität führen.

Was der AI Act ändert

Der europäische AI Act (in Kraft seit 2024, schrittweise Verpflichtungen bis 2027) schreibt je nach Risikoniveau des KI-Systems spezifische Verpflichtungen vor.

Für Systeme mit hohem Risiko (Einstellungsentscheidungen, Kredit-Scoring, medizinische Entscheidungen, Justizsysteme) werden Anforderungen an Transparenz, Prüfbarkeit und Dokumentation gestellt. Ein KI-System, das in diesen Kontexten eingesetzt wird, muss auditierbar sein und seine Entscheidungen müssen erklärbar sein.

Für allgemein verwendbare LLM mit systemischen Auswirkungen (oberhalb einer Compute-Schwelle) werden den Anbietern Transparenzpflichten in Bezug auf Trainingsdaten und Fähigkeiten auferlegt. Was sich für Sie ändert: Sie können von Ihrem Anbieter eine Dokumentation über die Einhaltung des AI Act verlangen.

Vier Dinge, die Sie vertraglich fordern sollten

Vier Dinge, die vor einem Einsatz vertraglich gefordert werden sollten. Erstens die Garantie, dass die Daten nicht zum Training verwendet werden (nicht in einem FAQ: im unterzeichneten Vertrag). Zweitens den tatsächlichen Ort der Verarbeitung und Speicherung, mit der Verpflichtung, dreißig Tage vor jeder Änderung Bescheid zu geben. Der DSGVO-Vertrag für Auftragsverarbeiter, der Ihre eigenen Verpflichtungen gegenüber Ihren Kunden und Mitarbeitern abdeckt. Und das dokumentierte Verfahren, wenn sich die Version des zugrunde liegenden Modells ändert. Der Rest (Aufbewahrungspolitik, AI Act Perimeter usw.) wird in den Anhängen behandelt. Diese vier Punkte sind jedoch die Eingangsvoraussetzung.