In Teil 7 der Serie hast du erfahren, wie Unternehmen eigene LLM-Lösungen technisch umsetzen können – von Modellwahl bis Hosting.
Jetzt wird es ernst: Was ist rechtlich erlaubt? Was ist riskant? Und was kommt noch auf dich zu?
In diesem Teil erhältst du:
- Einen Überblick über die wichtigsten Rechtsrahmen (DSGVO, AI Act)
- Konkrete Kriterien für die Nutzung von Sprachmodellen im Unternehmen
- Tipps zur technischen und organisatorischen Umsetzung
- Eine Einordnung typischer Irrtümer und Grauzonen
🔐 Datenschutz-Grundverordnung (DSGVO)
Die DSGVO regelt den Umgang mit personenbezogenen Daten – also allen Informationen, die sich auf eine identifizierbare Person beziehen.
🔹 Was du prüfen musst
| Prüffrage | Bedeutung für LLMs |
|---|---|
| Werden personenbezogene Daten verarbeitet? | Schon bei Kundenanfragen, E-Mails, HR-Daten relevant |
| Wird der Zweck klar benannt? | Reine Neugier ist kein zulässiger Verarbeitungsgrund |
| Ist die Verarbeitung erforderlich? | LLMs dürfen nicht „auf Vorrat“ Daten verarbeiten |
| Gibt es eine Rechtsgrundlage? | z. B. Einwilligung, Vertrag, berechtigtes Interesse |
| Können Betroffene ihre Rechte wahrnehmen? | Auskunft, Berichtigung, Löschung muss möglich sein |
📌 Typische Fehlerquellen
- Blindes Einfügen von Klardaten in externe Chatbots
- Verwendung von API-Modellen ohne EU-Hosting
- Speicherung von Logs ohne Anonymisierung
- Kein Verfahren zur Löschung von Prompt-Daten
Tipp: Tools wie GPT-4 via Azure oder Aleph Alpha bieten technisch DSGVO-konforme Umgebungen – rechtlich verantwortlich bleibst aber du als Betreiber.
🧑⚖️ Der EU AI Act: Was jetzt kommt
Der EU AI Act ist das erste umfassende KI-Gesetz weltweit.
Er wurde 2024 final verabschiedet und gilt ab 2025 stufenweise, abhängig vom Risiko deiner Anwendung.
🔸 Risikoklassen nach dem AI Act
| Risikoklasse | Beispielhafte Anwendungen | Anforderungen |
|---|---|---|
| Unakzeptabel | Social Scoring, heimliche Überwachung | Verboten |
| Hochrisiko | Medizin, Justiz, kritische Infrastruktur | Registrierung, Audit, Doku |
| Begrenzt riskant | Chatbots, HR-Tools, Customer Support | Transparenz, Nutzungskennzeichnung |
| Geringes Risiko | Spiele, Ideengeneratoren | Keine expliziten Anforderungen |
→ Sprachmodelle gelten in vielen Fällen als „begrenztes Risiko“, können aber bei sensibler Nutzung (z. B. Personalentscheidungen) in „Hochrisiko“ fallen.
📜 Pflichten für Unternehmen
Je nach Risikoklasse gelten unterschiedliche Vorgaben:
🔹 Transparenzpflichten (fast immer)
- Nutzer:innen müssen erkennen, dass sie mit einer KI sprechen
- Bei Deepfakes, synthetischer Sprache, Text oder Bild: Kennzeichnungspflicht
- Bei Assistenzsystemen: Hinweis auf Automatisierung
🔹 Dokumentationspflichten (Hochrisiko)
- Beschreibung des Modells, der Trainingsdaten und der Funktion
- Nachvollziehbare Tests und Qualitätssicherung
- Maßnahmen gegen Diskriminierung und Fehler
- Logging von Entscheidungen und Eingaben
🛠️ Technische Maßnahmen für Compliance
Schon mit einfachen Mitteln kannst du viel erreichen:
✅ Mindestmaßnahmen
| Maßnahme | Beispiel-Tools / Methoden |
|---|---|
| Anonymisierung der Eingaben | Pre-Processing mit Named Entity Removal (NER) |
| Logging ohne personenbezogene Daten | Hashing, Pseudonymisierung |
| Zugriffsmanagement & Rollenrechte | SSO, LDAP, API-Tokens mit ACL |
| Prompt-Filter / Inhaltsregeln | PromptGuard, Regex-Filter, Moderation APIs |
| Löschkonzepte für Daten & Logs | Zeitgesteuerte Rotation, User-Verwaltung |
🌍 Anbieter-Check: DSGVO-kompatibel?
| Anbieter | Ort | DSGVO-konform nutzbar? | Bemerkung |
|---|---|---|---|
| Azure OpenAI | EU (wählbar) | ✅ (bei korrekter Konfiguration) | Verträge, Protokollierung notwendig |
| Aleph Alpha | Deutschland | ✅ | Fokus auf EU-Konformität |
| Mistral | Frankreich | ✅ (Selfhosted) | Kompakt & Open Source |
| OpenAI.com | USA | ⚠️ nicht ohne zusätzliche Maßnahmen | Kein EU-Datenschutz von Haus aus |
| Anthropic | USA | ⚠️ ähnlich wie OpenAI | Datenfluss nicht kontrollierbar |
| OpenGPT-X | EU | ✅ (selbst gehostet) | EU-Forschungsprojekt |
Grundregel: Je näher am EU-Rechtsraum und je selbstbetriebener das System – desto einfacher wird der rechtssichere Einsatz.
🧩 Strategie für Unternehmen: Technisch stark, rechtlich abgesichert
1. Use Cases kategorisieren
→ Welche Anwendungen fallen in welche Risikoklasse?
2. Rollen und Verantwortungen klären
→ Wer ist Betreiber, wer kontrolliert, wer dokumentiert?
3. Modellwahl mit Compliance-Fokus
→ Kannst du das Modell erklären, auditieren, kontrollieren?
4. Technische Schutzmaßnahmen implementieren
→ Logging, Promptfilter, Rechtevergabe etc.
5. Prozess für Änderungen und Updates definieren
→ Versionierung, Nachschulung, neue Risiken prüfen
📌 Fazit & Ausblick
Die LLM-Welt ist nicht nur technisch spannend – sie ist auch rechtlich in Bewegung.
Mit der DSGVO und dem AI Act gibt es klare Leitplanken – und immer mehr Tools, die dir helfen, dich innerhalb dieser Regeln sicher zu bewegen.
Wer frühzeitig auf Kontrolle, Transparenz und Dokumentation setzt, hat später nicht nur weniger Risiko – sondern auch einen Wettbewerbsvorteil.
In Teil 9 der Serie schauen wir uns an:
Wie funktioniert ein Retrieval-Augmented Generation System (RAG)?
Also: Wie bringst du dein eigenes Wissen in ein LLM – ganz ohne fehleranfälliges Finetuning?
❓ FAQ – Häufige Fragen
Darf ich GPT-4 in meinem Unternehmen einfach so nutzen?
Nur über DSGVO-konforme Anbieter (z. B. Azure) und mit geeigneten Schutzmaßnahmen.
Was ist, wenn ich ein Open-Source-Modell selbst betreibe?
Dann bist du allein verantwortlich – aber hast volle Kontrolle über Daten und Sicherheit.
Brauche ich jetzt schon AI Act-Dokumentation?
Je nach Anwendung ja – spätestens aber, wenn deine Lösung als Hochrisiko-KI gilt.
Kann ich mit RAG die Datenschutzprobleme lösen?
Teilweise – weil du keine Daten ins Modell selbst einbaust. Aber auch RAG braucht Schutzmaßnahmen.
