← Alle Ratgeber
Datenschutz 10 min Lesedauer 28. März 2026

Datenschutz bei KI-Tools — Praxis-Leitfaden für Hannoveraner Firmen

Was darf in welche KI? DSGVO-Check + sichere Alternativen für sensible Branchen.

„Darf ich das in ChatGPT eingeben?" — diese Frage kommt in KI-Projekten fast täglich. Hier ein praktischer Leitfaden, was Sie als Hannoveraner Firma in welche KI-Tools schicken dürfen — und welche Alternativen für sensible Daten existieren.

Die drei Datenschutz-Stufen

Stufe 1: Unkritische Daten

Allgemeine Texte, Brainstormings, Übersetzungen ohne Kundenbezug, technische Dokumentation, eigene Marketing-Inhalte.

Was geht: ChatGPT, Claude, Copilot — alles unkritisch.

Stufe 2: Personenbezogene Daten

Kundennamen, E-Mail-Adressen, Telefonnummern, Adressen, Vertragsdaten. Hier greift die DSGVO voll.

Was geht:

  • ChatGPT Enterprise / Team mit korrektem Auftragsverarbeitungsvertrag (AVV) und „Daten nicht für Training nutzen"-Einstellung. Daten fließen aber weiterhin in die USA.
  • Microsoft Copilot mit M365-Tenant in EU — am bequemsten für Standard-Office-Workflows.
  • Claude for Work mit EU-Hosting via AWS Frankfurt — gute Balance.
  • Lokale LLMs (Llama, Mistral auf eigenem Server) — höchste Sicherheit.

Was nicht geht: ChatGPT Free oder Plus für Endkundendaten, kostenlose Online-Tools ohne klare Datenschutzerklärung.

Stufe 3: Besonders schützenswerte Daten

Gesundheitsdaten (Arztpraxen), juristische Mandanten-Daten (Anwälte, Notare), Berufsgeheimnisse (Steuerberater), Finanzdaten (Banken), Personalakten.

Was geht:

  • Lokale LLMs auf eigenem Server (z. B. Llama 3 70B auf einer GPU-Workstation, Kosten 5.000–20.000 € einmalig)
  • Claude for Work mit Zero-Retention-Vertrag (auf Anfrage)
  • Spezialisierte EU-Anbieter wie Aleph Alpha (deutsch, On-Premise möglich) oder Mistral (französisch, EU-Hosting)

Was nicht geht: Öffentliche Cloud-KI ohne On-Premise-/EU-Garantie.

Praktische Checkliste vor jeder KI-Nutzung

  1. Welche Datenkategorien? Personenbezogen? Besonders schützenswert?
  2. Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter abgeschlossen?
  3. Wo werden Daten gespeichert/verarbeitet? EU? USA? Mit welchen Garantien?
  4. Werden Daten zum Training verwendet? Falls ja → opt-out aktivieren oder anderes Tool wählen.
  5. Datenschutzbeauftragter informiert? Bei systematischem KI-Einsatz Pflicht.
  6. Mitarbeiter geschult? Informelle Nutzung ohne Wissen ist Hauptrisiko.

Häufige Fehler in der Praxis

  • Kostenloses ChatGPT für Kundenanfragen — Daten landen im Training
  • Kein AVV trotz Verarbeitung von Kundendaten
  • Mitarbeiter nutzen private Accounts für Geschäftsdaten
  • Sensible Daten in Browser-Plug-ins ohne klare Datenschutzerklärung
  • Keine schriftliche KI-Richtlinie im Unternehmen

Die DSGVO-konforme Lösung in einem Satz

Standard-Workflows: Microsoft Copilot mit M365-Tenant in EU. Sensible Branchen:Lokale LLMs auf eigenem Server. Mittelweg: Claude for Work mit EU-Hosting + AVV.

Das niedersächsische Datenschutz-Spezifikum

In Niedersachsen ist der LfD (Landesbeauftragte für Datenschutz) für Aufsicht zuständig — sehr aktiv im Bereich KI. Bei größerer KI-Einführung empfiehlt sich frühzeitige Konsultation. Außerdem: Technologische Alternativen aus Niedersachsen (DFKI, L3S an der Leibniz-Universität) bieten teils On-Premise-Lösungen für lokale Firmen.

Wenn Sie eine systematische KI-Einführung planen und sicher gehen wollen, dass Sie DSGVO-konform sind — die KI-Beratung beinhaltet standardmäßig einen Datenschutz-Check pro Use-Case.

Passende Leistungen

KI-Beratung KI-Schulungen

Mehr aus dem Ratgeber

KI

ChatGPT vs. Microsoft Copilot vs. Claude — Was passt für Hannoveraner Firmen?

Tool-Vergleich für KI im Mittelstand: Funktionen, Preise, Datenschutz, typische Einsatzszenarien.

Lesen KI

KI-Beratung für Mittelstand in Hannover — 5 Use-Cases mit ROI

Wo lohnt sich KI im Hannoveraner Mittelstand wirklich? 5 Use-Cases mit konkretem ROI und Tools.

Lesen

Fragen zum Thema?

30 min Erstgespräch — kostenlos & unverbindlich.

[email protected] WhatsApp Anfrage senden