KI & Datenschutz: Was Finanzteams wissen müssen
Ihre Daten sind Ihre Verantwortung. Dieser Leitfaden behandelt, was jedes Finanzteam prüfen sollte, bevor es KI-Tools einsetzt – von Auftragsverarbeitungsverträgen über DSGVO-Konformität bis zum EU AI Act.
Zum Abschnitt springen
Regel Nr. 1: Kostenlose Version = Keine Geschäftsdaten
Verwenden Sie niemals kostenlose oder Consumer-KI-Tarife für Geschäftsdaten
Jeder große KI-Anbieter nutzt Daten aus kostenlosen Tarifen standardmäßig für das Modelltraining. Die Regel ist immer dieselbe: Consumer-Tarife trainieren mit Ihren Daten, Business-Tarife nicht. Das ist der wichtigste Punkt, den es zu beachten gilt.
Die gute Nachricht: Alle vier großen KI-Anbieter – OpenAI (ChatGPT), Anthropic (Claude), Google (Gemini) und Microsoft (Copilot) – bieten Business-Tarife mit ordentlichen Auftragsverarbeitungsverträgen (AVVs) und No-Training-Garantien. Die schlechte Nachricht: Ihre kostenlosen Tarife bieten keinen dieser Schutzmechanismen.
Wer trainiert mit Ihren Daten?
Das ist die entscheidende Frage. Hier die Antwort, aufgeschlüsselt nach Tarifart:
| Anbieter | Kostenlos / Consumer | Business / Enterprise |
|---|---|---|
| OpenAI | Ja – Free, Plus, Pro trainieren standardmäßig | Nein – Team, Enterprise, API |
| Anthropic | Ja – Consumer Claude seit Sept. 2025 | Nein – Team, Enterprise, API |
| Ja – Kostenloses Gemini trainiert standardmäßig | Nein – Workspace-Bezahltarife | |
| Microsoft | Ja – Consumer Copilot | Nein – M365 Copilot |
Alle vier Anbieter bieten Opt-out für Consumer-Tarife an, aber Opt-out ist nicht rückwirkend und schwer teamübergreifend durchzusetzen. Der einzig sichere Ansatz für die geschäftliche Nutzung ist ein Bezahltarif mit AVV.
Anbietervergleich: AVVs, Datenresidenz & Aufbewahrung
Über das Training hinaus sind drei Dinge für die DSGVO-Konformität entscheidend: ob ein AVV existiert, wo Ihre Daten gespeichert werden und wie lange sie aufbewahrt werden.
OpenAI (ChatGPT)
AVV
Aktualisiert Jan. 2026. Gilt für Team, Enterprise, API.
EU-Datenresidenz
Verfügbar seit Feb. 2025. In-Region GPU-Inferenz seit Jan. 2026. Ohne Aufpreis.
Datenaufbewahrung
Enterprise: individuell (mind. 90 Tage). API: 30 Tage Standard, Zero-Data-Retention verfügbar.
Anthropic (Claude)
AVV
Automatisch in den kommerziellen Bedingungen enthalten. Enthält Standardvertragsklauseln.
EU-Datenresidenz
API: EU-Regionen seit Aug. 2025 (AWS). Consumer claude.ai: nur USA.
Datenaufbewahrung
API: 7 Tage (reduziert Sept. 2025). Zero-Data-Retention-Zusatz verfügbar.
Google (Gemini for Workspace)
AVV
Cloud Data Processing Addendum (CDPA). Automatisch für EWR-Nutzer.
EU-Datenresidenz
Folgt den bestehenden Workspace-Datenregion-Einstellungen. Admin-gesteuert.
Datenaufbewahrung
Nur sitzungsbasiert. Keine Speicherung von Prompts oder Antworten über die Nutzersitzung hinaus.
Microsoft (M365 Copilot)
AVV
Microsoft Products and Services DPA. Enterprise-Niveau.
EU-Datenresidenz
EU Data Boundary Service. Landesinterne Verarbeitung für Deutschland wird 2026 ausgebaut.
Datenaufbewahrung
Geregelt durch M365-Datenlebenszyklusrichtlinien. Übernimmt Ihr bestehendes Compliance-Setup.
Achtung: Unterauftragsverarbeiter
Microsoft Copilot hat Anthropic im Januar 2026 als Unterauftragsverarbeiter hinzugefügt. Für EU/EFTA/UK-Mandanten ist dies standardmäßig deaktiviert, da Anthropic-Daten von der EU-Datenresidenz ausgenommen sind. Prüfen Sie Ihre Admin-Einstellungen.
Datenklassifizierung: Was darf in die KI?
Bevor Daten in ein KI-Tool eingegeben werden, muss Ihr Team wissen, welche Sensibilitätsstufe sie haben. Hier ein praktisches Vier-Stufen-Modell:
Öffentlich
Veröffentlichte Finanzdaten, Pressemitteilungen, öffentliche Preise. Sicher mit jedem KI-Tool verwendbar.
Intern
Interne Budgets, Organigramme, allgemeine Richtlinien. Nur mit Business-KI-Tools mit AVV verwenden.
Vertraulich
Finanzprognosen, unveröffentlichte Ergebnisse, Kundenlisten, Lieferantenverträge, strategische Pläne. Nur Enterprise-KI-Tools – mit AVV, EU-Residenz und No-Training-Garantien.
Streng vertraulich
Bankverbindungen, Zahlungskartendaten, Mitarbeiter-PII (Gehälter, Steuer-IDs), Zugangsdaten, Geschäftsgeheimnisse. Nicht mit externen KI-Tools verwenden. Nur On-Premise- oder Zero-Data-Retention-Bereitstellungen in Betracht ziehen.
DSGVO-Compliance-Checkliste
Wenn Ihr Finanzteam in der EU tätig ist, müssen Sie Folgendes prüfen, bevor Sie ein KI-Tool einführen:
Unterzeichneter Auftragsverarbeitungsvertrag (AVV)
Deckt Ihren spezifischen Anwendungsfall, Datentypen und jurisdiktionelle Anforderungen ab.
Bestätigte No-Training-Richtlinie
Schriftliche Bestätigung, dass Ihre Daten niemals für das Modelltraining verwendet werden.
EU-Datenresidenz aktiviert
Daten werden innerhalb der EU gespeichert und verarbeitet. Prüfen Sie die anbieterspezifische Verfügbarkeit oben.
Datenschutz-Folgenabschätzung (DSFA)
Erforderlich bei der Verarbeitung personenbezogener Daten (Mitarbeiterinformationen, Kundendaten, Lieferantendetails).
Rechtsgrundlage identifiziert
Einwilligung, berechtigtes Interesse oder Vertragserfüllung für jeden Anwendungsfall dokumentiert.
Interne KI-Nutzungsrichtlinie
Klare Richtlinien, welche Tools genehmigt sind, welche Daten verwendet werden dürfen und wer Ausnahmen autorisieren kann.
Prüfung der Unterauftragsverarbeiter
Wissen, welche Dritten Ihre Daten verarbeiten. Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT).
KI-Kompetenzschulung
Seit Februar 2025 gemäß EU AI Act verpflichtend. Mitarbeitende müssen die Datenschutzauswirkungen verstehen.
Das EU AI Act: Was Sie wissen müssen
Das EU AI Act trat am 1. August 2024 in Kraft, mit gestaffelter Durchsetzung. Hier ist, was bereits gilt und was kommt:
Bereits in Kraft (seit Feb. 2025)
- • Verbotene KI-Praktiken untersagt (Social Scoring, manipulative KI)
- • KI-Kompetenzpflichten: Mitarbeitende, die KI nutzen, müssen ausreichendes Verständnis der Tools haben
Ab August 2026
- • Volle Durchsetzung für Hochrisiko-KI-Systeme (Kreditwürdigkeitsprüfung, Beschäftigungsentscheidungen)
- • Transparenzanforderungen: Nutzer müssen informiert werden, wenn sie mit KI interagieren
- • Risikomanagementsysteme, technische Dokumentation, Grundrechte-Folgenabschätzungen
Was gilt als Hochrisiko im Finanzbereich?
Die meisten allgemeinen KI-Anwendungen (Entwürfe erstellen, Zusammenfassen, Analysieren) fallen unter minimales Risiko ohne besondere Auflagen. Jedoch wird KI zur Kreditwürdigkeitsprüfung oder Kredit-Scoring als Hochrisiko eingestuft. KI für automatisierte Entscheidungsfindung mit Auswirkungen auf Einzelpersonen kann ebenfalls qualifizieren. Strafen: bis zu 35 Millionen EUR oder 7% des weltweiten Umsatzes.
Ihr Aktionsplan
Das sollten Sie diese Woche tun:
Aktuelle KI-Tools auditieren
Listen Sie jedes KI-Tool auf, das Ihr Team verwendet. Prüfen Sie: Ist es ein kostenloser oder bezahlter Tarif? Gibt es einen AVV? Wo werden Daten gespeichert?
Auf Business-Tarife upgraden
Migrieren Sie alle Teammitglieder sofort von kostenlosen/Consumer-Tarifen. Die Kosten sind minimal im Vergleich zum Compliance-Risiko.
Daten klassifizieren
Nutzen Sie das Vier-Stufen-Modell oben. Stellen Sie sicher, dass jeder im Team weiß, mit welcher Datenstufe er arbeitet.
KI-Nutzungsrichtlinie erstellen
Eine Seite reicht. Welche Tools sind genehmigt, welche Datenstufen sind pro Tool erlaubt, wer autorisiert Ausnahmen.
EU-Datenresidenz aktivieren
Prüfen Sie Ihre Admin-Einstellungen bei jedem Anbieter. Die meisten bieten EU-Speicherung ohne Aufpreis bei Business-Tarifen.
Team schulen
KI-Kompetenz ist seit Februar 2025 gemäß EU AI Act gesetzlich vorgeschrieben. Vermitteln Sie die Grundlagen: welche Daten wohin, was zu vermeiden ist, wann zu fragen ist.
Das Fazit
KI im Finanzbereich zu nutzen ist nicht riskant – sie sorglos zu nutzen schon. Mit einem Business-Tarif, einem unterzeichneten AVV, EU-Datenresidenz und klaren internen Richtlinien kann Ihr Team KI souverän einsetzen und vollständig konform bleiben. Die Einrichtung dauert einen Tag. Die Produktivitätsgewinne halten für immer.
Konform bleiben, informiert bleiben
Abonnieren Sie unseren Newsletter für Updates zu KI-Datenschutz, neuen Vorschriften und praktischen Leitfäden für Finanzteams.