Darf AI meinen Code sehen? Wo werden Daten verarbeitet? Was sagt der Datenschutzbeauftragte? Die wichtigsten Compliance-Fragen für AI-Development — praxisnah beantwortet.
Die Compliance-Frage
Jeder CTO, der AI-Development evaluiert, bekommt früher oder später Besuch vom Datenschutzbeauftragten. Oder vom Legal-Team. Oder vom Betriebsrat.
Die Fragen sind immer dieselben:
- Wo wird unser Code verarbeitet?
- Wer hat Zugriff auf die Daten?
- Wird unser Code für Training verwendet?
- Ist das DSGVO-konform?
Hier sind die Antworten.
Was die DSGVO tatsächlich betrifft
Personenbezogene Daten im Code
Die DSGVO schützt personenbezogene Daten. Code selbst ist selten "personenbezogen" — aber:
- Test-Daten mit echten Kundendaten — Wenn deine Fixtures echte E-Mail-Adressen oder Namen enthalten, ist das relevant
- Konfigurationsdateien — Wenn Connection-Strings oder Credentials personenbezogene Daten enthalten
- Kommentare und Commit-Messages — "Fix für Herr Müllers Account" enthält einen Namen
Code als Geschäftsgeheimnis
Die DSGVO ist hier nicht das einzige Thema. Dein Code ist geistiges Eigentum. Relevante Fragen:
- Wird Code auf Servern außerhalb der EU verarbeitet?
- Kann der Plattform-Anbieter den Code einsehen?
- Wird Code für das Training von AI-Modellen verwendet?
Die fünf wichtigsten Compliance-Anforderungen
1. Data Residency
Anforderung: Code und Daten werden ausschließlich in der EU verarbeitet.
Warum wichtig: Sobald Daten die EU verlassen, gelten zusätzliche Anforderungen (SCCs, Angemessenheitsbeschlüsse). Einfacher: EU bleiben.
Worauf achten:
- Wo stehen die Server des Anbieters?
- Werden Daten an Sub-Prozessoren weitergeleitet?
- Gibt es eine Self-Hosting-Option?
2. Keine Verwendung für Training
Anforderung: Euer Code wird nicht verwendet, um AI-Modelle zu trainieren.
Warum wichtig: Wenn euer proprietärer Code in ein Trainingsset einfließt, könnte er — in Fragmenten — bei anderen Nutzern auftauchen.
Worauf achten:
- Vertragliche Zusicherung (opt-out ist nicht genug, es muss Standard sein)
- Technische Umsetzung (werden Prompts gecacht? Wie lange?)
- Audit-Möglichkeit
3. Zugriffskontrolle
Anforderung: Nur autorisierte Personen haben Zugriff auf euren Code.
Worauf achten:
- SSO-Integration (SAML, OIDC)
- Role-Based Access Control
- Audit Logs: Wer hat wann auf was zugegriffen?
4. Auftragsverarbeitung
Anforderung: Ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter.
Was drin stehen muss:
- Zweck und Dauer der Verarbeitung
- Art der verarbeiteten Daten
- Technische und organisatorische Maßnahmen (TOMs)
- Sub-Prozessoren-Liste
5. Löschung und Portabilität
Anforderung: Daten können auf Anfrage gelöscht und exportiert werden.
Worauf achten:
- Wie schnell kann gelöscht werden?
- Welche Daten werden überhaupt gespeichert?
- Gibt es einen Export?
Checkliste für die Anbieter-Evaluierung
Bevor du eine AI-Development-Plattform einführst, prüfe:
- EU-Data-Residency verfügbar?
- AVV/DPA angeboten?
- SOC 2 oder ISO 27001 zertifiziert?
- Kein Training auf Kundendaten?
- SSO und RBAC unterstützt?
- Audit Logs vorhanden?
- Self-Hosting-Option für besonders sensitive Bereiche?
- DSGVO-Konformitäts-Dokumentation verfügbar?
Das Gespräch mit dem Datenschutzbeauftragten
Bereite dich vor. Komm nicht mit "ich möchte gern AI nutzen", sondern mit:
- 1.Konkreter Use Case (was macht die AI mit welchen Daten?)
- 2.Datenfluss-Diagramm (wo fließen Daten hin?)
- 3.AVV des Anbieters (vorausgefüllt)
- 4.Technische Maßnahmen (Verschlüsselung, Zugriffskontrollen)
Je besser du vorbereitet bist, desto schneller bekommst du ein "Ja".
Fazit
DSGVO-Konformität bei AI-Development ist kein unlösbares Problem. Es erfordert Sorgfalt und die richtige Plattform-Wahl.
Die gute Nachricht: Die führenden Anbieter haben verstanden, dass Compliance in Europa kein Nice-to-have ist. Die Tools sind da. Die Verträge sind da. Du musst nur die richtigen Fragen stellen.
