TL;DR
Datenschutzkonforme KI ist kein Siegel, sondern eine Konstruktion: dokumentierte Datenflüsse, Rollen- und Freigabemodell, Logging, AI-Act-Einordnung je Workflow und eine nachweisbare Entscheidung, ob und unter welchen Bedingungen externe Modellanbieter eingebunden werden. Für sensible Daten (Mandatsverhältnisse, Familien- und Portfoliodaten, Risikodaten) liefert eine private KI-Plattform die belastbare Antwort.
Warum das Thema dringlich ist
Viele Kanzleien und Family Offices verlassen sich beim Einsatz von KI auf AGB-Zusicherungen von Cloud-Anbietern. Das reicht für Standardfälle, greift aber zu kurz, sobald besonders schützenswerte Daten (Mandatsdaten, Familieninformationen, Risikoberichte) in den Verarbeitungsweg kommen. Der AI Act, das Berufsrecht und interne Governance-Anforderungen verlangen eine je Workflow dokumentierte Entscheidung, nicht einen pauschalen Satz im IT-Vertrag.
Was “datenschutzkonform” in der Praxis bedeutet
Datenschutzkonforme KI heißt, dass für jeden Workflow klar ist:
- Woher kommen die Daten, wohin gehen sie? Quellsystem, Zwischenspeicher, Vektordatenbank, Modell, Ausgabe, Protokollierung.
- Wer sieht was, wer gibt was frei? Rollenmodell, Freigabeschritte, Protokolle.
- Welche Rechtsgrundlage und welche AI-Act-Klassifizierung? Je Workflow, nicht pauschal.
- Welche externe Dienste sind eingebunden, zu welchen Bedingungen? AGB, AV-Vertrag, Modelltraining-Policy.
- Wie wird das aktuell gehalten? Betriebsakte, Monitoring, Änderungsprozess.
“DSGVO-sicher” als Etikett existiert nicht. Was es gibt: datenschutzkonform ausgestaltbare Architekturen, mit dokumentierten Entscheidungen.
Microsoft 365 Copilot und OpenAI: was die Anbieter sagen
Microsoft 365 Copilot hält laut Microsoft Prompts und Antworten innerhalb des Tenants und trainiert sie per Default nicht. OpenAI Business, Enterprise und die API trainieren Geschäftsdaten ebenfalls nicht per Default. Das macht beide Tools für viele Standardfälle einsetzbar. Die relevanten Differenzierungen liegen bei Hosting-Standort, Tenancy-Kontrolle, Integrations- und Modellwahl sowie Governance-Tiefe. Für besonders sensible Daten ist die Frage nicht “Copilot ja oder nein”, sondern “welche Workflows dürfen über Copilot laufen und welche brauchen eine private Plattform”.
Was Kanzleien und Family Offices konkret prüfen müssen
Steuerberatungskanzleien unterliegen dem Mandatsgeheimnis und berufsrechtlichen Anforderungen. Die BStBK empfiehlt für sensible Setups bevorzugt kontrollierte oder offline betriebene Lösungen. Für DATEV-nahe Workflows laufen strukturierte Abgleiche über freigegebene Datenservices, direkter Zugriff auf produktive Daten außerhalb dieser Pfade ist nicht vorgesehen. Vertiefung: Datenschutzkonforme KI für Steuerberater.
Family Offices verarbeiten Familien-, Portfolio- und Beteiligungsdaten mit hohen Vertraulichkeitsanforderungen. Die Frage ist hier weniger regulatorisch, mehr mandatsbezogen: die Familie erwartet, dass Daten im Haus bleiben. Vertiefung: Eigene KI für Family Offices.
Warum eine private KI-Plattform für sensible Fälle belastbar ist
In einer privaten KI-Plattform laufen Modell, Vektorspeicher und Protokolle unter eurer Kontrolle, in verwalteter Private Cloud, hybrid oder on-premise. Das löst drei typische Compliance-Fragen in einem Schritt: keine Weitergabe an externe Modellanbieter, dokumentierbare Datenflüsse, kontrollierbare Rollen- und Freigabepfade. Hintergrund und Deploymentpfade: Private KI-Infrastruktur für Unternehmen.
AI Act: was jetzt gilt
Artikel 4 des AI Act verpflichtet Anwender KI-basierter Systeme zu ausreichender KI-Kompetenz beim eingesetzten Personal. Das bedeutet Schulungsnachweise, nicht nur einmalige Inhouse-Briefings. Wir ordnen die Schulungspflicht in einem eigenen Beitrag ein: EU AI Act Schulungspflicht.
Wie ihr die Entscheidung strukturiert
Das KI-Workflow-Audit bewertet in 10 Tagen je Workflow Aufwand, Nutzen, Datenschutzlage und AI-Act-Relevanz. Ergebnis: eine priorisierte Liste, Rollen- und Freigabeskizze und ein Rolloutplan mit Abnahmekriterien. Wer den Kernworkflow bereits identifiziert hat, startet direkt mit dem Private-KI-Start.
Häufige Fragen
Müssen wir alles auf eine private KI umstellen? Nein. Standardfälle können über Microsoft 365 Copilot, OpenAI Enterprise oder ähnliche Dienste laufen, wenn die Policies und Verträge zur Datenklasse passen. Private Plattform ist für sensible Workflows die ergänzende Antwort.
Ist datenschutzkonforme KI gleichbedeutend mit DSGVO-konform? Nein. DSGVO ist ein Teil. Hinzu kommen Berufsrecht, AI Act und branchenspezifische Anforderungen (z. B. BStBK-Hinweise für Kanzleien, interne Familienrichtlinien im Family Office).
Wer gibt die endgültige Freigabe? Eure Datenschutz- und Fachverantwortlichen. Unsere Rolle: fundierte Entscheidungsgrundlage liefern (Architektur, Datenflüsse, Rollenmodell, AI-Act-Einordnung).
Gespräch vereinbaren
15 Minuten, vertraulich. Wir klären, welche eurer Workflows in welcher Umgebung laufen sollten. Erstgespräch vereinbaren.
