Datenschutz bei KI-Coding-Tools
Code, Kommentare, manchmal Kundendaten – was du in ein KI-Tool tippst, geht an einen externen Anbieter. So behältst du den Überblick.
Was tatsächlich den Rechner verlässt
Schickst du einem KI-Coding-Tool eine Datei oder einen Prompt, geht der komplette Inhalt an die Server des Anbieters – Code, Kommentare, manchmal Konfigurationsdateien mit Zugangsdaten, wenn sie versehentlich mitgeschickt werden. Anders als bei einem lokal laufenden Linter passiert die Verarbeitung nicht auf deinem Rechner.
Training vs. Verarbeitung
Dass ein Anbieter deine Daten verarbeitet, um dir zu antworten, ist etwas anderes, als sie zum Training künftiger Modelle zu nutzen. Bei kommerziellen Produkten wie der Claude-API, Claude Code oder Claude for Work nutzt Anthropic Eingaben und Ausgaben standardmäßig NICHT zum Training – anders als bei Consumer-Apps mit eigenen Regeln. Vor dem Team-Einsatz eines Tools lohnt sich ein Blick in genau diese Unterscheidung.
Secrets gehören nie in den Prompt
API-Keys, Passwörter, private Zertifikate landen trotzdem in Logs und Übertragungswegen, selbst wenn Eingaben nicht trainiert werden. Halte Secrets aus Prompts, geteilten Dateien und Repos komplett raus.
DSGVO-Blick
Verarbeitet ein KI-Tool personenbezogene Daten – Namen, E-Mails, Kundendaten in Testdaten –, greift die DSGVO: typischerweise mit Rechtsgrundlage, oft einem Auftragsverarbeitungsvertrag mit dem Anbieter.
Team-Regeln, die helfen
Eine kurze, klare Liste hilft mehr als ein langes Dokument: welche Tools erlaubt sind, welche Datenklassen niemals in einen Prompt dürfen, und wer im Zweifel gefragt wird.
BEISPIEL
Kurzer Team-Regel-Textbaustein zum Wiederverwenden: 'Erlaubt: [Tool X, Tool Y] für Code ohne echte Kundendaten. Verboten: API-Keys, Passwörter, echte Kundendaten oder Gesundheitsdaten in jedem Prompt. Bei Unsicherheit: vorher fragen, nicht nachträglich löschen.'
🛠️ ÜBUNG — MACH DAS BEI DIR
Prüfe für ein KI-Tool, das du (oder dein Team) nutzt, konkret die Datenschutz-Regeln.
- Finde die offizielle Datenschutz-/Privacy-Seite des genutzten Tools und suche gezielt nach 'Training' oder 'model training'.
- Stelle fest, ob du ein Consumer-Konto oder ein kommerzielles/Team-Konto nutzt – die Regeln können sich unterscheiden.
- Durchsuche eure letzten Prompts/Chats stichprobenartig nach Secrets oder echten Kundendaten.
- Formuliere eine kurze Team-Regel (3-5 Sätze), welche Datenklassen nie in einen Prompt dürfen.
✅ SELBST-CHECK
- ☐ Hast du herausgefunden, ob deine Chats fürs Modell-Training genutzt werden?
- ☐ Weißt du, ob du ein Consumer- oder ein kommerzielles Konto nutzt?
- ☐ Hast du eine kurze Team-Regel formuliert, welche Daten nie in einen Prompt dürfen?
KURZ-QUIZ
Was ist bei Anthropics kommerziellen Produkten (z. B. Claude API, Claude for Work) die Standard-Regel zum Modell-Training?
QUELLEN
- Anthropic Privacy Center: Is my data used for model training? ↗ privacy.claude.com
- Anthropic Commercial Terms of Service ↗ www.anthropic.com
- DSGVO-Volltext (gdpr-info.eu) ↗ gdpr-info.eu
- Anthropic Privacy Policy ↗ www.anthropic.com