top of page

Datenschutz und Sicherheit bei KI-gestützten APIs: Kommerzielle versus eigene Lösungen

Autorenbild: Dr.-Ing. Timo KannengießerDr.-Ing. Timo Kannengießer

Datenschutz bei KI

Mit großen technischen Möglichkeiten kommt auch große Verantwortung, insbesondere, wenn es um Datenschutz und Datensicherheit bei KI innerhalb des Unternehmens geht. Dieser Blogbeitrag beleuchtet die Unterschiede zwischen kommerziellen KI-APIs und selbst gehosteten Lösungen und gibt Empfehlungen, wie Unternehmen den besten Weg für sich finden können.

 

Was ist eine API?

Eine API (Application Programming Interface) ist eine Art „Übersetzer“ zwischen verschiedenen Softwareanwendungen. Sie ermöglicht es Programmen, miteinander zu sprechen und Daten auszutauschen, ohne dass der Nutzer etwas davon merkt. Ein einfaches Beispiel: Stellen Sie sich eine API wie einen Kellner in einem Restaurant vor. Der Kellner nimmt Ihre Bestellung (Datenanforderung) entgegen, übermittelt sie an die Küche (das System) und bringt Ihnen das fertige Gericht (die Antwort) zurück. Unternehmen können so über eine API auf die Funktionen eines KI-Modells zugreifen und Ergebnisse wie Texte oder Analysen erhalten, ohne die KI selbst betreiben zu müssen.

 

Kommerzielle APIs: Einfach, aber mit Einschränkungen

Kommerzielle Anbieter wie OpenAI oder Anthropic bieten APIs an, die KI-Modelle zugänglich machen, ohne dass Unternehmen die zugrunde liegende Infrastruktur oder das Training selbst betreiben müssen. Der Vorteil ist die einfache Integration und die überzeugende Leistungsfähigkeit der Modelle. Dennoch gibt es Aspekte, die genau geprüft werden sollten:

 

  • Datenschutzrisiken: Bei der Nutzung einer kommerziellen API verlassen die Daten das eigene Netzwerk und werden auf Servern der Anbieter verarbeitet. Hier ist entscheidend, ob die Daten in der EU oder außerhalb in einem Drittland wie beispielsweise den USA verarbeitet werden. Innerhalb der EU sorgt ein Auftragsverarbeitungsvertrag (AVV) im Sinne der DSGVO für eine rechtssichere Datenverarbeitung. Kommt ein Drittland ins Spiel, ist dies unter bestimmten Bedingungen auch möglich, aber deutlich komplizierter.

  • Abhängigkeit: Unternehmen binden sich an die Infrastruktur und Preispolitik des Anbieters. Eine langfristige Abhängigkeit kann strategische Risiken bergen, beispielsweise durch Preisanpassungen. OpenAI hat im Jahr 2024 Milliardenverluste zu verzeichnen. Um profitabel zu werden erscheint es naheliegend, dass es Preissteigerungen geben wird.

  • Flexibilität: Die Modelle sind vorgegeben und können nur begrenzt angepasst werden, was für spezialisierte Anwendungsfälle problematisch sein kann.

 

Eigene KI-Lösungen: Datenschutz und Kontrolle

Wer maximale Kontrolle über seine Daten und die Verarbeitung haben möchte, sollte eine eigene KI-Infrastruktur in Betracht ziehen. Dies bedeutet allerdings, dass erhebliche Ressourcen investiert werden müssen:

 

  • Self-Hosting mit Open Source: Tools wie vLlm oder Ollama ermöglichen sehr einfach, KI-Modelle auf der eigenen Hardware zu betreiben. Diese Open-Source-Ansätze bieten Flexibilität und Transparenz, erfordern jedoch technisches Know-how und eine leistungsfähige Infrastruktur. Auch eine Anpassung der Modelle ist möglich und erhöht den Wert der Anwendung.

  • Cloud-Lösungen in der EU: Alternativ können Unternehmen ihre KI-Anwendungen in einem Rechenzentrum innerhalb der EU selbst hosten. Hierfür können neben den großen drei Providern, Anbieter wie Hetzner, OVHCloud, ScaleUp oder Stackit gewählt werden. Mit allen können AVV abgeschlossen werden und diese entsprechen den gesetzlichen Anforderungen der DSGVO .

  • Kostenfaktor: Eigenes Hosting oder spezialisierte EU-Cloud-Dienste sind kostenintensiver als der Zugriff auf kommerzielle APIs. Dennoch bietet diese Option die höchste Sicherheit und Datenschutzkonformität.

 

Ein Kompromiss: Hybride Lösungen

Einige Unternehmen setzen auf hybride Ansätze, bei denen sensible Daten in einer sicheren Umgebung vorverarbeitet und gespeichert werden werden, bevor sie an eine kommerzielle API gesendet werden. Dieser Ansatz kann helfen, Datenschutzrisiken zu minimieren, während man die Vorteile der kommerziellen KI-Modelle nutzt.

Wer sicher gehen möchte, sollte jedoch eine eigene KI-Infrastruktur hosten oder auf ein EU-Rechenzentrum mit AVV setzen. Dieser Ansatz erfordert zwar finanzielle Investitionen, bietet aber höchste Sicherheit und die volle Kontrolle über die Daten. Für viele Unternehmen kann dies die beste Lösung sein, um langfristig Datenschutzrisiken zu minimieren und den regulatorischen Anforderungen gerecht zu werden.


Datenschutz bei KI: Balance zwischen Innovation und Sicherheit


  • Kommerzielle APIs bieten schnellen Zugang zu leistungsfähigen KI-Modellen und eignen sich besonders für kleinere Unternehmen mit begrenzten Ressourcen.

  • Eigene Lösungen bieten maximale Kontrolle, sind jedoch ressourcenintensiv.

  • Hybride Ansätze können ein guter Mittelweg sein.

 

Letztendlich hängt die Wahl der passenden Lösung von den individuellen Anforderungen, Ressourcen und strategischen Zielen eines Unternehmens ab. Dabei sollte nicht nur die technische Umsetzung, sondern auch der Datenschutz, die langfristige Skalierbarkeit und die Unabhängigkeit vom Anbieter berücksichtigt werden.

 

Ein weiterer entscheidender Aspekt ist die Schulung der Mitarbeiter. Diese sind nicht nur erforderlich, um die Technologie effektiv zu nutzen, sondern besonders wichtig, wenn kommerzielle APIs eingesetzt werden. Die Belegschaft muss verstehen, welche Daten verarbeitet werden dürfen und wie ein sicherer Umgang gewährleistet wird, um Compliance-Risiken zu minimieren.

 

Neugierig auf einen Vergleich?

Habt ihr Lust verschiedene self-hosted und kommerzielle Modelle live im Einsatz zu sehen und die Performance zu vergleichen? Sprecht mich gerne an und vereinbart einen Termin mit mir.



bottom of page