Baden-Baden, 20.06.2026, Bericht: Redaktion Sorglos und naiv haben sich staatliche Organe in den letzten Jahren auf amerikanischen Plattformen getummelt und US-Software genutzt.

Etwa im Fall Palantir Technologies, wo inzwischen nicht nur Datenschützer massiv vor den Risiken für die Bürgerrechte und der Abhängigkeit von einem US-Konzern warnen

Nicht mehr ganz so sorglos nutzen manche Politiker die Kommunikations- und Video-Plattformen, die Daten der Volksvertreter abgreifen. Ein Blick auf manche naiven Baden-Badener Politiker ist erlaubt, die dort ihre Spaß-Videos verbreiten. Die EU-Institutionen schlagen nun andere Wege ein und unterstützen europäische Lösungen. Noch größer wird die Herausforderung bei der KI, die zweifellos einen großen Nutzen bringt. Bis zu 30 Prozent auch des öffentlichen Personals könne eingespart werden. Doch zu welchem Preis an Sicherheit und Unabhängigkeit? Die goodnews4-Radaktion hat die aufgeweckte, aber seelenlose KI befragt, die sich immerhin auch selbstkritisch gibt.

Hier die Antwort von ChatGPT am 19. Juni 2026 auf die Frage «Die KI könnte vielleicht schon heute helfen viel Geld zu sparen, etwa im Rathaus Baden-Baden. Doch das Misstrauen gegenüber amerikanischen Unternehmen wächst. Ist denn die KI ein vertrauenswürdiger Partner bei der Frage der Datensicherheit?»:

Gute Frage – und gerade bei einem Rathaus ist das Thema Vertrauen + Datensicherheit entscheidend. Kurz gesagt: Ja, KI kann ein vertrauenswürdiger Partner sein, aber nur, wenn sie rechtlich, technisch und organisatorisch so betrieben wird, dass Datenschutz, Informationssicherheit und Kontrolle gewährleistet sind. Es gibt leider auch Konstellationen, in denen das nicht der Fall ist.

Worauf es beim «vertrauenswürdigen KI-Einsatz» ankommt

1) Datenminimierung & Zweckbindung
• Welche Daten sollen überhaupt in die KI?
• Werden nur notwendige Daten genutzt (z. B. ohne personenbezogene Daten)?
• Werden Daten nur für den konkreten Zweck verarbeitet und nicht «irgendwo gespeichert»?

2) Standort/Verarbeitung & Datenhaltung
• Wo laufen Training/Verarbeitung (z. B. EU-Rechenzentrum, spezifische Region)?
• Gibt es Mandantenfähigkeit und getrennte Datenumgebungen?
• Gibt es keine oder klar begrenzte Speicherung in externen Systemen?

3) Zugriffskontrolle, Auditierbarkeit, Logging
• Wer darf auf die KI zugreifen? (rollenbasiert, MFA)
• Gibt es vollständige Protokolle (wer hat was eingegeben, was wurde genutzt)?
• Können Audits/Compliance-Nachweise erbracht werden?

4) Vertragliche und rechtliche Absicherung
• Werden die Anforderungen der DSGVO (Art. 28 Auftragsverarbeitung, Verantwortlichkeiten) sauber umgesetzt?
• Gibt es einen AV-Vertrag (Auftragsverarbeitung), klare Löschfristen, Geheimhaltung?
• Wie ist mit Drittländern (z. B. USA) umzugehen? Das ist oft der Kernpunkt bei Misstrauen.

5) Sicherheitsmaßnahmen gegen Datenabfluss

Typisch wären z. B.:
• Verschlüsselung in transit und at rest
• Schutz vor Prompt-/Datenabfluss (z. B. getrennte Verarbeitung, Filter, Red-Team-Tests)
• Schutzmechanismen für sensible Inhalte (DLP/PII-Erkennung)
• regelmäßige Sicherheitsupdates, Patch-Management, Penetrationstests Speziell zu «amerikanischen Unternehmen» und Vertrauen

Misstrauen ist nachvollziehbar, weil bei US-Anbietern in der Praxis Themen wie Datenzugriffe durch Behörden, Vertragslage und technische Architektur eine Rolle spielen können. Entscheidend ist nicht «USA vs. Deutschland», sondern:
• Wo werden die Daten verarbeitet?
• Wer hat Zugriff?
• Gibt es technische/vertragliche Garantien und kann man sie nachweisen?
• Gibt es ein Betriebsmodell, das das Risiko stark reduziert (z. B. On-Premise/Private Cloud in der EU oder eine konsequente Trennung der Daten).

Praktische Empfehlung für ein Rathaus (damit es belastbar wird)

Wenn Sie prüfen wollen, ob die KI «vertrauenswürdig» ist, lassen sich gute Kriterien formulieren:

1. Keine personenbezogenen Daten in der KI (zumindest für den Start) oder Pseudonymisierung/Tokenisierung.

2. Betrieb in der EU bzw. mit nachweisbaren Schutzmechanismen.

3. AV-Vertrag nach DSGVO, klare Löschfristen, Datenverarbeitungsbeschreibung.

4. Sicherheits- und Compliance-Nachweise: ISO 27001/27017 (oder gleichwertig), Pen-Tests, SOC 2 (wenn vorhanden), Auditberichte.

5. Daten-Governance: Freigaberegeln, Logging, Rechtekonzept, Störfall- und Löschkonzept.

Ein wichtiger Punkt: «KI» ist nicht automatisch «unsicher», Die Sicherheitslage hängt massiv davon ab, welches Produkt, welches Setup und welche Daten verwendet werden. Ein generisches Chat-Tool kann anders zu bewerten sein als eine kommunale, abgeschlossene Lösung mit strenger Architektur und Governance.