NotebookLM DSGVO-konform betreiben: Ein umfassender Leitfaden

Futuristisches KI-Labor mit Notebook und EU-Schild mit Schloss als Symbol für DSGVO/Datenschutz
Ethik & Recht Strategie & Management Tools & Technologien

NotebookLM DSGVO-konform betreiben: Ein umfassender Leitfaden

50 * gelesen
Table of Contents

NotebookLM ist ein KI-basiertes Recherche- und Autorenwerkzeug von Google, das Unternehmen beim Zusammenfassen und Extrahieren von Informationen unterstützt. Für DSGVO-konforme Nutzung in Deutschland und der EU sind jedoch mehrere wichtige Schritte erforderlich. Die zentrale Herausforderung liegt darin, dass die kostenlose NotebookLM-Version standardmäßig Daten in den USA speichert, während der Einsatz in Unternehmen eine strenge Einhaltung europäischer Datenschutzvorschriften erfordert. Dieser Leitfaden zeigt Ihnen ein strukturiertes Vorgehen, um NotebookLM rechtssicher einzusetzen.

Grundlegende Architektur-Entscheidungen für EU-Konformität

Die erste kritische Entscheidung betrifft die Wahl der richtigen NotebookLM-Version. NotebookLM existiert in zwei grundlegend unterschiedlichen Varianten mit je eigenen Datenschutzimplikationen. Die kostenlose Version, die über ein privates Google-Konto zugänglich ist, speichert Ihre Daten nicht standortgebunden – Google gibt Nutzern keine Kontrolle über den Speicherort. Dies ist ein erhebliches Hindernis für DSGVO-Konformität, da die Verordnung in der Regel verlangt, dass personenbezogene Daten innerhalb der EU verarbeitet werden.[1][2][3][4]

NotebookLM Enterprise ist hingegen speziell für Unternehmensumgebungen konzipiert und bietet die notwendigen Compliance-Funktionen. Bei dieser Version können Sie explizit auswählen, dass Ihre Daten in der EU-Multiregion verarbeitet werden – nicht in den USA. Die Daten verbleiben in Ihrem Google Cloud-Projekt und können nicht extern freigegeben werden. Zusätzlich unterstützt NotebookLM Enterprise Virtual Private Cloud Service Controls (VPC-SC), eine technische Isolationsschicht für zusätzliche Sicherheit. Diese Funktionen sind für Unternehmen, die sensible Daten verarbeiten oder unter europäischen Datenschutzrichtlinien operieren, essentiell.[4][5]

Ein weiterer wichtiger Punkt: Google hat bestätigt, dass NotebookLM bei Google Workspace- und Google Workspace for Education-Nutzern nicht von Prüfern eingesehen und nicht zum Training von KI-Modellen verwendet wird. Das ist eine wesentliche Klarstellung, denn es bedeutet, dass Ihre Eingaben Ihre KI nicht „verschmutzen“ oder zu deren Verbesserung beitragen – es sei denn, Sie geben explizites Feedback.[3]

Datenschutz-Folgenabschätzung: Wann sie obligatorisch ist

Nach Artikel 35 der DSGVO muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ mit sich bringt. Bei KI-Systemen ist dies in der Regel der Fall. Besonders wichtig ist dies, wenn folgende Szenarien zutreffen:[6]

  • Profiling oder automatisierte Entscheidungsfindung
  • Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
  • Systematische umfangreiche Überwachung
  • Einsatz neuer Technologien (wie KI)

Die DSFA folgt einem systematischen Verfahren: Sie dokumentiert die Datenverarbeitung, prüft Rechtsgrundlagen, bewertet Risiken und identifiziert Risikominderungsmaßnahmen. Eine ordnungsgemäß durchgeführte DSFA ist nicht nur ein Compliance-Erfordernis – sie ist auch zentral für den neuen AI Act der EU, der ab verschiedenen Terminen (teilweise ab Februar 2025) gilt.[7]

Der Auftragsverarbeitungsvertrag: Rechtliche Absicherung

Wenn Google personenbezogene Daten in Ihrem Auftrag verarbeitet, wird Google zum Auftragsverarbeiter gemäß Artikel 28 DSGVO. Das bedeutet: Sie benötigen einen gültigen Auftragsverarbeitungsvertrag (AVV) oder Data Processing Addendum (DPA) mit Google.[8]

Der AVV muss dokumentieren, dass Google:

  • Daten nur auf Ihre Anweisung hin verarbeitet
  • Geeignete technische und organisatorische Sicherheitsmaßnahmen trifft
  • Die Daten nicht zu eigenen Zwecken nutzt
  • Ihre Weisungen bezüglich Betroffenenrechte (Auskunft, Löschung, Widerspruch) erfüllt

Datenhandhabung: Was Sie nicht hochladen sollten

NotebookLM ist nicht geeignet für die Verarbeitung sensibler personenbezogener Daten. Konkret sollten Sie folgendes nicht hochladen:[2][9]

  • Kundendaten: Namen, E-Mail-Adressen, Kontonummern, Adressen (ohne Einwilligung)
  • Mitarbeiterdaten: Gehalt, Leistungsbewertungen, medizinische Informationen
  • Besondere Kategorien von Daten: Ethnische Herkunft, politische Überzeugungen, Gesundheitsdaten, biometrische Daten
  • Finanzinformationen: Kreditkartendaten, Kontoauszüge, Kreditwürdigkeitsbewertungen
  • Rechtsstreitigkeiten und Kontakte: Interne Korrespondenz zu laufenden Rechtsstreitigkeiten

Stattdessen empfiehlt sich für die Erprobung ein Einsatz mit anonymisierten oder generalisierten Beispieldaten.[9]

Unternehmensrichtlinien und Governance-Strukturen

Ein Unternehmen, das NotebookLM einsetzt, benötigt eine verbindliche KI-Richtlinie. Diese Richtlinie sollte u. a. regeln:[7][10]

  • Erlaubte Anwendungsfälle und verbotene Nutzungsszenarien
  • Genehmigungsprozesse und Rollen
  • Qualitätssicherung (menschliches Review, da KI halluzinieren kann)
  • Verantwortlichkeiten (DSB, KI-Lead, IT)

Mitarbeiterschulung und AI-Act-Anforderungen

Ab dem 2. Februar 2025 sind Unternehmen verpflichtet, Mitarbeitende zu schulen, wenn sie KI einsetzen. Die Schulung sollte u. a. abdecken:[10][11]

  • DSGVO- und AI-Act-Grundlagen
  • Datenschutz & Datensicherheit
  • Urheberrecht
  • Risiken/Limitations von KI
  • Interne Richtlinien & Fallbeispiele
  • Sichere Bedienung von NotebookLM

Der Nachweis über Schulungen ist wichtig (Dokumentation der Teilnahme und Inhalte).[10]

Datenstandort, Transfer und internationale Aspekte

Die Speicherung in der EU ist ein Schlüsselaspekt. Bei NotebookLM Enterprise kann die EU-Multiregion gewählt werden; bei der kostenlosen Version besteht diese Kontrolle in der Regel nicht.[4]

Register der Verarbeitungstätigkeiten

Für NotebookLM sollte das Verzeichnis nach Art. 30 DSGVO u. a. dokumentieren:[7]

  • Zweck und Art der Verarbeitung
  • Kategorien personenbezogener Daten
  • Empfänger/Zugriffe
  • Aufbewahrungsfristen
  • Technische und organisatorische Maßnahmen

Häufige Fehler und wie Sie diese vermeiden

  1. USA-Region nutzen, ohne es zu bemerken → Enterprise + EU-Region.
  2. Kundendaten ohne Rechtsgrundlage hochladen → klare Richtlinien, anonymisierte Testdaten.
  3. DSFA vergessen → früh mit DSB klären und dokumentieren.[6]
  4. KI-Output ungeprüft weitergeben → menschliches Review verpflichtend.[7]
  5. Schulungen nicht dokumentieren → Nachweise archivieren.[10]

Zusammenfassung: Die Kernschritte zu DSGVO-Konformität

  1. NotebookLM Enterprise für Unternehmenseinsatz
  2. EU-Region explizit konfigurieren
  3. DSFA (falls erforderlich) durchführen
  4. AVV/DPA mit Google abschließen
  5. KI-Richtlinien definieren
  6. Mitarbeiterschulungen durchführen und nachweisen
  7. Alles dokumentieren (Register, DSFA, Schulungen, Richtlinien)
  8. Nur nicht-sensible Daten einsetzen
  9. Outputs prüfen, bevor sie weitergegeben werden

Quellen

[1] https://cortina-consult.com/wp-content/uploads/2025/03/NotebookLM_Anleitung.pdf
[2] https://sekretaerinnen-verband.de/notebooklm-im-sekretariat/
[3] https://support.google.com/notebooklm/answer/16164461?hl=de&co=GENIE.Platform%3DDesktop
[4] https://docs.cloud.google.com/gemini/enterprise/notebooklm-enterprise/docs/overview?hl=de
[5] https://www.zoi.tech/de/workspace/notebooklm-gemini-enterprise
[6] https://www.isico.de/blog/datenschutz-folgenabschaetzung-dsfa-fuer-ki-tools-wie-unternehmen-rechtssicher-ki-einsetzen-koennen
[7] https://www.telekom-mms.com/blog/artikel/detail/datenschutz-ki-so-gelingt-der-dsgvo-konforme-einsatz-von-ki-systemen
[8] https://www.propstack.de/auftragsverarbeitung/
[9] https://zendit.digital/notebooklm-eigene-dokumente/
[10] https://www.gvw.com/aktuelles/blog/detail/kuenstliche-intelligenz-pflicht-zur-schulung-von-mitarbeitern-ab-februar-2025
[11] https://datenschutz-generator.de/ki-kompetenz/

Teile es

Related Posts

Willkommens-Text für AI-Fabrik Willkommen bei AI-Fabrik – Ihrer zentralen Plattform für AI-News, Tutorials und praktische Tipps! Hier finden Anwender und Unternehmer die neuesten Entwicklungen in Künstlicher Intelligenz, von Tools bis zu Enterprise-Strategien.