Notebook LM im Unternehmen: Warum „kein Training" nicht gleich datenschutzkonform ist

Analysiere Datenschutzaspekte von Notebook LM.

Datenschutz-Risiken bei Bei Notbook LM

„Meine KI wird doch gar nicht mit Daten trainiert – also ist doch alles datenschutzkonform, oder?" Wenn du so denkst, bist du nicht allein. Doch leider ist diese Annahme ein weit verbreiteter Irrtum, der Unternehmen teuer zu stehen kommen kann. Denn DSGVO-Konformität bedeutet weitaus mehr als nur die Frage, ob deine Eingaben zum Training eines KI-Modells verwendet werden. Gerade bei Google Notebook LM, Googles dokumentenbasierter KI-Anwendung, lauern rechtliche Fallstricke, die du unbedingt kennen solltest.

Was ist Google Notebook LM überhaupt?

Bevor wir in die rechtlichen Details eintauchen, kurz zur Einordnung: Notebook LM unterscheidet sich grundlegend von ChatGPT oder Claude. Während diese KI-Systeme auf Informationen aus dem gesamten Internet zurückgreifen, arbeitet Notebook LM ausschließlich mit den Dokumenten, die du selbst hochlädst.

Du kannst der KI beispielsweise interne Unternehmensdokumente, Strategiepapiere, Richtlinien oder Dokumentationen zur Verfügung stellen – und sie durchsucht und analysiert nur diese Quellen. Das macht die Antworten präziser und verhindert, dass fremde Informationen einfließen. Klingt erstmal nach einer sicheren Sache, oder?

Der große Datenschutz-Mythos

Hier kommt der entscheidende Punkt: Auch wenn Google deine Daten nicht zum Training nutzt, verarbeitet das Unternehmen sie trotzdem. Und genau hier beginnen deine datenschutzrechtlichen Pflichten. Viele Unternehmer unterschätzen, dass bereits die reine Verarbeitung durch einen Drittanbieter wie Google eine Reihe von gesetzlichen Anforderungen nach sich zieht.

Die Tatsache, dass keine Trainingsdaten entstehen, ist zwar datenschutzfreundlich – aber noch lange nicht ausreichend für vollständige Rechtskonformität.

Die wichtigsten Datenschutz-Pflichten im Überblick

Informationspflicht gegenüber Betroffenen

Du musst alle Personen, deren Daten du verarbeitest, darüber informieren – und zwar in Form einer sogenannten Datenschutzpflichtinformation. Das betrifft:

  • Webseitenbesucher
  • Mitarbeiter
  • Kunden und Interessenten
  • Bewerber
  • Projektpartner
  • Sonstige Dritte

Für jede dieser Gruppen benötigst du eine separate Datenschutzerklärung, in der du Notebook LM als Empfänger oder Empfängerkategorie ausweist. Denn auch wenn die Daten nicht trainiert werden – sie landen bei Google und werden dort verarbeitet.

Vertrag zur Auftragsverarbeitung (AV-Vertrag)

Sobald du Daten durch einen externen Dienstleister verarbeiten lässt, ist ein Auftragsverarbeitungsvertrag (früher ADV oder AVV) Pflicht. Google verarbeitet in deinem Auftrag personenbezogene oder unternehmensinterne Daten – also musst du mit Google einen solchen Vertrag abschließen.

Ohne diesen Vertrag bewegst du dich in einer rechtlichen Grauzone, die bei Prüfungen durch Datenschutzbehörden schnell zum Problem werden kann.

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Jedes Unternehmen muss ein Verzeichnis von Verarbeitungstätigkeiten führen. Darin dokumentierst du:

  • Zu welchen Zwecken werden Daten verarbeitet?
  • Auf welcher rechtlichen Grundlage geschieht das?
  • Welche Ziele verfolgt die Datenverarbeitung?
  • Welche Risiken sind damit verbunden?

Bei besonders sensiblen Daten oder hohen Risiken kann zusätzlich eine Datenschutz-Folgenabschätzung erforderlich sein. Gerade bei unternehmensinternen Dokumenten mit strategischer Relevanz solltest du diese Möglichkeit prüfen.

Protokollierung und Dokumentation

Du musst festlegen und dokumentieren:

  • Welche Mitarbeiter dürfen Notebook LM nutzen?
  • Welche Art von Daten dürfen hochgeladen werden?
  • Zu welchen Zwecken darf die KI eingesetzt werden?
  • Wie werden die Ergebnisse weiterverwendet?

Ohne klare Richtlinien und Dokumentation wird es schwierig, im Ernstfall Rechenschaft abzulegen.

Warum die Einzelfallprüfung entscheidend ist

Die Frage „Ist Notebook LM datenschutzkonform?" lässt sich nicht pauschal mit Ja oder Nein beantworten. Es kommt auf deinen konkreten Anwendungsfall an:

  • Welche Funktionen soll die KI in deinem Unternehmen erfüllen?
  • Welche Daten landen tatsächlich im System?
  • Wie informierst du Betroffene über die Verarbeitung?
  • Wie stellst du die vollständige Dokumentation sicher?

Erst wenn all diese Fragen geklärt und dokumentiert sind, kannst du Notebook LM wirklich rechtskonform einsetzen.

Risiken bei Missachtung

Wer datenschutzrechtliche Pflichten ignoriert, riskiert:

  • Abmahnungen durch Wettbewerber oder Betroffene
  • Bußgelder durch Datenschutzbehörden (bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes)
  • Schadensersatzforderungen von Betroffenen

Gerade bei hochsensiblen Unternehmensdaten, die du in Notebook LM hochlädst, kann ein Datenschutzverstoß existenzbedrohend werden.

Fazit: Nicht nur auf das Training schauen

Screenshot von Notebook LM, der Fragen zur Datenschutzkonformität zeigt.

Datenschutz bei NotebookLM bedeutet mehr als nur "Training ausschalten"!

Die wichtigste Erkenntnis: Datenschutzkonformität endet nicht bei der Frage, ob deine Daten zum KI-Training genutzt werden. Selbst wenn Google ausdrücklich versichert, Notebook LM trainiere nicht mit deinen Dokumenten, bleiben zahlreiche rechtliche Pflichten bestehen – von der Informationspflicht über Auftragsverarbeitungsverträge bis hin zur vollständigen Dokumentation.

Bevor du Notebook LM in deinem Unternehmen einsetzt, solltest du dir folgende Fragen ehrlich beantworten:

  1. Habe ich alle Betroffenen ordnungsgemäß informiert?
  2. Liegt ein gültiger AV-Vertrag mit Google vor?
  3. Ist die Nutzung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert?
  4. Gibt es klare Richtlinien, wer welche Daten hochladen darf?

Dein nächster Schritt: Prüfe deine aktuelle Nutzung von KI-Tools im Unternehmen. Erstelle eine Liste aller verwendeten Dienste und gleiche ab, ob du die grundlegenden Datenschutzpflichten erfüllst. Nur so schützt du dich vor teuren Konsequenzen und kannst die Vorteile moderner KI-Technologie wirklich sicher nutzen.

Diese Webseite verwendet Cookies

Diese Webseite nutzt Cookies, um Ihnen das bestmögliche Erlebnis zu gewährleisten. Cookies helfen uns, die Webseite mit Analysen zu verbessern. Mit einem Klick auf „Zustimmen“, stimmen Sie der Verwendung von Cookies zu. Sie können Ihre Einwilligung jederzeit ändern, indem Sie unter "Optionen verwalten" Ihre getroffenen Einstellungen selbst rückgängig machen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Privatsphäre-Einstellungen

Wir verwenden Cookies und ähnliche Technologien auf unserer Website und verarbeiten personenbezogene Daten von dir (z.B. IP-Adresse), um z.B. Inhalte und Anzeigen zu personalisieren, Medien von Drittanbietern einzubinden oder Zugriffe auf unsere Website zu analysieren.

Die Datenverarbeitung kann auch erst in Folge gesetzter Cookies stattfinden. Wir teilen diese Daten mit Dritten, die wir in den Privatsphäre-Einstellungen benennen.

Einige Services verarbeiten personenbezogene Daten in den USA. Indem du der Nutzung dieser Services zustimmst, erklärst du dich auch mit der Verarbeitung deiner Daten in den USA gemäß Art. 49 (1) lit. a DSGVO einverstanden. Die USA werden vom EuGH als ein Land mit einem unzureichenden Datenschutzniveau nach EU-Standards angesehen. Insbesondere besteht das Risiko, dass deine Daten von US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden, unter Umständen ohne die Möglichkeit eines Rechtsbehelfs.

Du bist unter 16 Jahre alt? Dann kannst du nicht in optionale Services einwilligen. Du kannst deine Eltern oder Erziehungsberechtigten bitten, mit dir in diese Services einzuwilligen.


Ihre Einstellungen für Einwilligungen

Hier haben Sie die Möglichkeit, Ihre Einwilligung für die Datenverarbeitung durch Cookies zu erteilen oder zu widerrufen. Sie können Ihre Einstellungen jederzeit ändern. Weitere Informationen finden Sie in unserer Datenschutzerklärung.