KI-Datenresidenz bezeichnet die geografischen und rechtlichen Anforderungen, die regeln, wo Daten gespeichert, verarbeitet und übertragen werden dürfen, wenn sie mit KI-Systemen genutzt werden. Da Organisationen cloudbasierte KI-Dienste einführen, ist die Sicherstellung der Einhaltung der Datenresidenz zu einem zentralen Governance-Anliegen geworden.
Zu den KI-spezifischen Herausforderungen der Datenresidenz gehören: die Hosting-Standorte von KI-Diensten (viele KI-Anbieter verarbeiten Daten in den USA, auch für internationale Kunden), die Geografie der Trainingsdaten (woher die zum Training der Modelle verwendeten Daten stammen und wo sie gespeichert werden), der Ort der Inferenzverarbeitung (wo Benutzeranfragen und KI-Antworten verarbeitet werden), Datencaching und -protokollierung (Zwischenspeicherung von KI-Interaktionen), das Modelltraining mit Nutzerdaten (ob Nutzereingaben zum Training von Modellen verwendet werden und wo dieses Training stattfindet) sowie grenzüberschreitende Datenübertragungen, die durch KI-API-Aufrufe ausgelöst werden.
Zu den regulatorischen Rahmenwerken, die Anforderungen an die Datenresidenz stellen, gehören: die DSGVO (Beschränkungen für Datenübertragungen in der EU/im EWR), Chinas PIPL und Datensicherheitsgesetz, Russlands Datenlokalisierungsgesetz, Indiens Digital Personal Data Protection Act, Brasiliens LGPD sowie verschiedene branchenspezifische Vorschriften in den Bereichen Finanzdienstleistungen und Gesundheitswesen.
Organisationen sollten die Datenresidenz-Fähigkeiten von KI-Anbietern bewerten, technische Kontrollen einführen, um zu verhindern, dass Daten Rechtsgrenzen überschreiten, Aufzeichnungen darüber führen, wo die KI-Verarbeitung erfolgt, und KI-Datenflüsse regelmäßig auf die Einhaltung der Residenz prüfen.