Die DSGVO (Datenschutz-Grundverordnung) regelt den Umgang mit personenbezogenen Daten in der EU — und da die meisten KI-Anwendungen solche Daten verarbeiten, müssen Unternehmen beim KI-Einsatz strenge Datenschutzanforderungen einhalten, von der Rechtsgrundlage bis zum Recht auf Erklärung.

DSGVO und KI einfach erklärt

Die DSGVO kennen Sie wahrscheinlich schon — sie regelt seit 2018, wie Unternehmen mit Kundendaten, Mitarbeiterdaten und anderen personenbezogenen Daten umgehen dürfen. Beim KI-Einsatz wird es interessant, weil KI oft genau mit solchen Daten arbeitet.

Wenn Ihr Chatbot Kundendaten verarbeitet, wenn Ihre KI Bewerbungen sichtet oder wenn Sie Trainingsdaten mit Personenbezug nutzen — dann gelten die DSGVO-Regeln. Das klingt kompliziert, ist aber handhabbar, wenn Sie die Grundprinzipien beachten.

Stellen Sie sich die DSGVO als Zaun vor, der die Privatsphäre Ihrer Kunden und Mitarbeiter schützt. KI darf innerhalb dieses Zauns arbeiten — aber sie darf nicht darüber klettern.

Wie betrifft die DSGVO den KI-Einsatz?

Die wichtigsten DSGVO-Prinzipien im KI-Kontext:

Rechtsgrundlage: Sie brauchen eine Rechtsgrundlage, um personenbezogene Daten mit KI zu verarbeiten. Das kann sein: Einwilligung der Betroffenen, Vertragserfüllung, berechtigtes Interesse oder gesetzliche Pflicht. “Wir wollen KI ausprobieren” ist keine Rechtsgrundlage.

Zweckbindung: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres für KI-Training zweckentfremdet werden. Kundendaten aus dem CRM dürfen nicht einfach zum Trainieren eines allgemeinen KI-Modells genutzt werden.

Datenminimierung: Nur die Daten verwenden, die tatsächlich benötigt werden. Wenn Ihr Chatbot keine Kundennamen braucht, sollte er sie nicht speichern.

Automatisierte Einzelentscheidungen (Art. 22): Wenn eine KI allein über Menschen entscheidet — etwa Kreditwürdigkeit, Bewerbungsauswahl, Versicherungstarife — haben Betroffene besondere Rechte: menschliche Überpruefung, Erklärung der Entscheidung, Anfechtung.

Transparenz: Betroffene müssen wissen, dass KI an einer Entscheidung beteiligt ist und wie sie funktioniert.

Datenschutz-Folgenabschätzung (DSFA): Bei risikoreichen KI-Anwendungen (z. B. Profiling, automatisierte Entscheidungen) ist eine ausführliche Risikoanalyse Pflicht.

DSGVO und KI im Unternehmensalltag

Die DSGVO betrifft viele typische KI-Anwendungen:

  • Chatbots: Wenn der Bot Kundendaten erfasst oder verarbeitet, braucht es eine Datenschutzerklärung und ggf. Einwilligung. Chat-Verläufe mit Personenbezug müssen nach definierten Fristen gelöscht werden.
  • E-Mail-Analyse: KI, die Kundenmmails analysiert und kategorisiert, verarbeitet personenbezogene Daten — Rechtsgrundlage erforderlich.
  • Personalwesen: KI-gestützte Bewerberauswahl unterliegt strengen Regeln, insbesondere Art. 22 DSGVO.
  • Cloud-KI-Dienste: Wenn Daten an US-Anbieter (OpenAI, Google) gesendet werden, muss der Datentransfer DSGVO-konform abgesichert sein (Standardvertragsklauseln, Data Processing Agreement).
  • KI-Training mit eigenen Daten: Trainingsdaten mit Personenbezug erfordern besondere Vorsicht.

Beispiel: Ein Unternehmen möchte einen KI-Chatbot einsetzen, der Kundendaten verarbeitet. DSGVO-konforme Umsetzung: Datenschutzerklärung ergänzen, Cookie-Banner anpassen, Data Processing Agreement mit dem KI-Anbieter abschliessen, Chat-Verläufe nach 30 Tagen automatisch löschen, Kunden über KI-Nutzung informieren.

Checkliste: DSGVO-konformer KI-Einsatz

  • Rechtsgrundlage identifiziert für jede Datenverarbeitung mit KI
  • Datenschutzerklärung aktualisiert und KI-Verarbeitung erwähnt
  • Data Processing Agreements mit allen KI-Anbietern abgeschlossen
  • Datenminimierung umgesetzt — nur nötige Daten an KI übermitteln
  • Löschfristen definiert für KI-verarbeitete personenbezogene Daten
  • Betroffenenrechte sichergestellt (Auskunft, Löeschung, Widerspruch)
  • Datenschutz-Folgenabschätzung durchgeführt bei Hochrisiko-Anwendungen
  • Drittlandtransfer abgesichert bei nicht-europäischen KI-Anbietern

Verwandte Begriffe

  • EU AI Act — die KI-spezifische EU-Verordnung neben der DSGVO
  • KI-Ethik — ethische Dimension des Datenschutzes
  • Trainingsdaten — DSGVO-Relevanz bei personenbezogenen Daten
  • Chatbot — häufig von DSGVO-Anforderungen betroffen
  • KI-Strategie — muss DSGVO-Konformität einplanen

Häufige Fragen zu DSGVO und KI

Darf ich Kundendaten für KI-Training verwenden?

Grundsätzlich nur mit Rechtsgrundlage. Einwilligung ist der sicherste Weg, aber nicht immer nötig. Berechtigtes Interesse kann ausreichen, wenn die Interessen der Betroffenen gewahrt bleiben. Am einfachsten: Anonymisieren oder pseudonymisieren Sie die Daten vor dem Training. Dann fällt vieles nicht mehr unter die DSGVO.

Darf ich ChatGPT oder Claude mit Kundendaten nutzen?

Ja, aber mit Vorsicht. Sie brauchen ein Data Processing Agreement mit dem Anbieter. Bei sensiblen Daten (Gesundheit, Finanzen) ist besondere Sorgfalt geboten. Nutzen Sie möglichst die API-Varianten (nicht die Consumer-Produkte), da dort klarere Datenschutzvereinbarungen gelten. Übermitteln Sie nur die Daten, die wirklich nötig sind.

Brauche ich einen Datenschutzbeauftragten für KI?

Einen Datenschutzbeauftragten brauchen Sie, wenn Sie regelmäßig und systematisch Personen überwachen oder umfangreich besondere Datenkategorien verarbeiten. Der KI-Einsatz allein löst diese Pflicht nicht aus — aber in Kombination mit anderen Verarbeitungen kann er der Tropfen sein, der das Fass zum Überlaufen bringt. Im Zweifel: prüfen Sie es oder fragen Sie einen Datenschutzexperten.

Sie wollen KI DSGVO-konform einsetzen? Sprechen Sie uns an — wir beraten Sie zu Datenschutz und KI.

Zurück zum Glossar