Die DSGVO (Datenschutz-Grundverordnung) regelt den Umgang mit personenbezogenen Daten in der EU — und da die meisten KI-Anwendungen solche Daten verarbeiten, muessen Unternehmen beim KI-Einsatz strenge Datenschutzanforderungen einhalten, von der Rechtsgrundlage bis zum Recht auf Erklaerung.

DSGVO und KI einfach erklaert

Die DSGVO kennen Sie wahrscheinlich schon — sie regelt seit 2018, wie Unternehmen mit Kundendaten, Mitarbeiterdaten und anderen personenbezogenen Daten umgehen duerfen. Beim KI-Einsatz wird es interessant, weil KI oft genau mit solchen Daten arbeitet.

Wenn Ihr Chatbot Kundendaten verarbeitet, wenn Ihre KI Bewerbungen sichtet oder wenn Sie Trainingsdaten mit Personenbezug nutzen — dann gelten die DSGVO-Regeln. Das klingt kompliziert, ist aber handhabbar, wenn Sie die Grundprinzipien beachten.

Stellen Sie sich die DSGVO als Zaun vor, der die Privatsphaere Ihrer Kunden und Mitarbeiter schuetzt. KI darf innerhalb dieses Zauns arbeiten — aber sie darf nicht darueber klettern.

Wie betrifft die DSGVO den KI-Einsatz?

Die wichtigsten DSGVO-Prinzipien im KI-Kontext:

Rechtsgrundlage: Sie brauchen eine Rechtsgrundlage, um personenbezogene Daten mit KI zu verarbeiten. Das kann sein: Einwilligung der Betroffenen, Vertragserfuellung, berechtigtes Interesse oder gesetzliche Pflicht. “Wir wollen KI ausprobieren” ist keine Rechtsgrundlage.

Zweckbindung: Daten, die fuer einen bestimmten Zweck erhoben wurden, duerfen nicht ohne Weiteres fuer KI-Training zweckentfremdet werden. Kundendaten aus dem CRM duerfen nicht einfach zum Trainieren eines allgemeinen KI-Modells genutzt werden.

Datenminimierung: Nur die Daten verwenden, die tatsaechlich benoetigt werden. Wenn Ihr Chatbot keine Kundennamen braucht, sollte er sie nicht speichern.

Automatisierte Einzelentscheidungen (Art. 22): Wenn eine KI allein ueber Menschen entscheidet — etwa Kreditwuerdigkeit, Bewerbungsauswahl, Versicherungstarife — haben Betroffene besondere Rechte: menschliche Ueberpruefung, Erklaerung der Entscheidung, Anfechtung.

Transparenz: Betroffene muessen wissen, dass KI an einer Entscheidung beteiligt ist und wie sie funktioniert.

Datenschutz-Folgenabschaetzung (DSFA): Bei risikoreichen KI-Anwendungen (z. B. Profiling, automatisierte Entscheidungen) ist eine ausfuehrliche Risikoanalyse Pflicht.

DSGVO und KI im Unternehmensalltag

Die DSGVO betrifft viele typische KI-Anwendungen:

  • Chatbots: Wenn der Bot Kundendaten erfasst oder verarbeitet, braucht es eine Datenschutzerklaerung und ggf. Einwilligung. Chat-Verlaeufe mit Personenbezug muessen nach definierten Fristen geloescht werden.
  • E-Mail-Analyse: KI, die Kundenmmails analysiert und kategorisiert, verarbeitet personenbezogene Daten — Rechtsgrundlage erforderlich.
  • Personalwesen: KI-gestuetzte Bewerberauswahl unterliegt strengen Regeln, insbesondere Art. 22 DSGVO.
  • Cloud-KI-Dienste: Wenn Daten an US-Anbieter (OpenAI, Google) gesendet werden, muss der Datentransfer DSGVO-konform abgesichert sein (Standardvertragsklauseln, Data Processing Agreement).
  • KI-Training mit eigenen Daten: Trainingsdaten mit Personenbezug erfordern besondere Vorsicht.

Beispiel: Ein Unternehmen moechte einen KI-Chatbot einsetzen, der Kundendaten verarbeitet. DSGVO-konforme Umsetzung: Datenschutzerklaerung ergaenzen, Cookie-Banner anpassen, Data Processing Agreement mit dem KI-Anbieter abschliessen, Chat-Verlaeufe nach 30 Tagen automatisch loeschen, Kunden ueber KI-Nutzung informieren.

Checkliste: DSGVO-konformer KI-Einsatz

  • Rechtsgrundlage identifiziert fuer jede Datenverarbeitung mit KI
  • Datenschutzerklaerung aktualisiert und KI-Verarbeitung erwaehnt
  • Data Processing Agreements mit allen KI-Anbietern abgeschlossen
  • Datenminimierung umgesetzt — nur noetige Daten an KI uebermitteln
  • Loeschfristen definiert fuer KI-verarbeitete personenbezogene Daten
  • Betroffenenrechte sichergestellt (Auskunft, Loeeschung, Widerspruch)
  • Datenschutz-Folgenabschaetzung durchgefuehrt bei Hochrisiko-Anwendungen
  • Drittlandtransfer abgesichert bei nicht-europaeischen KI-Anbietern

Verwandte Begriffe

  • EU AI Act — die KI-spezifische EU-Verordnung neben der DSGVO
  • KI-Ethik — ethische Dimension des Datenschutzes
  • Trainingsdaten — DSGVO-Relevanz bei personenbezogenen Daten
  • Chatbot — haeufig von DSGVO-Anforderungen betroffen
  • KI-Strategie — muss DSGVO-Konformitaet einplanen

Haeufige Fragen zu DSGVO und KI

Darf ich Kundendaten fuer KI-Training verwenden?

Grundsaetzlich nur mit Rechtsgrundlage. Einwilligung ist der sicherste Weg, aber nicht immer noetig. Berechtigtes Interesse kann ausreichen, wenn die Interessen der Betroffenen gewahrt bleiben. Am einfachsten: Anonymisieren oder pseudonymisieren Sie die Daten vor dem Training. Dann faellt vieles nicht mehr unter die DSGVO.

Darf ich ChatGPT oder Claude mit Kundendaten nutzen?

Ja, aber mit Vorsicht. Sie brauchen ein Data Processing Agreement mit dem Anbieter. Bei sensiblen Daten (Gesundheit, Finanzen) ist besondere Sorgfalt geboten. Nutzen Sie moeglichst die API-Varianten (nicht die Consumer-Produkte), da dort klarere Datenschutzvereinbarungen gelten. Uebermitteln Sie nur die Daten, die wirklich noetig sind.

Brauche ich einen Datenschutzbeauftragten fuer KI?

Einen Datenschutzbeauftragten brauchen Sie, wenn Sie regelmaessig und systematisch Personen ueberwachen oder umfangreich besondere Datenkategorien verarbeiten. Der KI-Einsatz allein loest diese Pflicht nicht aus — aber in Kombination mit anderen Verarbeitungen kann er der Tropfen sein, der das Fass zum Ueberlaufen bringt. Im Zweifel: pruefen Sie es oder fragen Sie einen Datenschutzexperten.

Sie wollen KI DSGVO-konform einsetzen? Sprechen Sie uns an — wir beraten Sie zu Datenschutz und KI.

Zurueck zum Glossar