KI und Datenschutz: So setzen Sie KI DSGVO-konform ein

Sie wollen KI in Ihrem Unternehmen nutzen, machen Ihnen aber Sorgen wegen des Datenschutzes? Diese Sorge ist berechtigt – und gleichzeitig lösbar. Die DSGVO verbietet den Einsatz von KI nicht. Sie setzen aber klare Regeln, wie personenbezogene Daten verarbeitet werden dürfen. Wer diese Regeln kennt und beachtet, kann KI rechtssicher einsetzen und sogar einen Wettbewerbsvorteil daraus ziehen. In diesem Beitrag erkläre ich Ihnen konkret, worauf Sie achten müssen, welche Fallstricke es gibt und wie Sie KI so implementierst, dass Ihr Datenschutzbeauftragter zufrieden ist.

Warum ist Datenschutz bei KI besonders relevant?

KI-Systeme verarbeiten große Datenmengen – und oft sind personenbezogene Daten darunter. Kundennamen, E-Mail-Adressen, Kaufverhalten, Kommunikationsverläufe: All das sind Daten, die unter den Schutz der DSGVO fallen.

Das Problem: Viele KI-Dienste – insbesondere die großen Sprachmodelle wie ChatGPT, Claude oder Gemini – sitzen in den USA. Und seit dem Schrems-II-Urteil des EuGH ist der Datentransfer in die USA nur unter bestimmten Bedingungen erlaubt.

Hinzu kommt: Seit August 2025 gilt die EU-KI-Verordnung (AI Act). Sie ergänzt die DSGVO um spezifische Anforderungen für KI-Systeme und teilt sie in Risikoklassen ein. Als Unternehmen im DACH-Raum müssen Sie also beide Regelwerke beachten.

Was sagt die DSGVO zum Einsatz von KI?

Die DSGVO enthält keine expliziten KI-Regeln, aber mehrere Artikel sind direkt relevant:

• Art. 5 – Grundsätze der Verarbeitung: Datenminimierung, Zweckbindung und Transparenz gelten auch für KI.
• Art. 6 – Rechtsgrundlage: Sie brauchen eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten durch KI.
• Art. 13/14 – Informationspflichten: Betroffene müssen wissen, dass ihre Daten von KI verarbeitet werden.
• Art. 22 – Automatisierte Entscheidungen: Entscheidungen, die ausschliesslich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung haben, sind grundsätzlich verboten – mit Ausnahmen.
• Art. 35 – Datenschutz-Folgenabschätzung: Für risikoreiche KI-Verarbeitungen müssen Sie eine DSFA durchführen.

Welche Risiken bestehen beim Einsatz von KI?

Datenlecks durch Cloud-KI-Dienste

Wenn Sie Kundendaten in ein KI-Tool wie ChatGPT eingibst, verlassen diese Daten Ihr Unternehmen. Je nach Konfiguration könnten sie sogar zum Training des KI-Modells verwendet werden. Das ist ein klarer DSGVO-Verstoss, wenn Sie keine entsprechende Rechtsgrundlage und keine Einwilligung haben.

Unbeabsichtigte Profilbildung

KI-Systeme können aus scheinbar harmlosen Daten detaillierte Profile erstellen. Wenn Ihr Kundenservice-Chatbot beispielsweise Gesprächsverläufe analysiert, könnte er unbeabsichtigt sensible Informationen über Gesundheit, politische Einstellung oder finanzielle Situation ableiten.

Mangelnde Transparenz (Black Box)

Viele KI-Modelle sind schwer zu erklären. Aber die DSGVO verlangt Transparenz: Betroffene haben das Recht zu erfahren, wie Entscheidungen zustande kommen. Wenn Sie nicht erklären können, warum die KI einen Kreditantrag abgelehnt hat, haben Sie ein Problem.

Verzerrte Entscheidungen (Bias)

KI-Modelle können diskriminierende Muster aus Trainingsdaten übernehmen. Wenn Ihr KI-basiertes Recruiting-Tool bestimmte Bewerbergruppen systematisch benachteiligt, verstösst das nicht nur gegen die DSGVO, sondern auch gegen das AGG.

Wie setzen Sie KI DSGVO-konform ein? Eine Checkliste

1. Rechtsgrundlage definieren

Für jede KI-Anwendung, die personenbezogene Daten verarbeitet, brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO:

• Einwilligung (Art. 6 Abs. 1 lit. a): Der Betroffene stimmt ausdrücklich zu.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist zur Erfüllung eines Vertrags nötig.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Sie haben ein berechtigtes Interesse, das die Interessen des Betroffenen überwiegt.

In der Praxis stützen sich die meisten KI-Anwendungen auf das berechtigte Interesse oder die Vertragserfüllung. Eine Einwilligung ist oft unpraktisch, weil sie jederzeit widerrufen werden kann.

2. Auftragsverarbeitungsvertrag (AVV) abschliessen

Wenn Sie einen externen KI-Dienst nutzen (und das tun die meisten), brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Dieser regelt:

• Welche Daten verarbeitet werden
• Zu welchem Zweck
• Welche Sicherheitsmaßnahmen der Anbieter trifft
• Was mit den Daten nach Vertragsende passiert

Die meisten großen KI-Anbieter bieten standardmässig einen AVV an. Prüfe aber genau, ob er Ihren Anforderungen genügt.

3. Datentransfer in Drittländer absichern

Wenn Ihr KI-Anbieter Daten außerhalb der EU/des EWR verarbeitet, müssen Sie zusätzliche Schutzmassnahmen treffen:

• EU-US Data Privacy Framework: Seit Juli 2023 gibt es wieder einen Angemessenheitsbeschluss für die USA – allerdings nur für zertifizierte Unternehmen. Prüfe, ob Ihr Anbieter zertifiziert ist.
• Standardvertragsklauseln (SCC): Wenn kein Angemessenheitsbeschluss vorliegt, sind SCCs die gängigste Lösung.
• EU-Hosting: Die sicherste Variante – wähle einen Anbieter, der Daten ausschliesslich in der EU verarbeitet.

4. Datenschutz-Folgenabschätzung durchführen

Für KI-Anwendungen, die ein hohes Risiko für die Rechte der Betroffenen darstellen, ist eine DSFA nach Art. 35 DSGVO Pflicht. Das betrifft insbesondere:

• Automatisierte Entscheidungsfindung mit rechtlicher Wirkung
• Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
• Systematische Überwachung öffentlich zugänglicher Bereiche

Eine DSFA dokumentiert die Risiken und die Maßnahmen, die Sie ergreifen, um sie zu minimieren. Sie ist nicht nur Pflicht, sondern auch ein wertvolles Planungsinstrument.

5. Transparenz sicherstellen

Informieren Sie betroffene Personen darüber:

• Dass KI zum Einsatz kommt
• Welche Daten verarbeitet werden
• Zu welchem Zweck
• Welche Rechte sie haben (Auskunft, Löschung, Widerspruch)

Ergänze Ihre Datenschutzerklärung um einen Abschnitt zur KI-Nutzung. Wenn Sie einen Chatbot einsetzt, weise die Nutzer zu Beginn des Gesprächs darauf hin, dass sie mit einer KI kommunizieren.

6. Datenminimierung umsetzen

Gib der KI nur die Daten, die sie wirklich braucht. Konkret bedeutet das:

• Anonymisieren oder pseudonymisieren Sie Daten, bevor Sie sie an KI-Dienste übergibst
• Filtere personenbezogene Daten aus Prompts heraus
• Nutze lokale Modelle für besonders sensible Daten
• Lösche Daten, sobald der Verarbeitungszweck erfüllt ist

7. Technische und organisatorische Maßnahmen (TOMs)

Implementieren Sie angemessene Sicherheitsmaßnahmen:

• Verschlüsselung der Daten bei Übertragung und Speicherung
• Zugriffskontrollen: Nur berechtigte Mitarbeiter dürfen KI-Tools nutzen
• Protokollierung: Wer hat wann welche Daten an KI-Dienste übermittelt?
• Regelmässige Überpruefung der KI-Ergebnisse auf Korrektheit und Fairness

Was bringt die EU-KI-Verordnung (AI Act)?

Die EU-KI-Verordnung ist seit August 2025 in Kraft und ergänzt die DSGVO um spezifische KI-Regeln. Sie teilt KI-Systeme in vier Risikoklassen ein:

Unannehmbares Risiko (verboten): Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung in öffentlichen Räumen.

Hohes Risiko (strenge Auflagen): KI in Personalauswahl, Kreditvergabe, kritischer Infrastruktur. Erfordert Konformitätsbewertung, Risikomanagement und menschliche Aufsicht.

Begrenztes Risiko (Transparenzpflichten): Chatbots, Deepfakes. Nutzer müssen wissen, dass sie mit KI interagieren.

Minimales Risiko (keine besonderen Auflagen): Spam-Filter, Empfehlungssysteme, Textkorrektur.

Für die meisten KMU-Anwendungen (Chatbots, Textgenerierung, Datenanalyse) gelten die Regeln für begrenztes oder minimales Risiko. Trotzdem sollten Sie prüfen Sien, in welche Kategorie Ihre KI-Anwendung fällt.

Praktische Tipps für den Alltag

Sichere Nutzung von ChatGPT & Co. im Unternehmen

• Nutzen Sie die Business- oder Enterprise-Versionen – hier werden Daten nicht zum Training verwendet
• Erstelle interne Richtlinien: Welche Daten dürfen in KI-Tools eingegeben werden und welche nicht?
• Schule Ihre Mitarbeiter im sicheren Umgang mit KI-Tools
• Führe keine Kundennamen, Adressen oder andere personenbezogene Daten in freie KI-Tools ein

KI-Lösungen mit EU-Hosting

Immer mehr Anbieter bieten KI-Dienste mit Hosting in der EU an:

• Azure OpenAI Service: Verfügbar in EU-Rechenzentren
• Anthropic Claude: Enterprise-Variante mit EU-Option
• Aleph Alpha: Deutsches KI-Unternehmen mit DSGVO-konformer Infrastruktur
• Open-Source-Modelle: Llama, Mistral oder Phi können auf eigenen Servern in der EU betrieben werden

Internes KI-Regelwerk erstellen

Erstellen Sie ein internes Dokument, das regelt:

1. Welche KI-Tools im Unternehmen zugelassen sind
2. Welche Daten in KI-Tools eingegeben werden dürfen
3. Wer KI-Tools nutzen darf
4. Wie KI-generierte Ergebnisse geprüft werden müssen
5. An wen sich Mitarbeiter bei Fragen wenden können

Dieses Regelwerk schützt Sie nicht nur rechtlich, sondern gibt Ihrem Team auch Sicherheit im Umgang mit KI. Wenn Sie Hilfe bei der Erstellung brauchen, kann eine KI-Strategieberatung der richtige erste Schritt sein.

Praxisbeispiel: DSGVO-konforme KI-Integration im Kundenservice

Ein E-Commerce-Unternehmen aus Österreich wollte seinen Kundenservice mit einem KI-Chatbot automatisieren. Die Herausforderung: Der Chatbot musste Kundendaten verarbeiten – Bestellnummern, Namen, Adressen.

Die Lösung:

• Der Chatbot läuft auf einem EU-Server (Azure West Europe)
• Personenbezogene Daten werden pseudonymisiert, bevor sie ans KI-Modell gehen
• Der Chatbot weist zu Beginn jedes Gesprächs darauf hin, dass es sich um eine KI handelt
• Ein AVV mit dem KI-Anbieter wurde abgeschlossen
• Eine DSFA wurde durchgeführt und dokumentiert
• Regelmässige Audits stellen sicher, dass alles konform bleibt

Das Ergebnis: Volle DSGVO-Konformität bei gleichzeitiger Automatisierung von 60 Prozent der Kundenanfragen.

FAQ: Häufige Fragen zu KI und Datenschutz

Darf ich ChatGPT im Unternehmen nutzen?

Ja, aber mit Einschränkungen. Nutzen Sie die Business- oder Enterprise-Version, gib keine personenbezogenen Daten ein und schliesse einen AVV ab. Die kostenlose Version ist für den geschäftlichen Einsatz mit Kundendaten nicht geeignet.

Brauche ich eine Einwilligung meiner Kunden, wenn ich KI einsetze?

Nicht immer. Wenn Sie eine andere Rechtsgrundlage haben (z.B. berechtigtes Interesse oder Vertragserfüllung), reicht das oft aus. Sie müssen aber transparent darüber informieren, dass KI zum Einsatz kommt.

Was passiert, wenn mein KI-Tool gegen die DSGVO verstösst?

Bei Verstössen drohen Bussgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Zusätzlich können betroffene Personen Schadensersatz fordern. In der Praxis sind die Bussgelder für KMUs deutlich geringer, aber auch einige tausend Euro tun weh.

Muss ich meinen Datenschutzbeauftragten einbeziehen?

Ja, unbedingt. Ihr Datenschutzbeauftragter (falls vorhanden) oder Ihr externer Datenschutzberater sollte von Anfang an in die KI-Planung einbezogen werden. Er kann Risiken frühzeitig erkennen und rechtskonforme Lösungen vorschlagen.

Darf KI automatisch über Kreditanträge oder Bewerbungen entscheiden?

Grundsätzlich nein – Art. 22 DSGVO verbietet rein automatisierte Entscheidungen mit rechtlicher Wirkung. Sie brauchen immer einen Menschen, der die finale Entscheidung trifft oder zumindest überprueft. Es gibt Ausnahmen, aber die Hürde ist hoch.

Sie wollen KI DSGVO-konform einsetzen?

Datenschutz und KI müssen kein Widerspruch sein. Ich helfe Ihnen, KI-Lösungen zu implementieren, die sowohl leistungsfähig als auch rechtskonform sind – von der Datenschutz-Folgenabschätzung bis zur technischen Umsetzung.

Jetzt Beratungsgespräch vereinbaren