KI und Datenschutz: So setzen Sie KI DSGVO-konform ein

Sie wollen KI in Ihrem Unternehmen nutzen, machen Ihnen aber Sorgen wegen des Datenschutzes? Diese Sorge ist berechtigt – und gleichzeitig loesbar. Die DSGVO verbietet den Einsatz von KI nicht. Sie setzen aber klare Regeln, wie personenbezogene Daten verarbeitet werden duerfen. Wer diese Regeln kennt und beachtet, kann KI rechtssicher einsetzen und sogar einen Wettbewerbsvorteil daraus ziehen. In diesem Beitrag erklaere ich Ihnen konkret, worauf Sie achten muessen, welche Fallstricke es gibt und wie Sie KI so implementierst, dass Ihr Datenschutzbeauftragter zufrieden ist.

Warum ist Datenschutz bei KI besonders relevant?

KI-Systeme verarbeiten grosse Datenmengen – und oft sind personenbezogene Daten darunter. Kundennamen, E-Mail-Adressen, Kaufverhalten, Kommunikationsverlaeufe: All das sind Daten, die unter den Schutz der DSGVO fallen.

Das Problem: Viele KI-Dienste – insbesondere die grossen Sprachmodelle wie ChatGPT, Claude oder Gemini – sitzen in den USA. Und seit dem Schrems-II-Urteil des EuGH ist der Datentransfer in die USA nur unter bestimmten Bedingungen erlaubt.

Hinzu kommt: Seit August 2025 gilt die EU-KI-Verordnung (AI Act). Sie ergaenzt die DSGVO um spezifische Anforderungen fuer KI-Systeme und teilt sie in Risikoklassen ein. Als Unternehmen im DACH-Raum muessen Sie also beide Regelwerke beachten.

Was sagt die DSGVO zum Einsatz von KI?

Die DSGVO enthält keine expliziten KI-Regeln, aber mehrere Artikel sind direkt relevant:

• Art. 5 – Grundsaetze der Verarbeitung: Datenminimierung, Zweckbindung und Transparenz gelten auch fuer KI.
• Art. 6 – Rechtsgrundlage: Sie brauchen eine Rechtsgrundlage fuer jede Verarbeitung personenbezogener Daten durch KI.
• Art. 13/14 – Informationspflichten: Betroffene muessen wissen, dass ihre Daten von KI verarbeitet werden.
• Art. 22 – Automatisierte Entscheidungen: Entscheidungen, die ausschliesslich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung haben, sind grundsaetzlich verboten – mit Ausnahmen.
• Art. 35 – Datenschutz-Folgenabschaetzung: Fuer risikoreiche KI-Verarbeitungen muessen Sie eine DSFA durchfuehren.

Welche Risiken bestehen beim Einsatz von KI?

Datenlecks durch Cloud-KI-Dienste

Wenn Sie Kundendaten in ein KI-Tool wie ChatGPT eingibst, verlassen diese Daten Ihr Unternehmen. Je nach Konfiguration koennten sie sogar zum Training des KI-Modells verwendet werden. Das ist ein klarer DSGVO-Verstoss, wenn Sie keine entsprechende Rechtsgrundlage und keine Einwilligung haben.

Unbeabsichtigte Profilbildung

KI-Systeme koennen aus scheinbar harmlosen Daten detaillierte Profile erstellen. Wenn Ihr Kundenservice-Chatbot beispielsweise Gespraechsverlaeufe analysiert, koennte er unbeabsichtigt sensible Informationen ueber Gesundheit, politische Einstellung oder finanzielle Situation ableiten.

Mangelnde Transparenz (Black Box)

Viele KI-Modelle sind schwer zu erklaeren. Aber die DSGVO verlangt Transparenz: Betroffene haben das Recht zu erfahren, wie Entscheidungen zustande kommen. Wenn Sie nicht erklaeren koennen, warum die KI einen Kreditantrag abgelehnt hat, haben Sie ein Problem.

Verzerrte Entscheidungen (Bias)

KI-Modelle koennen diskriminierende Muster aus Trainingsdaten uebernehmen. Wenn Ihr KI-basiertes Recruiting-Tool bestimmte Bewerbergruppen systematisch benachteiligt, verstoesst das nicht nur gegen die DSGVO, sondern auch gegen das AGG.

Wie setzen Sie KI DSGVO-konform ein? Eine Checkliste

1. Rechtsgrundlage definieren

Fuer jede KI-Anwendung, die personenbezogene Daten verarbeitet, brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO:

• Einwilligung (Art. 6 Abs. 1 lit. a): Der Betroffene stimmt ausdruecklich zu.
• Vertragserfuellung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist zur Erfuellung eines Vertrags noetig.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Sie haben ein berechtigtes Interesse, das die Interessen des Betroffenen ueberwiegt.

In der Praxis stuetzen sich die meisten KI-Anwendungen auf das berechtigte Interesse oder die Vertragserfuellung. Eine Einwilligung ist oft unpraktisch, weil sie jederzeit widerrufen werden kann.

2. Auftragsverarbeitungsvertrag (AVV) abschliessen

Wenn Sie einen externen KI-Dienst nutzen (und das tun die meisten), brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Dieser regelt:

• Welche Daten verarbeitet werden
• Zu welchem Zweck
• Welche Sicherheitsmassnahmen der Anbieter trifft
• Was mit den Daten nach Vertragsende passiert

Die meisten grossen KI-Anbieter bieten standardmaessig einen AVV an. Pruefe aber genau, ob er Ihren Anforderungen genuegt.

3. Datentransfer in Drittlaender absichern

Wenn Ihr KI-Anbieter Daten ausserhalb der EU/des EWR verarbeitet, muessen Sie zusaetzliche Schutzmassnahmen treffen:

• EU-US Data Privacy Framework: Seit Juli 2023 gibt es wieder einen Angemessenheitsbeschluss fuer die USA – allerdings nur fuer zertifizierte Unternehmen. Pruefe, ob Ihr Anbieter zertifiziert ist.
• Standardvertragsklauseln (SCC): Wenn kein Angemessenheitsbeschluss vorliegt, sind SCCs die gaengigste Loesung.
• EU-Hosting: Die sicherste Variante – waehle einen Anbieter, der Daten ausschliesslich in der EU verarbeitet.

4. Datenschutz-Folgenabschaetzung durchfuehren

Fuer KI-Anwendungen, die ein hohes Risiko fuer die Rechte der Betroffenen darstellen, ist eine DSFA nach Art. 35 DSGVO Pflicht. Das betrifft insbesondere:

• Automatisierte Entscheidungsfindung mit rechtlicher Wirkung
• Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
• Systematische Ueberwachung oeffentlich zugaenglicher Bereiche

Eine DSFA dokumentiert die Risiken und die Massnahmen, die Sie ergreifen, um sie zu minimieren. Sie ist nicht nur Pflicht, sondern auch ein wertvolles Planungsinstrument.

5. Transparenz sicherstellen

Informieren Sie betroffene Personen darueber:

• Dass KI zum Einsatz kommt
• Welche Daten verarbeitet werden
• Zu welchem Zweck
• Welche Rechte sie haben (Auskunft, Loeschung, Widerspruch)

Ergaenze Ihre Datenschutzerklaerung um einen Abschnitt zur KI-Nutzung. Wenn Sie einen Chatbot einsetzt, weise die Nutzer zu Beginn des Gespraechs darauf hin, dass sie mit einer KI kommunizieren.

6. Datenminimierung umsetzen

Gib der KI nur die Daten, die sie wirklich braucht. Konkret bedeutet das:

• Anonymisieren oder pseudonymisieren Sie Daten, bevor Sie sie an KI-Dienste uebergibst
• Filtere personenbezogene Daten aus Prompts heraus
• Nutze lokale Modelle fuer besonders sensible Daten
• Loesche Daten, sobald der Verarbeitungszweck erfuellt ist

7. Technische und organisatorische Massnahmen (TOMs)

Implementieren Sie angemessene Sicherheitsmassnahmen:

• Verschluesselung der Daten bei Uebertragung und Speicherung
• Zugriffskontrollen: Nur berechtigte Mitarbeiter duerfen KI-Tools nutzen
• Protokollierung: Wer hat wann welche Daten an KI-Dienste uebermittelt?
• Regelmaessige Ueberpruefung der KI-Ergebnisse auf Korrektheit und Fairness

Was bringt die EU-KI-Verordnung (AI Act)?

Die EU-KI-Verordnung ist seit August 2025 in Kraft und ergaenzt die DSGVO um spezifische KI-Regeln. Sie teilt KI-Systeme in vier Risikoklassen ein:

Unannehmbares Risiko (verboten): Social Scoring, manipulative KI, biometrische Echtzeit-Ueberwachung in oeffentlichen Raeumen.

Hohes Risiko (strenge Auflagen): KI in Personalauswahl, Kreditvergabe, kritischer Infrastruktur. Erfordert Konformitaetsbewertung, Risikomanagement und menschliche Aufsicht.

Begrenztes Risiko (Transparenzpflichten): Chatbots, Deepfakes. Nutzer muessen wissen, dass sie mit KI interagieren.

Minimales Risiko (keine besonderen Auflagen): Spam-Filter, Empfehlungssysteme, Textkorrektur.

Fuer die meisten KMU-Anwendungen (Chatbots, Textgenerierung, Datenanalyse) gelten die Regeln fuer begrenztes oder minimales Risiko. Trotzdem sollten Sie pruefen Sien, in welche Kategorie Ihre KI-Anwendung faellt.

Praktische Tipps fuer den Alltag

Sichere Nutzung von ChatGPT & Co. im Unternehmen

• Nutzen Sie die Business- oder Enterprise-Versionen – hier werden Daten nicht zum Training verwendet
• Erstelle interne Richtlinien: Welche Daten duerfen in KI-Tools eingegeben werden und welche nicht?
• Schule Ihre Mitarbeiter im sicheren Umgang mit KI-Tools
• Fuehre keine Kundennamen, Adressen oder andere personenbezogene Daten in freie KI-Tools ein

KI-Loesungen mit EU-Hosting

Immer mehr Anbieter bieten KI-Dienste mit Hosting in der EU an:

• Azure OpenAI Service: Verfuegbar in EU-Rechenzentren
• Anthropic Claude: Enterprise-Variante mit EU-Option
• Aleph Alpha: Deutsches KI-Unternehmen mit DSGVO-konformer Infrastruktur
• Open-Source-Modelle: Llama, Mistral oder Phi koennen auf eigenen Servern in der EU betrieben werden

Internes KI-Regelwerk erstellen

Erstellen Sie ein internes Dokument, das regelt:

1. Welche KI-Tools im Unternehmen zugelassen sind
2. Welche Daten in KI-Tools eingegeben werden duerfen
3. Wer KI-Tools nutzen darf
4. Wie KI-generierte Ergebnisse geprueft werden muessen
5. An wen sich Mitarbeiter bei Fragen wenden koennen

Dieses Regelwerk schuetzt Sie nicht nur rechtlich, sondern gibt Ihrem Team auch Sicherheit im Umgang mit KI. Wenn Sie Hilfe bei der Erstellung brauchen, kann eine KI-Strategieberatung der richtige erste Schritt sein.

Praxisbeispiel: DSGVO-konforme KI-Integration im Kundenservice

Ein E-Commerce-Unternehmen aus Oesterreich wollte seinen Kundenservice mit einem KI-Chatbot automatisieren. Die Herausforderung: Der Chatbot musste Kundendaten verarbeiten – Bestellnummern, Namen, Adressen.

Die Loesung:

• Der Chatbot laeuft auf einem EU-Server (Azure West Europe)
• Personenbezogene Daten werden pseudonymisiert, bevor sie ans KI-Modell gehen
• Der Chatbot weist zu Beginn jedes Gespraechs darauf hin, dass es sich um eine KI handelt
• Ein AVV mit dem KI-Anbieter wurde abgeschlossen
• Eine DSFA wurde durchgefuehrt und dokumentiert
• Regelmaessige Audits stellen sicher, dass alles konform bleibt

Das Ergebnis: Volle DSGVO-Konformitaet bei gleichzeitiger Automatisierung von 60 Prozent der Kundenanfragen.

FAQ: Haeufige Fragen zu KI und Datenschutz

Darf ich ChatGPT im Unternehmen nutzen?

Ja, aber mit Einschraenkungen. Nutzen Sie die Business- oder Enterprise-Version, gib keine personenbezogenen Daten ein und schliesse einen AVV ab. Die kostenlose Version ist fuer den geschaeftlichen Einsatz mit Kundendaten nicht geeignet.

Brauche ich eine Einwilligung meiner Kunden, wenn ich KI einsetze?

Nicht immer. Wenn Sie eine andere Rechtsgrundlage haben (z.B. berechtigtes Interesse oder Vertragserfuellung), reicht das oft aus. Sie muessen aber transparent darueber informieren, dass KI zum Einsatz kommt.

Was passiert, wenn mein KI-Tool gegen die DSGVO verstoesst?

Bei Verstoessen drohen Bussgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Zusaetzlich koennen betroffene Personen Schadensersatz fordern. In der Praxis sind die Bussgelder fuer KMUs deutlich geringer, aber auch einige tausend Euro tun weh.

Muss ich meinen Datenschutzbeauftragten einbeziehen?

Ja, unbedingt. Ihr Datenschutzbeauftragter (falls vorhanden) oder Ihr externer Datenschutzberater sollte von Anfang an in die KI-Planung einbezogen werden. Er kann Risiken fruehzeitig erkennen und rechtskonforme Loesungen vorschlagen.

Darf KI automatisch ueber Kreditantraege oder Bewerbungen entscheiden?

Grundsaetzlich nein – Art. 22 DSGVO verbietet rein automatisierte Entscheidungen mit rechtlicher Wirkung. Sie brauchen immer einen Menschen, der die finale Entscheidung trifft oder zumindest ueberprueft. Es gibt Ausnahmen, aber die Huerde ist hoch.

Sie wollen KI DSGVO-konform einsetzen?

Datenschutz und KI muessen kein Widerspruch sein. Ich helfe Ihnen, KI-Loesungen zu implementieren, die sowohl leistungsfaehig als auch rechtskonform sind – von der Datenschutz-Folgenabschaetzung bis zur technischen Umsetzung.

Jetzt Beratungsgespraech vereinbaren