KI DSGVO-konform im Unternehmen einsetzen.
Kaum ein Thema bremst KI-Projekte im Mittelstand so verlässlich aus wie die Frage: „Dürfen wir das datenschutzrechtlich überhaupt?“ Die gute Nachricht ist, dass die Datenschutz-Grundverordnung KI nicht verbietet — sie stellt Anforderungen, die sich mit sauberer Vorbereitung in den allermeisten Fällen erfüllen lassen. Dieser Beitrag ordnet die wichtigsten Bausteine ein und zeigt, an welchen Stellen Sie früh denken sollten. Er ersetzt keine Rechtsberatung, sondern soll Ihnen helfen, die richtigen Fragen zu stellen.
Worum es bei der DSGVO im KI-Kontext geht.
Die DSGVO regelt den Umgang mit personenbezogenen Daten — also allen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sobald Sie ein KI-System mit solchen Daten füttern, etwa mit Kundennamen, E-Mail-Verläufen, Bewerbungsunterlagen oder Support-Tickets, greifen die Pflichten der Verordnung. Nutzen Sie ein KI-System dagegen ausschließlich für rein technische oder anonyme Daten ohne Personenbezug, ist der Anwendungsbereich der DSGVO gar nicht eröffnet.
Der erste und oft unterschätzte Schritt ist deshalb eine ehrliche Bestandsaufnahme: Welche Daten fließen tatsächlich in das KI-System? Viele Projekte gehen wie selbstverständlich davon aus, dass „natürlich personenbezogene Daten dabei sind“, obwohl sich der konkrete Anwendungsfall mit pseudonymisierten oder aggregierten Daten genauso gut umsetzen ließe. Diese Klärung am Anfang spart später viel Diskussion.
Die Rechtsgrundlage zuerst klären.
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Artikel 6 DSGVO. Für den unternehmerischen KI-Einsatz kommen in der Praxis vor allem drei in Betracht: die Einwilligung der betroffenen Person, die Erforderlichkeit zur Erfüllung eines Vertrags und das berechtigte Interesse. Welche dieser Grundlagen passt, hängt stark vom konkreten Anwendungsfall ab — pauschal lässt sich das nicht beantworten.
Das berechtigte Interesse ist verlockend, weil es ohne aktive Zustimmung auskommt, verlangt aber eine dokumentierte Abwägung zwischen Ihrem Interesse und den Rechten der betroffenen Person. Gerade bei KI-Verarbeitung, die für Betroffene oft schwer durchschaubar ist, fällt diese Abwägung nicht automatisch zu Ihren Gunsten aus. Wenn besondere Kategorien von Daten im Spiel sind — etwa Gesundheits-, Religions- oder Gewerkschaftsdaten — gelten die strengeren Voraussetzungen von Artikel 9, und die Hürden steigen deutlich.
Datenminimierung und Zweckbindung als Leitplanken.
Zwei Grundprinzipien der DSGVO sind für KI besonders relevant: Datenminimierung und Zweckbindung. Datenminimierung bedeutet, dass Sie nur die Daten verarbeiten dürfen, die für den jeweiligen Zweck wirklich nötig sind. Für KI-Projekte ist das eine heilsame Disziplin, denn die Versuchung ist groß, „lieber alles“ in ein System zu geben, weil mehr Daten oft bessere Ergebnisse versprechen. Datenschutzrechtlich ist genau das problematisch.
Zweckbindung heißt, dass Daten, die Sie für einen bestimmten Zweck erhoben haben, nicht ohne Weiteres für einen ganz anderen Zweck verwendet werden dürfen. Kundendaten aus dem Bestellprozess einfach in ein Marketing-KI-Modell zu kippen, kann diese Zweckbindung verletzen. Praktisch lohnt es sich, vor jedem KI-Vorhaben sauber zu notieren, welche Datenquelle für welchen ursprünglichen Zweck erhoben wurde und ob der neue KI-Zweck damit vereinbar ist.
Cloud-KI, Auftragsverarbeitung und Datenstandort.
Sobald Sie einen externen KI-Dienst nutzen — sei es eine LLM-API oder eine SaaS-Anwendung mit KI-Funktionen — verarbeitet ein Dritter in Ihrem Auftrag personenbezogene Daten. Das ist typischerweise eine Auftragsverarbeitung im Sinne von Artikel 28 DSGVO und verlangt einen Auftragsverarbeitungsvertrag (AVV). Ohne diesen Vertrag fehlt der Verarbeitung die saubere Grundlage, selbst wenn der Anbieter technisch tadellos arbeitet.
Ein zweiter Punkt ist der Datenstandort. Werden Daten außerhalb der EU verarbeitet, etwa in den USA, braucht es zusätzliche Garantien für den Drittlandtransfer. Viele große Anbieter stellen mittlerweile EU-Rechenzentren und entsprechende vertragliche Mechanismen bereit, was die Lage gegenüber früheren Jahren entspannt hat. Verlassen sollten Sie sich darauf aber nie blind — die konkrete Ausgestaltung gehört im Einzelfall geprüft. Worauf Sie bei AVV und Anbieterauswahl genau achten sollten, vertieft der verlinkte Beitrag zur Auftragsverarbeitung.
Transparenz und Betroffenenrechte.
Die DSGVO verlangt, dass betroffene Personen wissen, was mit ihren Daten geschieht. Wenn KI ins Spiel kommt, sollten Ihre Datenschutzinformationen das in verständlicher Form abbilden. Dazu gehören Auskunfts-, Berichtigungs- und Löschrechte, die auch im KI-Kontext gelten. Praktisch heißt das: Wenn jemand die Löschung seiner Daten verlangt, müssen Sie nachvollziehen können, wo diese Daten überall verarbeitet wurden — auch in Zwischenspeichern oder Logs eines KI-Dienstes.
Eine besondere Rolle spielt Artikel 22 DSGVO, der automatisierte Einzelentscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung einschränkt. Wenn eine KI eigenständig über einen Kreditantrag, eine Bewerbung oder eine Vertragskündigung entscheidet, betreten Sie sensibles Terrain. In vielen Fällen ist die Lösung, einen Menschen als echte Entscheidungsinstanz in den Prozess einzubauen, statt die Maschine allein entscheiden zu lassen. Das deckt sich übrigens mit gutem Risikomanagement: KI als Assistenz, nicht als letzte Instanz.
Die Datenschutz-Folgenabschätzung.
Bei Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen bergen, verlangt Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA). KI-Systeme, die umfangreich personenbezogene Daten auswerten, Profile bilden oder automatisiert bewerten, fallen oft in diese Kategorie. Die DSFA ist kein bürokratischer Selbstzweck, sondern ein strukturierter Weg, Risiken früh zu erkennen und Gegenmaßnahmen zu definieren.
Ob im konkreten Fall eine DSFA nötig ist, lässt sich nicht pauschal sagen — die Aufsichtsbehörden führen Listen von Verarbeitungstätigkeiten, die eine DSFA erfordern. Im Zweifel ist es klüger, die Einschätzung gemeinsam mit dem Datenschutzbeauftragten und gegebenenfalls juristischer Beratung vorzunehmen, als die Frage zu übergehen.
Eine pragmatische Checkliste.
Die folgende Übersicht ersetzt keine Einzelfallprüfung, hilft aber, ein KI-Vorhaben strukturiert auf den datenschutzrechtlichen Prüfstand zu stellen:
| Prüfpunkt | Leitfrage |
|---|---|
| Personenbezug | Fließen überhaupt personenbezogene Daten ins System — oder geht es anonymisiert? |
| Rechtsgrundlage | Auf welche Grundlage nach Art. 6 stützen wir die Verarbeitung? |
| Datenminimierung | Verarbeiten wir wirklich nur, was nötig ist? |
| Zweckbindung | Ist der KI-Zweck mit dem ursprünglichen Erhebungszweck vereinbar? |
| Auftragsverarbeitung | Liegt für externe Dienste ein AVV vor, ist der Datenstandort geklärt? |
| Transparenz | Sind Betroffene informiert, sind ihre Rechte umsetzbar? |
| Automatisierte Entscheidung | Entscheidet die KI allein, oder bleibt ein Mensch verantwortlich? |
| DSFA | Ist eine Datenschutz-Folgenabschätzung erforderlich? |
Technische und organisatorische Maßnahmen.
Neben den rechtlichen Grundlagen verlangt die DSGVO angemessene technische und organisatorische Maßnahmen. Im KI-Kontext heißt das konkret: Zugriffe auf das System und auf die verarbeiteten Daten beschränken, Verbindungen verschlüsseln, Protokolle führen, ohne dabei selbst neue Datenschutzprobleme zu schaffen. Achten Sie darauf, ob ein KI-Anbieter Ihre Eingaben zur Modellverbesserung weiterverwendet — bei vielen geschäftlich orientierten Tarifen ist das vertraglich ausgeschlossen, aber das sollten Sie aktiv prüfen statt voraussetzen.
Pseudonymisierung ist ein wirksames Werkzeug: Wenn Sie Namen, Kundennummern oder andere direkte Identifikatoren vor der Übergabe an ein KI-System durch Platzhalter ersetzen, reduzieren Sie das Risiko erheblich. In vielen Anwendungsfällen — etwa der Textanalyse oder Klassifikation — braucht das Modell die Klarnamen gar nicht, um seine Aufgabe zu erfüllen. Für maximale Kontrolle über die Daten kann ein selbst betriebenes Modell sinnvoll sein, was der verlinkte Beitrag zu Self-hosted LLMs näher beleuchtet.
Was ich Unternehmen mitgebe.
- Früh klären statt spät reparieren. Datenschutz gehört in die Konzeptphase, nicht als Nachgedanke kurz vor dem Launch. Nachträgliche Korrekturen sind teurer.
- Datenminimierung als Designprinzip. Weniger Daten bedeuten weniger Risiko — und überraschend oft genauso gute Ergebnisse.
- Den Datenschutzbeauftragten einbinden. Nicht als Bremse, sondern als Partner, der hilft, das Vorhaben tragfähig zu machen.
- Mensch in der Verantwortung halten. Gerade bei Entscheidungen mit Wirkung auf Personen sollte die KI vorbereiten, nicht allein entscheiden.
- Im Einzelfall juristisch prüfen lassen. Diese Übersicht schafft Orientierung, ersetzt aber keine rechtliche Beratung für Ihren konkreten Fall.
Sie wollen KI einsetzen, ohne den Datenschutz aus dem Blick zu verlieren? Unverbindlich anfragen — wir ordnen gemeinsam Ihren Anwendungsfall ein, klären die offenen Fragen und definieren einen rechtssicheren Pilotweg. Eine abschließende rechtliche Bewertung übernimmt im Einzelfall eine juristische Beratung.