KI und DSGVO — kein Widerspruch, aber klare Regeln
Künstliche Intelligenz und Datenschutz schließen sich nicht aus — aber wer KI in seinem Unternehmen einsetzt, muss die Spielregeln kennen. Der EU AI Act (in Kraft seit August 2025) und die DSGVO bilden den rechtlichen Rahmen.
Dieser Guide zeigt Ihnen, was Sie praktisch tun müssen — ohne Juristendeutsch, mit konkreten Handlungsschritten.
Die 3 rechtlichen Säulen
1. DSGVO (seit 2018): Gilt für alle personenbezogenen Daten, die KI verarbeitet. Grundprinzipien: Datenminimierung, Zweckbindung, Transparenz.
2. EU AI Act (seit 2025): Reguliert KI-Systeme nach Risikoklassen. Die meisten Unternehmens-KI-Anwendungen fallen in die Kategorie "begrenztes Risiko" — Transparenzpflichten genügen.
3. Bundesdatenschutzgesetz (BDSG): Nationale Umsetzung, konkretisiert DSGVO-Vorgaben.
Die DSGVO-Checkliste für KI-Einsatz
☐ Rechtsgrundlage dokumentieren: Warum verarbeiten Sie Daten? (Vertragserfüllung, berechtigtes Interesse, Einwilligung)
☐ Datensparsamkeit prüfen: Welche Daten sind wirklich notwendig? Minimieren Sie auf das Wesentliche.
☐ Datenschutz-Folgenabschätzung (DPIA): Bei hohem Risiko (z.B. Personal-Entscheidungen durch KI) verpflichtend.
☐ Anbieter-Audit: Wo werden Daten verarbeitet? EU-Server? DPA (Data Processing Agreement) abgeschlossen?
☐ Transparenz: Kunden und Mitarbeiter informieren, dass KI eingesetzt wird.
☐ Löschkonzept: Wie und wann werden KI-verarbeitete Daten gelöscht?
☐ Meldung bei Datenschutz-Aufsichtsbehörde: Verarbeitungsverzeichnis (VVT) muss KI-Systeme enthalten.
Der Anbieter-Audit: 7 Fragen die Sie stellen müssen
1. Wo stehen Ihre Server? (EU/EEA = gut, USA = Standard Contractual Clauses nötig)
2. Werden meine Daten für das Training der KI verwendet? (Muss vertraglich ausgeschlossen sein)
3. Gibt es ein DPA (Data Processing Agreement)?
4. Welche Zertifizierungen haben Sie? (ISO 27001, SOC 2 Type II)
5. Wie werden Daten nach Ende des Vertrags gelöscht?
6. Haben Sie einen Datenschutzbeauftragten?
7. Findet eine automatisierte Entscheidungsfindung statt? (Art. 22 DSGVO)
EU AI Act: Welche Risikoklasse betrifft Sie?
| Risikoklasse | Beispiele | Pflichten |
|---|---|---|
| Unannehmbares Risiko | Soziales Scoring, Manipulation | Verboten |
| Hohes Risiko | Personal-Recruiting-KI, Kredit-Scoring | Konformitätsbewertung, DPIA, Dokumentation |
| Begrenztes Risiko | Chatbots, Content-Generierung, Datenanalyse | Transparenzpflichten |
| Minimales Risiko | Spam-Filter, Autokorrektur | Keine zusätzlichen Pflichten |
Die meisten KMU-Anwendungen (Kundenservice-Chatbots, Content-Automatisierung, Lead-Scoring) fallen in die Kategorie "begrenztes Risiko" — die Pflichten sind überschaubar.
Best Practices für DSGVO-konforme KI
Anonymisierung wo möglich: Bevor Daten in die KI gehen, prüfen ob die personenbezogenen Teile wirklich benötigt werden.
Lokale KI bevorzugen: Self-hosted Modelle (z.B. Mistral, Llama) eliminieren das Datenübermittlungsproblem.
EU-Anbieter wählen: Plattformen wie Aleph Alpha (Deutschland), Mistral (Frankreich) oder EU-hosted OpenAI-Alternativen.
Verarbeitungsverzeichnis pflegen: Jeder KI-Einsatz muss dokumentiert sein — Zweck, Datenbasis, Rechtsgrundlage, Speicherdauer.
Regelmäßig auditieren: Einmal pro Jahr den KI-Datenschutz-Stack überprüfen.
Fazit
DSGVO-konforme KI-Nutzung ist machbar — mit der richtigen Vorbereitung. Die wichtigsten Schritte: Rechtsgrundlage klären, Anbieter auditieren, Transparenz sicherstellen, Verarbeitungsverzeichnis pflegen. Wer diese Grundlagen legt, kann KI sicher und rechtssicher einsetzen — und profitiert von den Effizienzgewinnen ohne rechtliche Risiken.
Rechtssichere KI-Einführung — wir helfen
Wir unterstützen Unternehmen bei der DSGVO-konformen Einführung von KI-Systemen — von der Analyse über die Anbieter-Wahl bis zur Dokumentation.