Zum Inhalt springen

KI und Datenschutz: Was du als Unternehmen wissen musst

DSGVO und KI – ein Spannungsfeld. Wir erklären, worauf du achten musst und wie du KI datenschutzkonform einsetzt.

KI und Datenschutz: Was du als Unternehmen wissen musst

“Wir dürfen das nicht – Datenschutz.” Dieser Satz stoppt in vielen deutschen Unternehmen jeden KI-Einsatz, bevor er begonnen hat. Oft zu Unrecht. Denn viele Datenschutzbedenken rund um KI basieren auf Missverständnissen. Gleichzeitig gibt es echte Risiken, die man kennen muss.

Dieser Artikel gibt dir einen realistischen Überblick: ohne Panik, ohne Naivität.

EU AI Act: Was du wissen musst

Seit 2024 gilt der EU AI Act, die weltweit erste umfassende KI-Regulierung. Das Wichtigste für Unternehmen:

Risikobasierter Ansatz: Der AI Act teilt KI-Systeme in Risikostufen ein. Für die meisten Unternehmensanwendungen (Texterstellung, Datenanalyse, Prozessautomatisierung) gelten die niedrigsten Anforderungen.

Hochrisiko-Kategorien: Vorsicht ist geboten bei KI in den Bereichen kritische Infrastruktur, Bildung, Beschäftigung (z.B. automatisierte Einstellungsentscheidungen), Kreditwürdigkeit oder Strafverfolgung. Hier gelten strenge Auflagen.

Verbotene Anwendungen: Echtzeit-Biometrie in öffentlichen Räumen, Social Scoring und manipulative KI-Systeme sind in der EU verboten.

Fazit für den Alltag: Wenn du KI für interne Prozesse, Marketing oder Kundenkommunikation nutzt, fällst du wahrscheinlich unter die unkritischen Kategorien. Trotzdem lohnt eine kurze Prüfung.

DSGVO und KI-Trainingsdaten

Ein häufiges Missverständnis: “Wenn wir ChatGPT nutzen, werden unsere Kundendaten für das KI-Training verwendet.”

Die Realität ist differenzierter:

  • Kostenlose Consumer-Versionen (ChatGPT Free, Gemini Free): Hier werden Daten möglicherweise für Trainings verwendet. Gib hier keine Kundendaten ein.
  • Business/Enterprise-Versionen: Anbieter wie OpenAI Enterprise, Microsoft 365 Copilot oder Google Workspace AI bieten vertraglich garantierte Datenschutzstandards inklusive DSGVO-Compliance.
  • Lokale Modelle: Tools wie Ollama ermöglichen den Betrieb von KI-Modellen auf eigenen Servern. Maximaler Datenschutz, aber auch mehr technischer Aufwand.

Praktische Checkliste für datenschutzkonformen KI-Einsatz

Vor dem Einsatz von KI-Tools im Unternehmen:

  • Verarbeite ich personenbezogene Daten? (Kundendaten, Mitarbeiterdaten)
  • Welche Version des Tools nutze ich (Consumer oder Business)?
  • Habe ich die Datenschutzerklärung des Anbieters geprüft?
  • Gibt es einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter?
  • Ist der Server-Standort in der EU oder gibt es angemessene Garantien?
  • Wurden Mitarbeiter über die korrekte Nutzung informiert?

Häufige Missverständnisse

Missverständnis 1: “KI lernt aus allem, was ich eingebe” Bei Business-Tarifen wird dein Input in der Regel nicht für das Training genutzt. Lies die jeweiligen Datenschutzrichtlinien und AVV-Bedingungen.

Missverständnis 2: “DSGVO verbietet KI grundsätzlich” Nein. DSGVO setzt Rahmenbedingungen für die Verarbeitung personenbezogener Daten. KI ist damit vereinbar, wenn du die richtigen Maßnahmen triffst.

Missverständnis 3: “KI-Entscheidungen sind automatisch DSGVO-konform, wenn die KI gut ist” Automatisierte Entscheidungen, die erhebliche Auswirkungen auf Personen haben (z.B. Kreditvergabe, Jobabsagen), unterliegen besonderen Anforderungen nach Art. 22 DSGVO.

Wann brauchst du eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist erforderlich, wenn KI-Verarbeitung “voraussichtlich ein hohes Risiko” für betroffene Personen darstellt. Das ist typischerweise der Fall bei:

  • Systematischer Profilbildung von Personen
  • Verarbeitung besonderer Datenkategorien (Gesundheit, Religion, Ethnie)
  • Großangelegter Verarbeitung öffentlicher Bereiche
  • Automatisierten Entscheidungen mit erheblichen Auswirkungen

Für eine KI, die intern E-Mails schreibt oder Daten zusammenfasst, braucht man in der Regel keine DSFA.

Interne vs. externe KI-Tools

Eine wichtige Unterscheidung für die Datenschutz-Praxis:

Externe Tools (ChatGPT, Claude, etc.):

  • Ideal für öffentliche oder anonymisierte Daten
  • Business-Tarife für Kundendaten nutzen
  • AVV abschließen
  • Mitarbeiter schulen, was eingegeben werden darf

Interne KI-Lösungen:

  • Höhere Datenschutz-Kontrolle
  • Höherer Implementierungsaufwand
  • Empfehlenswert für hochsensible Daten oder spezifische Branchenanforderungen

Fazit: Pragmatisch statt paranoid

Datenschutz ist kein Grund, KI grundsätzlich zu meiden. Aber er ist ein Grund, informiert vorzugehen. Die Grundregel ist einfach: Keine personenbezogenen Kundendaten in kostenlose Consumer-Tools. Für alles andere gibt es praxistaugliche Lösungen.

Typische Unternehmensanwendungen wie KI-gestützte Vertragsanalyse oder interne Wissensdatenbanken lassen sich bei richtiger Konfiguration DSGVO-konform betreiben. Die entsprechenden Anbieterverträge und AVV-Klauseln sind mittlerweile Standard.

Wenn du unsicher bist, hole dir kurze rechtliche Beratung. Ein Stundengespräch mit einem DSGVO-erfahrenen Anwalt kostet wenige Hundert Euro und gibt dir Sicherheit für den gesamten KI-Einsatz. Wenn du außerdem verstehen möchtest, wer bei KI-Fehlern rechtlich verantwortlich ist, lies unseren Artikel Wer haftet, wenn die KI Fehler macht?. Für einen strukturierten KI-Einstieg in deinem Unternehmen empfehlen wir unsere Unternehmensseite.

Daniel Sonnet, KI-Syndikat

Mehr KI-Wissen

KI-Wochenbriefing: jeden Freitag KI-News, Praxistipps und Tools

Kostenlos abonnieren, jederzeit abmeldbar, kein Spam.

Diesen Artikel teilen:

Autor und Redaktion

Prof. Dr. Daniel Sonnet

Prof. Dr. Daniel Sonnet

Gründer von KI-Syndikat, Professor an der Hochschule Fresenius

Daniel ist Data- und KI-Experte, Hochschullehrer an der Hochschule Fresenius (Professur Quantitative Methoden und Data Science) und Mitgründer der Gerabo GmbH in Hamburg. Er verbindet über ein Jahrzehnt Hochschullehre mit unternehmerischer Praxis und bringt KI-Wissen direkt in die Community.

Zum Profil

Freddie Feder

KI-Assistent und Lektor

Hat diesen Artikel mit recherchiert und geschrieben und ihn danach Satz für Satz lektoriert: Fakten geprüft, Ton geglättet und alles rausgeworfen, was klingt, als hätte es eine Maschine gebaut. Die inhaltliche Verantwortung liegt bei den menschlichen Autoren.

Mehr über unser Team

Das könnte dich auch interessieren

Transparenzpflichten bei KI: Was du Kunden und Nutzern sagen musst

EU AI Act und DSGVO verlangen Transparenz beim KI-Einsatz. Welche Pflichten du als Unternehmen hast – und wie du sie verständlich erfüllst.

5 Min.

KI-Governance: Wie du KI-Systeme in deinem Unternehmen dokumentierst und regulierst

KI-Governance klingt nach Konzern, ist aber für jedes Unternehmen relevant. Praktischer Leitfaden für Dokumentation, interne Richtlinien und EU-AI-Act-Anforderungen.

5 Min.

DSGVO-konforme KI-Tools: Europäische Alternativen 2026

DSGVO-konforme KI-Tools im Überblick: welche europäischen Anbieter es gibt, was datenschutzkonform wirklich heißt und welche Fragen du stellen solltest.

6 Min.

Gelöscht ist nicht vergessen: Warum KI-Datenschutz nicht erst bei der Löschfrist beginnt

Der Vorstoß zur KI-Nutzung mit echten Steuerdaten zeigt ein Grundproblem professioneller KI-Projekte: Wer personenbezogene Trainingsdaten später löscht, hat damit noch nicht geklärt, was ein Modell daraus gelernt, verdichtet oder memorisiert hat.

12 Min.

KI-Infrastruktur: Cloud, On-Premise oder Hybrid, was ist für dein Unternehmen richtig?

Cloud, On-Premise oder Hybrid: Ein Entscheidungsrahmen für CTOs und IT-Manager, der Kosten, Datensouveränität und Skalierbarkeit gegenüberstellt.

6 Min.

KI für Rechtsanwälte: Vertragsanalyse, Recherche und Dokumentenprüfung

Drei konkrete KI-Anwendungen für Kanzleien: Vertragsanalyse, Rechtsprechungsrecherche und Dokumentenerstellung – inklusive Datenschutz und Grenzen.

5 Min.

Kommentare

Kommentare werden in Kürze freigeschaltet. Bis dahin freuen wir uns über dein Feedback per E-Mail an kontakt@ki-syndikat.de.

Kostenloser Newsletter

Bleib auf dem neuesten
Stand der KI

Wähle deine Themen und erhalte relevante KI-News, Praxistipps und exklusive Inhalte direkt in dein Postfach – kein Spam, jederzeit abmeldbar.

Was interessiert dich? Wähle 1–4 Themen, du bekommst nur Inhalte dazu.

Mit der Anmeldung stimmst du unserer Datenschutzerklärung zu. Jederzeit abmeldbar.

Kostenlos
Kein Spam
Jederzeit abmeldbar