Wie KI DSGVO-konform eingesetzt werden kann
KI und DSGVO zu einen, klingt für viele heraufordernd. Unternehmen und Einzelanwender umso mehr, weil sie sich lieber auf ihr Kerngeschäft konzentrieren wollen, aber zeitgleich KI als Assistenz rechtssicher anwenden wollen. Dabei kann die Arbeit liegen bleiben, und dennoch ist es wichtig, sich mit KI und DSGVO-konformen Anwendungen zu befassen. In Zeiten, in denen KI-Systeme wie ChatGPT, Midjourney, DALL-E etc. immer leistungsfähiger werden und „einladen“, genutzt zu werden, stellt sich die Frage: Wie kannst du diese Tools nutzen, ohne gegen geltende Datenschutzvorgaben wie die Datenschutz-Grundverordnung (DSGVO) zu verstoßen?
In diesem Artikel erfährst du, worauf du achten musst, wenn du KI-Tools DSGVO-konform einsetzen willst, welche Risiken bestehen und wie du sie vermeidest. Du brauchst kein Datenschutzexperte sein, und trotzdem nach dem Lesen besser verstehen, was erlaubt ist und was nicht.
KI & DSGVO
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) regelt, wie sensible, vor allem personenbezogene Daten, verarbeitet werden dürfen. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen – also zum Beispiel Namen, E-Mail-Adressen, IP-Adressen oder auch Standortdaten.
Bei KI und DSGVO gilt der Schutz dieser Daten besonders. Einer der Hauptgründe ist, dass nicht jedes KI-System einen Standort Server in der EU besitzt und alle Daten, die in die KI eingespeist werden, in Server bearbeitet werden, die andere Datenschutzregulierungen haben. So hat OpenAI seinen Server in den USA, wo die Daten gespeichert und erarbeitet werden. Wenn du KI nutzt, um solche Daten zu analysieren, zu speichern oder zu generieren, musst du sicherstellen, dass du die Regeln der DSGVO einhältst. Tust du das nicht, drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % deines Jahresumsatzes. Unter Art. 99 des EU AI-Act sind u.a. folgende Geldbußen verzeichnet:
🔹 Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei besonders schweren Verstößen (z. B. verbotene KI-Praktiken).
🔹 Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes für andere Verstöße.
🔹 Bis zu 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes für falsche oder irreführende Angaben.
Die Geldbußen betreffen nicht ausschließlich Verletzungen der DSGVO, sondern umfassen noch weitere Verstöße, welche beim Umgang mit einer KI verursacht werden können.
Wann ist der Einsatz von KI problematisch?
Viele KI-Anwendungen sind sogenannte „Black Boxes“. Das heißt, du weißt oft nicht genau, wie sie Daten verarbeiten oder speichern. Genau hier liegt das Problem: Die DSGVO fordert Transparenz, Nachvollziehbarkeit und Kontrolle über personenbezogene Daten. Auch der EU AI-Act legt diese Regelung fest. KI-Modelle, die mit personenbezogenen Daten trainiert wurden, können gegen diese Grundsätze verstoßen, und zwar unabhängig davon, wo der Server steht.
Beispiele für problematische Fälle:
- Gesundheitswesen: Eine Klinik nutzt KI zur Analyse von Patientenakten. Wenn diese Daten ohne ausdrückliche Einwilligung verarbeitet werden, ist das ein klarer DSGVO-Verstoß.
- Marketing: Eine Werbeagentur verwendet KI zur Personalisierung von Kampagnen auf Basis von Nutzerverhalten, ohne dass die Nutzer darüber informiert wurden.
- HR-Abteilungen: Eine KI entscheidet über Bewerber, ohne dass klar ist, wie die Entscheidung zustande kam. Das widerspricht dem Recht auf Erklärung automatisierter Entscheidungen.
Zusammengefasst: Sobald ein KI-System mit Daten von Personen trainiert wird, die nicht ihr eindeutiges Einverständnis gegeben haben,
Was musst du beachten, um KI DSGVO konform zu nutzen?
Wenn du weißt, dass du mit einer KI Daten bearbeiten willst, die DSGVO-konform gehandhabt werden, dann solltest du einiges beachten:
1. Einwilligung einholen
Wenn du personenbezogene Daten mit KI verarbeiten willst, brauchst du in vielen Fällen die ausdrückliche Einwilligung der betroffenen Person. Diese muss informiert, freiwillig, eindeutig und widerrufbar sein.
2. Datensparsamkeit praktizieren
Nutze nur die Daten, die du wirklich brauchst. KI-Systeme müssen so konfiguriert werden, dass sie keine unnötigen Informationen sammeln oder speichern. Das hilft den Systemen zusätzlich, gezieltere Ausgaben zu generieren.
3. Transparenz schaffen
Du musst den Nutzern erklären, dass und wie du KI einsetzt. Dazu gehört auch, welche Daten verwendet werden, wie lange sie gespeichert bleiben und wie man sich bei Fragen an dich wenden kann. Füge zusätzlich (nicht ausschließlich) einen Abschnitt in deine Datenschutzerklärung ein, in welcher du den Namen, den Grund der Nutzung und die Speicherdauer verankerst.
4. Verzeichnis von Verarbeitungstätigkeiten
Dokumentiere, welche Daten du wie verarbeitest. Dieses Verzeichnis musst du vorlegen können, wenn es zu einer Kontrolle durch die Datenschutzbehörden kommt. So ein Verzeichnis kann eine einfache Excel-Tabelle sein, die klar strukturiert ist.
5. Auftragsverarbeitung und Verträge
Wenn du externe KI-Dienste nutzt (z. B. OpenAI, Google, Microsoft), musst du sicherstellen, dass entsprechende Auftragsverarbeitungsverträge (AV-Verträge) bestehen. Ohne sie darfst du diese Dienste nicht einfach so einsetzen.
6. Datenschutz-Folgenabschätzung (DSFA)
Bei hohem Risiko für die Rechte und Freiheiten der Betroffenen ist eine DSFA Pflicht. Zum Beispiel bei KI-Systemen, die Entscheidungen mit rechtlicher Wirkung treffen (etwa im Kreditwesen oder im Recruiting). In der Regel betrifft eine DSFA KI der Hochrisiko-Klasse, aber es lohnt sich für jede KI Nutzung, welche mit Daten arbeitet, so eine DSFA zu machen. Findet heraus, was passieren würde, wenn Daten fehlerhaft oder missbräuchlich verwendet würden und welche Risiken für den Betroffenen und das Unternehmen bestehen würden. Falls ein Datenschutz- oder Compliance-Beauftragter zu gegen ist, kann und sollte diese konsultiert werden.
Ausnahme beim AVV
Wenn du KEINE sensiblen Daten mit einer KI verarbeitest, brauchst du nach Art. 28 DSGVO keinen AV-Vertrag abschließen. Dies wäre der Fall, wenn du KI zur Bildgenerierung, Recherche oder Texterstellung nutzt, wofür keine personenbezogenen Daten weder im Prompt noch in den Trainingsdaten genutzt werden. Prüfe dennoch, ob die Funktion, das Eingabedaten zu Trainingszwecken genutzt werden dürfen, bei deiner genutzten KI aktiviert ist oder nicht. Pflicht ist es dagegen, wenn du CRM oder Buchhaltungssysteme verwenden willst (s. oben).
Was, wenn kein AVV vorhanden ist?
Es ist möglich, dass ein KI Anbieter keinen AV-Vertrag anbietet, z.B. Mistral. Kann man den Dienst dann trotzdem nutzen? Ja, das geht. Am wichtigsten ist, die Richtlinien, die eben erwähnt wurden (DSFA, Rechtsgrundlagen bzw. Einwilligung zur Verarbeitung etc., Transparenz, Dokumentation, Datenschutzlinie und technische und organisatorische Maßnahmen (ToM) einzuhalten.
Es ist nicht zwingend erforderlich, explizit zu erwähnen, dass kein AV-Vertrag vorhanden ist. Es reicht theoretisch in den Datenschutzrichtlinien zu erwähnen, dass keine Auftragsverarbeitung im Sinne der DSGVO stattfindet. Dies hat den Vorteil, Transparenz zu schaffen und Missverständnissen entgegen zu wirken. Eine Formulierung könnte zum Beispiel so aussehen:
„Unser Unternehmen nutzt KI-Assistenten zur Unterstützung interner Prozesse. Dabei werden keine personenbezogenen Daten an externe Dienstleister im Rahmen einer Auftragsverarbeitung übermittelt. Die Verarbeitung der Daten erfolgt ausschließlich im Rahmen unserer eigenen datenschutzrechtlichen Verantwortung und unter Einhaltung der geltenden Datenschutzbestimmungen.“
Praxisbeispiel: DSGVO-konforme Nutzung im Kundenservice
ChatGPT ist in der Lage, kreative Ergebnisse zu erzeugen und wird gerne in Betracht gezogen, um einen Chatbot für den Kundenservice oder Textgenerierung zu nutzen. Aber ChatGPT als KI DSGVO konform nutzen? Eher nicht. Der Server steht immerhin in den USA. Einen Kundenservice Chatbot zu erstellen, ist dennoch möglich:
- Nutze eine datenschutzfreundliche Variante, z. B. ein lokales LLM-Modell oder eine DSGVO-konforme API. Vielleicht gefällt dir Mistral
- Stelle sicher, dass keine personenbezogenen Daten in die Prompts eingegeben werden, es sei denn, du hast eine Einwilligung.
- Informiere deine Kunden darüber, dass eine KI im Einsatz ist. Du kannst zum Beispiel zu Beginn im Chat-Fenster vermerken, dass der Nutzer mit einer KI spricht und ob er einverstanden ist, dass die Daten verarbeitet werden
- Erstelle einen AV-Vertrag mit dem Anbieter, falls notwendig und vorhanden.
Lokale KI-Modelle als datenschutzfreundliche Alternative
Viele Datenschutzprobleme entstehen, weil Daten an US-Server gesendet werden. Die DSGVO verlangt aber, dass Daten innerhalb der EU verarbeitet oder zumindest gleichwertig geschützt werden.
Deshalb ist der Einsatz von lokalen KI-Modellen auf eigenen Servern oder europäischen Cloud-Anbietern eine gute Lösung. Auch Open-Source-Modelle wie LLaMA oder Mistral können eine Alternative sein – wenn du technisch in der Lage bist, sie selbst zu betreiben.
Bei lokal gehosteten Lösungen ist zum einen die Server-Kapazität wichtig. Damit nicht nur ein „gutes“ LLM genutzt werden kann, sondern auch alle weiteren Arbeiten erledigt werden können, sind 16 RAM das mindeste, was der Server haben sollte. Kleinere Modelle, die weniger RAM benötigen, zeigen große Unterschiede in den Ergebnissen. Wenn du dir unsicher bist, ob und was für dich in Frage kommt, lass dich von einem KI Manager, IT Spezialisten oder Datenschutzbeauftragten beraten.
Einige DSGVO-konforme Tools & Modelle
Die Welt der KI heißt nicht OpenAI, auch wenn dieser überall zu sein scheint. Diese Auswahl zeigt dir, mit welcher KI du auf der sicheren Seite nutzen kannst:
- ChatGPT Enterprise mit EU-Hosting-Option
- Aleph Alpha (deutscher Anbieter)
- Microsoft Azure OpenAI Service mit Rechenzentren in Deutschland
- DeepL Write Pro mit DSGVO-Konformitätserklärung
- On-Premise LLMs wie Mistral, Falcon oder LLaMA
Diese Services bieten entweder EU-basierte Datenverarbeitung, Verschlüsselung auf hohem Niveau oder die Möglichkeit, deine Daten gar nicht erst an externe Server zu senden.
Der EU AI Act und seine Verbindung zur DSGVO
Im Frühjahr 2024 wurde der EU AI Act verabschiedet, der Künstliche Intelligenz je nach Risiko in verschiedene Kategorien einteilt. Systeme mit hohem Risiko müssen besonders strengen Anforderungen entsprechen, wobei viele davon direkt aus der DSGVO stammen, z. B. das Prinzip der Transparenz, der menschlichen Überwachung oder der Rechenschaftspflicht. Von allen Klassen haben diese Hochrisikosysteme die meisten Auflagen und sollten sehr gut überlegt sein. In diesem Fall empfiehlt es sich, sich sowohl mit einem Datenschutzbeauftragtem, einen KI Manager und der IT bzw. einem IT Berater auszutauschen.
Generell gilt aber, dass bezüglich KI sowohl der EU AI-Act als auch die DSGVO parallel beachtet werden müssen, da sie sich ergänzen.
Fazit: DSGVO-Konformität ist machbar, aber nicht nebenbei
Wie bei allen Themen, die das Leben und die Arbeitswelt bewegen, ist jede Neuigkeit fremd und ungewohnt. Und auch bei diesem Thema sieht man die KI vor lauter Regeln nicht. Die Nutzung von KI im Einklang mit der DSGVO ist kein Hexenwerk, aber auch nichts, was du mal eben nebenbei machen kannst. Du brauchst ein solides Verständnis von Datenschutzprinzipien, ein gutes Setup und das Wissen, welche Tools sich wirklich eignen.
Für Laien und Unternehmen ohne eigene Rechtsabteilung ist das eine Herausforderung. Du musst technische, juristische und organisatorische Fragen gleichzeitig klären. Berate dich mit Fachleuten und Unternehmen, die du bereits kennst und KI in dem rechtlichen Sinne nutzen, wie du es auch vorhast.
Du brauchst Unterstützung?
Als KI Managerin habe ich meinen Fokus auf die datenschutzrechtliche Nutzung gelegt und biete dies in individuellen Schulungen, praxisnahen Workshops und gezielten Beratung für Unternehmen und Einzelanwender an, die KI DSGVO konform nutzen möchten.
Du willst wissen, welche Tools zu deinem Business passen, wie du Risiken vermeidest oder ein datenschutzkonformes KI-System aufbaust? Dann kontaktiere mich direkt über meine Website und erfahre, wie ich dich dabei unterstützen kann.
Tipp: Erfahre in diesem Artikel, worauf Unternehmen 2025 achten müssen
Quellen
Datenschutz-Grundverordnung (DSGVO / GDPR)
EU AI Act (2024 verabschiedet)
Bitkom e.V. – Leitfaden „KI & Datenschutz“ (2023/2024)
„Guidelines on AI and Data Protection“ – European Data Protection Board (EDPB)
OpenAI: ChatGPT Enterprise – Datenschutzrichtlinien (2024/2025)
Microsoft Azure – Data Residency & GDPR Compliance
Aleph Alpha – Datenschutzinformationen
DeepL Write Pro – Datenschutz-Erklärung (2025)
Hinweis zur KI-Nutzung: Dieser Artikel und die darin enthaltenen Bilder wurden mithilfe von Künstlicher Intelligenz erstellt. Sowohl die Eingaben (Input) als auch die Ausgaben (Output) wurden vor der Veröffentlichung sorgfältig einer persönlichen menschlichen Prüfung unterzogen, bearbeitet und angepasst. Mehr zu den genutzten Modellen und weitere Infos in der Datenschutzerklärung