KI und Datenschutz

Von /

Was Unternehmen 2026 beachten müssen

KI und Datenschutz werden gerne und zu Recht versucht, in der EU streng miteinander in Einklang zu bringen. Denn auch wenn KI viele Chancen bietet – sei es bei der Entlastung von Routineaufgaben oder Bilderstellung – wirft sie aber auch wichtige Datenschutzfragen auf.

Sobald personenbezogene Daten in KI-Systeme eingefügt werden, greift die DSGVO. Die europäische Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft und „bildet das Fundament für den Umgang mit personenbezogenen Daten in der EU“. Ihr Ziel ist es, die Privatsphäre der Bürger zu schützen und klare Regeln für Unternehmen zu schaffen.

Da Künstliche Intelligenz bereits in vielen Unternehmen integriert ist oder mit dem Gedanken gespielt wird, widmet sich dieser Beitrag dem Datenschutz und worauf man bei der Einbindung in eine KI zu achten hat.

KI und Datenschutz

KI und Datenschutz: Begriffe einfach erklärt

Beim Einsatz von KI sollte immer im Hinterkopf behalten werden, dass Datenschutz von Anfang an in KI-Projekte integriert werden muss. Nur so bleiben deine KI-Lösungen vertrauenswürdig und DSGVO-konform. Aber vorher tauchen wir in einige Begrifflichkeiten ein, um den Lesefluss geschmeidig zu halten.

  • DSGVO (Datenschutz-Grundverordnung): Ein Regelwerk, das festlegt, wie Unternehmen in der EU personenbezogene Daten verarbeiten dürfen. Die DSGVO gilt für alle Mitgliedstaaten und verlangt unter anderem Rechtmäßigkeit, Transparenz, Zweckbindung und Datensparsamkeit. Diese Grundsätze stellen sicher, dass KI-Systeme Daten “ethisch und gesetzeskonform” verarbeiten.
  • Künstliche Intelligenz (KI): Systeme, die menschenähnliche Intelligenz simulieren und aus Daten lernen, Probleme lösen und Entscheidungen treffen. KI-Modelle können sehr große Datenmengen verarbeiten, was im Datenschutzkontext relevant ist. Beispiele sind Chatbots wie ChatGPT, automatisierte Bilderkennung oder Empfehlungssysteme.
  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen Name, Adresse, Kontaktdaten, aber auch spezielle Merkmale (Biometrie, Gesundheitsdaten). Sobald KI mit solchen Daten arbeitet, greift die DSGVO.
  • Datenschutz-Folgenabschätzung (DSFA): Ein Verfahren, um Risiken bei der Datenverarbeitung systematisch zu prüfen. Die DSGVO schreibt eine DSFA vor, wenn eine Technologie voraussichtlich ein hohes Risiko für Rechte und Freiheiten von Betroffenen darstellt. Besonders KI-Systeme, die Personendaten verarbeiten, erfordern oft eine DSFA. Experten und Aufsichtsbehörden betonen, dass bei vielen KI-Anwendungen wegen möglicher Profilings oder sensibler Daten eine DSFA Pflicht ist. Eine frühzeitige Risikobewertung hilft dir, geeignete Schutzmaßnahmen zu treffen.

Gesetzliche Grundlagen

DSGVO, KI-Verordnung & Co

Neben der DSGVO treten mit der europäischen KI-Verordnung (EU AI Act) neue Regeln für KI in Kraft. Diese gilt seit 1. August 2024 und wird stufenweise implementiert. Sie verpflichtet praktisch alle Unternehmen in Europa, die KI-Systeme entwickeln, anbieten oder einsetzen, sich an bestimmte Regeln zu halten. Einige besonders problematische KI-Anwendungen (z.B. Social Scoring) sind bereits seit 2. Februar 2025 verboten.

Wichtig: Die KI-Verordnung regelt nicht direkt personenbezogene Daten (hier greift weiter die DSGVO). Das bedeutet, verarbeitest du Daten mit KI, musst du sowohl die DSGVO als auch die KI-Verordnung beachten.

Merke: Die KI-Verordnung UND die DSGVO müssen parallel beachtet werden

Durch die KI-Verordnung selbst wird ein risikobasierter Ansatz eingeführt. Gerade das Risikomanagement der KI-Verordnung deckt sich stark mit einer Datenschutz-Folgenabschätzung nach DSGVO. Hast du also bereits eine DSFA für dein KI-Projekt erstellt, kannst du diese oft nutzen, um auch die KI-Verordnung abzudecken. Es ist empfehelnswert, bestehende Datenschutzmanagementsysteme zu „KI-Management“ zu erweitern und einen festen Ablauf (z.B. Frühwarnsystem, Verantwortliche definieren) einzurichten.

Auch die nationale Praxis und internationale Entwicklungen spielen eine Rolle: So betonen Datenschutzbehörden in Deutschland und der EU, dass Transparenz und Betroffenenrechte zentral sind. Das UK-Informationskommissariat (ICO) fordert etwa, Anwender über die Nutzung von KI zu informieren. Im Jahr 2025 stehen schon einige Fristen an: Die ersten Vorgaben des AI Act sind bereits aktiv, und ab 2026 müssen KI-Inhalte deutlich als solche gekennzeichnet sein. Bis dahin sollte alles so gut wie möglich in Ordnung gebracht werden. Dies bedeutet zum Beispiel:

  1. Rechtsgrundlagen festlegen
  2. DSFAs durchführen
  3. KI-Verträge prüfen
  4. Klärung, wie KI (-Ergebnisse) gekennzeichnet werden

Praxis-Tipps für den datenschutzkonformen KI-Einsatz

Brechen wir die Inhalte auf: Was genau muss in einem Unternehmen beachtet werden, um KI und Datenschutz miteinander zu vereinen?

Daten

  • Datensparsamkeit und Zweckbindung: Verarbeite nur so viele personenbezogene Daten, wie unbedingt nötig. Überlege genau, welche Daten dein KI-Tool wirklich braucht. Oft kannst du Daten pseudonymisieren oder anonymisieren, was das Risiko eines Missbrauchs minimiert. Beispiel: Wenn du Kundendaten analysieren willst, entferne oder verschlüssele Namen/E-Mail, damit das KI-Modell keine Rückschlüsse auf Einzelpersonen zulässt.

  • DSFA durchführen: Prüfe frühzeitig, ob dein KI-Einsatz risikobehaftet ist. Für Chatbots, Profilerstellung oder wenn besondere Daten (z.B. Gesundheitsdaten) genutzt werden, benötigst du meist eine Datenschutz-Folgenabschätzung. In der DSFA dokumentierst du Art, Umfang und Zweck der Verarbeitung, mögliche Risiken (z.B. Diskriminierung durch Algorithmus) und wie du sie minimierst. Nutze bestehende Leitfäden (etwa von der französischen CNIL) und die Vorgaben der Datenschutzaufsichtsbehörden – viele haben Hilfsmittel für KI-DSFA veröffentlicht.

Recht

  • Rechtsgrundlagen klären: Du brauchst für jede Datenverarbeitung eine Rechtsgrundlage (z.B. Einwilligung oder berechtigtes Interesse). Die EU-Datenschützer empfehlen sogar, bei KI „berechtigtes Interesse“ anhand eines Drei-Stufen-Tests zu prüfen. Achte darauf, dass du nicht einfach ungefragt persönliche Daten in KI-Systeme eingibst. Gerade bei Chatbots und externen KI-Anbietern muss klar sein, auf welcher Basis du sie nutzt. Abschließend solltest du einen Datenschutzvertrag (AVV) mit dem KI-Dienstleister abschließen, um die Datenverarbeitung korrekt zu regeln.

  • Sichere Infrastruktur und Anbieterwahl: Nutze möglichst KI-Dienste, die DSGVO-gerecht sind. Wenn dein Chatbot-Anbieter seine Server in den USA hat, ist die DSGVO-Anwendbarkeit schwieriger zu garantieren (siehe weiter unten). Informiere dich, ob der Anbieter Standardvertragsklauseln oder eine Angemessenheitsentscheidung bietet. Und: Achte darauf, KI-Anbieter mit einer Option „Training aus“ zu wählen. Bei ChatGPT etwa solltest du die Einstellung „Model verbessern“ deaktivieren, damit Kundendaten nicht in das Trainings-Set von OpenAI einfließen.

Infrastruktur

  • Transparenz für Nutzer schaffen: Informiere Betroffene darüber, wenn sie mit KI-Systemen interagieren. Die KI-Verordnung schreibt vor, dass Nutzer wissen müssen, dass eine KI antwortet. Erstelle in deiner Datenschutzerklärung einen Abschnitt „Einsatz von KI“, in dem du erklärst, welche Systeme du nutzt und zu welchem Zweck. Bei Chatbots solltest du beim Einstieg klar machen („Du sprichst gerade mit einem KI-Chatbot“) und ggf. oben auf der Seite ein Hinweis-Icon platzieren. Beispiel: Auf einer Webseite kann ein kleiner Text über dem Chatfenster stehen: „Dieser Chatbot verwendet Künstliche Intelligenz. Bitte gib hier keine sensiblen persönlichen Daten ein.“

  • Technische Schutzmaßnahmen: Verschlüssele gespeicherte und übertragene Daten (TLS, VPN, Datenbankverschlüsselung). Lege Zugriffsrechte strikt fest: Nur autorisierte Mitarbeiter dürfen die KI-Anwendung mit persönlichen Daten nutzen. Führe regelmäßige Sicherheitsaudits durch – viele KI-Nutzer setzen mittlerweile AI-basierte Monitoring-Tools ein, um Datenlecks oder unzulässige Zugriffe zu erkennen. Wenn möglich, hoste KI-Lösungen in der EU oder in Rechenzentren mit hohem Datenschutzniveau.

  • Mitarbeiter schulen und Richtlinien festlegen: Kläre intern, wer KI wie nutzt. Erstelle eine verbindliche KI-Richtlinie oder -Checkliste. Schule dich und deine Mitarbeiter in den Grundlagen von Datenschutz und KI. In deiner Richtlinie kann stehen: „Gib keine personenbezogenen oder sensiblen internen Daten in externe KI-Tools ein.“ Auf diese Weise beugst du Fehlern vor und sorgst für eine datenschutzgerechte Nutzung im Alltag.

  • Betroffenenrechte ermöglichen: Auch bei KI müssen die Rechte von Kunden und Mitarbeitern gewahrt bleiben. Wenn jemand Auskunft über seine Daten verlangt oder eine Löschung fordert, musst du dies umsetzen können. Oft sind KI-Antworten nur bedingt nachvollziehbar, deshalb dokumentiere Eingaben und Ergebnisse, damit du ggf. beweisen kannst, welche Daten verarbeitet wurden. Einige Experten raten, möglichst nur anonyme Daten in öffentlich trainierte Modelle einzugeben, um nicht die Kontrolle über persönliche Daten zu verlieren. Wenn doch persönliche Daten verarbeitet werden, nutze nur Enterprise-KI-Versionen (die AV-Vertrag erlauben) und sei auf den Informationsbedarf der Betroffenen vorbereitet.

Beispiele

  • Praxisbeispiel – CRM mit KI: Wenn du dein CRM-System mit KI-Funktionen erweiterst (z.B. automatische Tagging oder Kontaktempfehlungen), speichere nicht mehr Daten als nötig. Anstatt vollständige Telefonnummern oder genaue Geburtstage an die KI zu übermitteln, arbeite mit Pseudonymen oder allgemeinen Kategorien („Alter 30-40“, statt exakt). Dokumentiere, wie die KI die Daten verarbeitet und wer auf die Auswertung zugreifen kann.

  • Praxisbeispiel – E-Mail-Marketing: KI kann helfen, personalisierte Betreffzeilen zu generieren. Achte dabei aber auf klassische DSGVO-Regeln: Nutze datenschutzkonforme Newsletter-Tools (Double-Opt-In, Widerrufslink). Erstelle keine Listen mit sensiblen Daten (z.B. Gesundheitsfragen) in deinem KI-Tool. Erwähne in deinem Opt-In-Text, falls eine KI generierte Empfehlungen gibt.

Fallstrick: KI ohne Serverstandort in der EU

Zu den bekanntesten KI-Lösungen gehören die Dienste von OpenAI, wie ChatGPT. Da OpenAI aktuell keinen Serverstandort in der EU hat (ebenso wie DeepSeek), ist bei der Nutzung dieser Modelle besondere Vorsicht geboten. Verboten ist sie aber nicht! Wer die Ergebnisse von OpenAI Anbietern mit einem Serverstandort in der EU bevorzugt, muss auf folgendes achten:

1. Keine personenbezogenen Daten = Nutzung von ChatGPT und DALL·E erlaubt

Solange keine personenbezogenen Daten in deine Texte oder Bildgenerierungen eingegeben oder verarbeitet werden (z. B. keine echten Namen, keine Adressdaten, keine biometrischen Merkmale), kannst du die Dienste von OpenAI wie ChatGPT und DALL·E rechtlich unbedenklich nutzen – auch ohne EU-Serverpflicht. Denn:

  • Der EU AI Act zielt primär auf Risikoklassen ab. KI-Systeme, die personenbezogene Daten verarbeiten, gelten oft als „hohes Risiko“ und unterliegen strengeren Regeln.
  • Wenn du rein generative Inhalte erstellst (Texte, Bilder), ohne echte Daten zu verarbeiten, ist dein Einsatz „geringes Risiko“ mit geringen Auflagen (z. B. Transparenzpflicht).

2. Verarbeitung auf US-Servern durch OpenAI – DSGVO-relevant nur bei personenbezogenen Daten

  • OpenAI betreibt derzeit keine garantierten ausschließlich EU-basierten Server für alle ChatGPT Nutzer.
  • Für personenbezogene Daten wäre das ein Problem im DSGVO-Kontext (Stichwort: Drittstaatentransfer, EU-US Data Privacy Framework).
  • Aber: Da du keine personenbezogenen Daten verarbeitest, greift dieses Problem für dich nicht.

Wichtig: Achte trotzdem darauf, nicht versehentlich reale Namen, Fotos oder identifizierende Daten in Prompts oder Ausgaben zu verwenden.

3. KI-Bilder ohne reale Personen oder Marken = kein rechtliches Risiko

  • Wenn deine Bilder keine realen Personen, Prominenten, Markenlogos oder urheberrechtlich geschützten Inhalte enthalten, besteht kein marken- oder persönlichkeitsrechtliches Risiko.
  • DALL·E 3 filtert solche Eingaben weitgehend automatisch heraus – z. B. Anfragen zu echten Promis, Marken, Logos oder spezifischen Stilkopien.

Kleine Checkliste

  • Nur Daten eingeben, die wirklich gebraucht werden. Vermeide unnötige Personeninfos. Ein weiterer Vorteil ist, dass du besser einschätzen kannst, welche Daten ggf. gereinigt werden müssen.
  • Führe eine DSFA durch, wenn Risiko besteht.
  • Schließe einen AV-Vertrag mit dem KI-Anbieter ab und wähle einen EU- oder DSGVO-konformen Anbieter.
  • Informiere Betroffene klar über den KI-Einsatz (z.B. Chatbot-Hinweis, Datenschutzhinweis).
  • Deaktiviere “KI-Training” bei externen Tools oder nutze Enterprise-Versionen, um ein wenig mehr Kontrolle zu behalten.
  • Schulung anbieten und KI-Nutzungsrichtlinien erstellen (Betonung: keine sensiblen Daten eingeben).

KI und Datenschutz: Entwicklungen

Im Sommer 2024 trat der EU-KI-Act in Kraft: Das erste große KI-Gesetz weltweit. Er klassifiziert KI-Systeme nach Risiko: Hochrisiko-Anwendungen (z.B. bei Personalentscheidungen oder kritischer Infrastruktur) müssen strenge Auflagen erfüllen. Außerdem sind ab Anfang 2025 viele „verbotene Praktiken“ untersagt. Parallel dazu arbeiten die EU-Datenschutzbehörden an konkreten Leitlinien.

Ende 2024 hat der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme veröffentlicht, wie die DSGVO bei KI angewendet werden soll. Darin wird unter anderem hervorgehoben, dass sich große KI-Anbieter (Google, Meta, OpenAI) auf ein gesetzliches „berechtigtes Interesse“ berufen dürfen, vorausgesetzt, ein strenger Drei-Stufen-Test wird erfüllt.

Weitere Entwicklungen

Gerichtsurteile und Aufsicht: In Deutschland haben mehrere Landesdatenschutzbehörden schon 2023 KI-Chatbots geprüft. Der niedersächsische LfD warnt: Wer sensible Daten in ChatGPT eingibt, verliert später die Kontrolle. Tatsächlich erschwert das Training durch OpenAI die Auskunftspflichten nach DSGVO. Ähnliche Bewertungen gibt es z.B. in Frankreich. Auf EU-Ebene mahnt die Datenschutzkonferenz (DSK) zu vorsichtiger KI-Nutzung und fordert, häufig die DSFA zu machen.

IT-Sicherheit: Auch das BSI (Bundesamt für Sicherheit) stellt KI in seinen Fokus. In einem BSI-Leitfaden wird empfohlen, Transparenz-Tools (Explainable AI) zu nutzen und interne Prozesse auf Sicherheit zu prüfen. Cloud- und Edge-Lösungen für KI müssen nach aktuellem Stand die gleichen Sicherheitszertifikate wie klassische IT-Systeme erfüllen.

Internationale Trends: Weltweit verschärft sich die Regulierung. Auch die USA und Großbritannien arbeiten an eigenen KI-Gesetzen Wichtig für deutsche Firmen bleibt: Der EU-Rahmen (DSGVO + KI-Verordnung) setzt de facto den Standard. Zum Beispiel verlangt das deutsche Wirtschaftssystem künftig, dass alle Mitarbeitenden, die KI nutzen, entsprechende Schulungen absolvieren müssen (erste Pflicht seit Februar 2025).

Das sind alles viele wichtige Infos und Pflichten, die beachtet werden müssen. Alles neben dem eigentlichen Betrieb? Mit einem KI Manager an deiner Seite wird alles übersichtlicher und machbarer. Ich helfe gerne, dein Unternehmen KI tauglich zu machen.

Auf unsere gemeinsame Reise

Quellen

ChatGPT im Unternehmen

KI Datenschutzfolgeabschätzung (DSFA)

DSFA für Tools

Data, Privacy & Cyber

KI und DSGVO: Einigung auf Regeln

KI und Datenschutz

Hinweis zur KI-Nutzung: Dieser Artikel und die darin enthaltenen Bilder wurden mithilfe von Künstlicher Intelligenz erstellt. Sowohl die Eingaben (Input) als auch die Ausgaben (Output) wurden vor der Veröffentlichung sorgfältig einer persönlichen menschlichen Prüfung unterzogen, bearbeitet und angepasst. Mehr zu den genutzten Modellen und weitere Infos in der Datenschutzerklärung

Nach oben scrollen