Recht & Compliance
DSGVO-konforme KI
Kurz beantwortet
DSGVO-konforme KI bedeutet, dass ein KI-System personenbezogene Daten nach den Regeln der Datenschutz-Grundverordnung verarbeitet: mit Rechtsgrundlage, Zweckbindung, Datenminimierung und klaren Verträgen mit den beteiligten Dienstleistern. Entscheidend sind vor allem der Serverstandort, ein Auftragsverarbeitungsvertrag und die Frage, ob Daten zum Training der Modelle verwendet werden.
Worauf es bei KI und Datenschutz ankommt
Die DSGVO gilt für KI-Systeme genauso wie für jede andere Software, die personenbezogene Daten verarbeitet. Die zentralen Fragen: Welche Daten fließen in das System? Auf welcher Rechtsgrundlage? Wo werden sie verarbeitet — in der EU oder in einem Drittland? Und werden Eingaben zum Training der KI-Modelle verwendet? Seriöse Anbieter beantworten diese Fragen transparent und bieten Business-Konditionen, bei denen Kundendaten nicht ins Training fließen.
Praktisch heißt DSGVO-konforme KI-Einführung: einen Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter schließen, das Verarbeitungsverzeichnis aktualisieren, bei größeren Vorhaben eine Datenschutz-Folgenabschätzung prüfen und intern klare Regeln aufstellen, welche Daten in welche Tools dürfen — etwa keine Gesundheitsdaten in allgemeine Chat-Tools.
Typische Stolperfallen vermeiden
Die häufigsten Fehler in der Praxis: Mitarbeitende nutzen private KI-Konten mit Kundendaten (Schatten-KI), es fehlt ein AVV mit dem Anbieter, oder sensible Daten landen ungefiltert in Prompts. Die Lösung ist selten ein Verbot, sondern ein geordneter Rahmen: geprüfte Tools mit Unternehmenskonten, klare Nutzungsrichtlinien und wo nötig Anonymisierung oder Pseudonymisierung vor der Verarbeitung.
Für besonders sensible Daten gibt es Alternativen: EU-Hosting-Optionen großer Anbieter, europäische KI-Anbieter oder On-Premise-Betrieb von Open-Source-Modellen, bei dem keine Daten das eigene Haus verlassen.
Der pragmatische Prüfablauf vor jedem KI-Einsatz
Damit Datenschutz nicht zum Projektblocker wird, hilft ein fester, schlanker Prüfablauf in fünf Schritten. Erstens: Welche Datenarten fließen durch das System — nur Geschäftsdaten oder auch personenbezogene, womöglich besondere Kategorien wie Gesundheitsdaten? Zweitens: Wo verarbeitet der Anbieter — EU, Drittland, mit welchen Garantien? Drittens: Ist Training auf den eigenen Daten ausgeschlossen und ein AVV verfügbar? Viertens: Auf welcher Rechtsgrundlage erfolgt die Verarbeitung — meist Vertragserfüllung oder berechtigtes Interesse? Fünftens: Ist bei höherem Risiko eine Datenschutz-Folgenabschätzung nötig?
Dieser Ablauf dauert bei Standard-Tools mit sauberer Anbieterdokumentation oft nur Stunden — und er skaliert: Einmal durchlaufen, lässt er sich als Checkliste für jedes weitere Tool wiederverwenden. Wichtig ist, das Ergebnis kurz zu dokumentieren (welches Tool, welche Daten, welche Prüfung, welche Entscheidung). Diese Dokumentation ist im Fall einer Anfrage der Aufsichtsbehörde Gold wert — und sie verhindert, dass dieselben Fragen bei jedem neuen Projekt von vorn diskutiert werden.
Betroffenenrechte auch im KI-Kontext wahren
Die DSGVO gibt Personen, deren Daten verarbeitet werden, eine Reihe von Rechten — auf Auskunft, Berichtigung, Löschung und Widerspruch. Diese Rechte enden nicht an der Grenze zur KI, und in KI-Systemen stellen sich dabei besondere praktische Fragen. Ein Beispiel ist das Auskunftsrecht: Ein Unternehmen muss auf Anfrage darlegen können, welche personenbezogenen Daten es über eine Person verarbeitet — auch dann, wenn diese Daten durch einen KI-Assistenten oder eine Wissensdatenbank laufen. Das setzt voraus, dass man weiß, wo welche Daten liegen, und dass die eingesetzten Systeme entsprechende Auskünfte überhaupt ermöglichen.
Besonderes Augenmerk verlangt eine spezielle Regelung: Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen zu werden. Trifft ein KI-System solche Entscheidungen ohne menschliche Beteiligung — etwa über eine Ablehnung —, greift diese Schranke. Der praktische Ausweg ist meist ohnehin sinnvoll: eine menschliche Prüfung an der entscheidenden Stelle, sodass die KI vorbereitet und ein Mensch verantwortet. Wer die Betroffenenrechte von Anfang in die Systemarchitektur einplant — auffindbare Daten, Löschkonzept, menschliche Letztentscheidung bei erheblichen Fällen —, erfüllt sie im Alltag mit geringem Aufwand statt in hektischer Nacharbeit nach der ersten Anfrage.
Datensparsamkeit in KI-Prozessen: weniger Eingabe, weniger Risiko
Die DSGVO verlangt Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Bei KI-Systemen heißt das konkret, auch die Prompts und Eingaben zu hinterfragen. Wer ein Sprachmodell mit vollständigen Kundendatensätzen füttert, um einfache Textvorschläge zu generieren, verarbeitet womöglich mehr personenbezogene Daten als nötig — und erhöht das Risiko ohne Mehrwert.
Praktisch helfen zwei Hebel: Pseudonymisierung vor der Übergabe — Namen, Adressen oder Vertragsnummern werden durch Kürzel ersetzt und erst nach der Verarbeitung wieder zugeordnet — und eine bewusste Prompt-Gestaltung, die nur die für die Aufgabe notwendigen Informationen enthält. Für viele Anwendungsfälle, etwa Textverbesserung oder Kategorisierung, genügt das inhaltliche Gerüst ohne Klarnamen völlig. Diese Praxis reduziert das Datenschutzrisiko, verbessert in vielen Fällen die Antwortqualität und erleichtert die Einhaltung von Zweckbindung und Löschpflichten erheblich.
Praxisbeispiel
Ein Unternehmen aus dem Gesundheitsbereich will Arztbriefe automatisiert vorstrukturieren. Statt eines US-Cloud-Dienstes mit Standardvertrag wird ein Setup mit EU-Datenverarbeitung, AVV und vorgeschalteter Pseudonymisierung gewählt: Namen und Geburtsdaten werden vor der KI-Verarbeitung entfernt und erst danach wieder zugeordnet. So bleibt der Nutzen der Automatisierung erhalten, ohne dass Patientendaten das geschützte Umfeld verlassen.
Häufige Fragen zu DSGVO-konforme KI
Darf ich ChatGPT & Co. mit Kundendaten nutzen?
Nur mit dem richtigen Setup: Business- oder Enterprise-Konto, abgeschlossenem Auftragsverarbeitungsvertrag und deaktiviertem Training auf Ihren Daten. Private Gratis-Konten mit Kundendaten zu füttern ist ein Datenschutzverstoß. Zusätzlich sollten interne Richtlinien regeln, welche Datenarten überhaupt in KI-Tools dürfen.
Brauche ich für jedes KI-Tool einen AVV?
Sobald ein Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet: ja. Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist Pflicht. Seriöse Anbieter stellen ihn standardmäßig bereit — fehlt er, ist das ein Warnsignal.
Ist On-Premise-KI automatisch DSGVO-konform?
Nein, aber sie löst das Drittland-Problem: Daten verlassen die eigene Infrastruktur nicht. Rechtsgrundlage, Zweckbindung, Betroffenenrechte und technische Sicherheit müssen trotzdem stimmen. On-Premise ist ein Baustein für Konformität, kein Freifahrtschein.
Gelten Auskunfts- und Löschrecht auch für Daten in KI-Systemen?
Ja. Die Betroffenenrechte enden nicht an der Grenze zur KI: Ein Unternehmen muss auch Daten auskunftsfähig und löschbar halten, die durch Assistenten oder Wissensdatenbanken laufen. Zudem gibt Art. 22 DSGVO das Recht, nicht ausschließlich automatisierten Entscheidungen mit erheblicher Wirkung unterworfen zu werden — hier braucht es menschliche Beteiligung.
Müssen Prompts mit Personendaten als Verarbeitung im Sinne der DSGVO behandelt werden?
Ja. Sobald ein Prompt personenbezogene Daten enthält — Namen, Adressen, Vertragsinhalte, Gesundheitsangaben — handelt es sich um eine Verarbeitung im Sinne der DSGVO. Dafür braucht es eine Rechtsgrundlage und einen AVV mit dem Anbieter. Das gilt auch dann, wenn die Eingabe nur kurz verarbeitet und nicht gespeichert wird. Der einfachste Ausweg: wo möglich vor der KI-Eingabe pseudonymisieren oder auf nicht erforderliche personenbezogene Angaben verzichten.
Passend zu Ihrer Branche
Verwandte Begriffe
Wie relevant ist das für Ihren Betrieb?
Im kostenlosen Erstgespräch schauen wir uns Ihren konkreten Prozess an.