Jedes Mal, wenn ein Mitarbeiter eine Kundenanfrage in ChatGPT eingibt, einen Lebenslauf durch ein KI-Tool analysieren lässt oder einen Vertrag per KI zusammenfassen will, stellt sich dieselbe Frage: Ist das DSGVO-konform? Die Antwort ist in den meisten Fällen: Es kommt darauf an — und genau das macht KI und Datenschutz zu einer der drängendsten Herausforderungen für Unternehmen in Europa.
Die Datenschutz-Grundverordnung (DSGVO) und der EU AI Act bilden zusammen den regulatorischen Rahmen für den Einsatz von KI in Europa. Wer beide Regelwerke versteht und operativ umsetzt, schützt nicht nur sein Unternehmen vor Bußgeldern, sondern schafft auch Vertrauen bei Kunden und Mitarbeitern.
À retenir
- Jeder KI-Einsatz mit personenbezogenen Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO
- Eine Datenschutz-Folgenabschätzung (DSFA) ist bei Hochrisiko-KI-Systemen Pflicht
- Der AI Act ergänzt die DSGVO mit spezifischen Anforderungen an KI-Transparenz und Dokumentation
- Cloud-KI-Dienste erfordern Auftragsverarbeitungsverträge und Prüfung der Drittlandtransfers
DSGVO-Grundlagen für den KI-Einsatz
Die DSGVO wurde 2016 verabschiedet — lange bevor generative KI den Unternehmensalltag erreichte. Dennoch gelten ihre Prinzipien uneingeschränkt für KI-Systeme. Das bedeutet konkret:
Rechtsgrundlage (Art. 6 DSGVO): Sie brauchen eine rechtliche Basis für jede Verarbeitung personenbezogener Daten durch KI. In der Praxis kommen vor allem drei Grundlagen in Frage:
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — häufigste Grundlage, erfordert aber eine dokumentierte Interessenabwägung
- Einwilligung (Art. 6 Abs. 1 lit. a) — bei KI-Anwendungen schwierig, weil die Verarbeitung oft schwer erklärbar ist
- Vertragserfüllung (Art. 6 Abs. 1 lit. b) — wenn die KI-Verarbeitung für die Vertragserfüllung notwendig ist
Datenminimierung (Art. 5 Abs. 1 lit. c): Geben Sie nur die Daten in KI-Tools ein, die für den konkreten Zweck erforderlich sind. Ein vollständiger Kundenvertrag in ChatGPT, wenn nur eine Klausel analysiert werden soll? Das verstößt gegen den Grundsatz der Datenminimierung.
Transparenz (Art. 13/14 DSGVO): Betroffene Personen müssen wissen, dass ihre Daten durch KI verarbeitet werden. Das gilt für Kunden, deren Anfragen durch KI-Chatbots beantwortet werden, ebenso wie für Bewerber, deren Unterlagen durch KI-Screening laufen.
1,7 Mrd. €
an DSGVO-Bußgeldern wurden 2025 in der EU verhängt — KI-bezogene Verstöße mit stark steigendem Anteil
Source : EDPB Annual Report 2025
Datenschutz-Folgenabschätzung (DSFA) für KI
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei KI-Systemen ist das häufig der Fall.
Wann eine DSFA für KI zwingend ist:
- Automatisierte Einzelentscheidungen (z. B. KI-gestützte Bewerberauswahl, Kreditscoring)
- Systematische Überwachung (z. B. KI-basierte Videoanalyse, Verhaltensauswertung)
- Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Biometrie)
- Scoring oder Profiling mit erheblicher Wirkung auf Betroffene
Die DSFA für KI umfasst:
- Systematische Beschreibung der KI-Verarbeitung und ihrer Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken für die Rechte der Betroffenen
- Maßnahmen zur Risikominderung (technisch und organisatorisch)
Die Datenschutzkonferenz (DSK) empfiehlt, bei jeder neuen KI-Einführung eine Schwellwertanalyse durchzuführen. Im Zweifel lieber eine DSFA zu viel als eine zu wenig — die fehlende DSFA ist ein eigenständiger DSGVO-Verstoß.
Die italienische Datenschutzbehörde hat OpenAI 2024 ein Bußgeld von 15 Millionen Euro auferlegt — unter anderem wegen fehlender Datenschutz-Folgenabschätzung. Unternehmen, die KI-Dienste nutzen, sind als Verantwortliche selbst in der Pflicht, eine eigene DSFA durchzuführen.
Wo DSGVO und AI Act sich überschneiden
Der EU AI Act ist seit 2024 in Kraft und wird stufenweise anwendbar. Er ersetzt die DSGVO nicht, sondern ergänzt sie mit KI-spezifischen Anforderungen. Die Schnittmenge ist erheblich:
| Thema | DSGVO | AI Act |
|---|---|---|
| Transparenz | Informationspflicht bei Datenverarbeitung | Kennzeichnungspflicht für KI-generierte Inhalte |
| Risikobewertung | DSFA bei hohem Risiko | Konformitätsbewertung für Hochrisiko-KI |
| Menschliche Aufsicht | Recht auf menschliche Überprüfung (Art. 22) | Pflicht zur menschlichen Aufsicht bei Hochrisiko-KI |
| Dokumentation | Verarbeitungsverzeichnis | Technische Dokumentation des KI-Systems |
| Schulung | — | Schulungspflicht nach Art. 4 für alle KI-Nutzer |
Besonders relevant: Der AI Act verpflichtet in Art. 4 alle Unternehmen, die KI einsetzen, ihre Mitarbeiter angemessen zu schulen. Das schließt ausdrücklich Datenschutzaspekte ein.
Mitarbeiterdaten und KI: Besondere Anforderungen
Der Einsatz von KI für die Verarbeitung von Mitarbeiterdaten unterliegt verschärften Anforderungen. Das Beschäftigtendatenschutzrecht (§ 26 BDSG) setzt enge Grenzen:
Zulässig (mit Einschränkungen):
- KI-gestützte Terminplanung und Ressourcenallokation
- Anonymisierte Auswertung von Weiterbildungsbedarfen
- KI-unterstützte Gehaltsvergleiche mit aggregierten Marktdaten
Kritisch bis unzulässig:
- KI-basiertes Monitoring der Arbeitsleistung ohne transparente Information
- Emotionsanalyse in Videokonferenzen — vom AI Act explizit verboten
- Automatisierte Leistungsbeurteilung ohne menschliche Entscheidung
Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung der Mitarbeiter überwachen können. KI-Systeme fallen regelmäßig in diese Kategorie.
Cloud-KI-Dienste DSGVO-konform nutzen
Die meisten Unternehmen nutzen KI nicht on-premise, sondern als Cloud-Dienst — ChatGPT, Copilot, Gemini, Claude. Das hat datenschutzrechtliche Konsequenzen:
Auftragsverarbeitungsvertrag (AVV): Ohne einen AVV nach Art. 28 DSGVO dürfen Sie keine personenbezogenen Daten an einen KI-Cloud-Dienst übermitteln. Die kostenlose Version von ChatGPT bietet keinen AVV — jede Eingabe personenbezogener Daten ist damit ein Verstoß.
Drittlandtransfer: Wenn der KI-Anbieter Daten in den USA oder anderen Drittländern verarbeitet, brauchen Sie eine zusätzliche Rechtsgrundlage. Seit dem EU-US Data Privacy Framework (2023) ist der Transfer an zertifizierte US-Unternehmen wieder möglich — aber Sie müssen die Zertifizierung des Anbieters prüfen.
Praktische Empfehlungen:
- Nutzen Sie Enterprise-Versionen mit AVV und europäischem Hosting (Azure OpenAI EU, europäische Alternativen)
- Prüfen Sie, ob der Anbieter Eingabedaten für das Modelltraining verwendet — und widersprechen Sie dem
- Dokumentieren Sie die technischen und organisatorischen Maßnahmen (TOMs) des Anbieters
- Erstellen Sie klare KI-Richtlinien, die regeln, welche Daten in welche Tools eingegeben werden dürfen
78%
der deutschen Unternehmen haben keine spezifische Datenschutzrichtlinie für den KI-Einsatz
Source : Bitkom Digital Office Index 2025
Einwilligung und KI: Die praktischen Hürden
Die Einwilligung als Rechtsgrundlage für KI-Verarbeitung klingt naheliegend, ist aber in der Praxis problematisch:
- Informiertheit: Die Einwilligung muss informiert sein. Aber wie erklären Sie einem Kunden, was ein Large Language Model mit seinen Daten macht?
- Freiwilligkeit: In Beschäftigungsverhältnissen ist die Freiwilligkeit fraglich. Ein Mitarbeiter, der einer KI-gestützten Leistungsbeurteilung „zustimmt”, tut das selten wirklich freiwillig.
- Widerrufbarkeit: Der Widerruf muss so einfach sein wie die Einwilligung. Bei KI-Modellen, die Daten bereits verarbeitet haben, ist ein vollständiger Widerruf technisch kaum umsetzbar.
Die Datenschutzkonferenz empfiehlt daher, sich nicht auf die Einwilligung zu verlassen, sondern primär auf das berechtigte Interesse oder die Vertragserfüllung zu stützen — mit einer sorgfältigen Interessenabwägung.
Checkliste: KI-Datenschutz in 7 Schritten
- KI-Verarbeitungsverzeichnis erstellen — welche KI-Tools verarbeiten welche personenbezogenen Daten?
- Rechtsgrundlage für jeden KI-Einsatzfall dokumentieren
- DSFA durchführen für alle Hochrisiko-Anwendungen
- AVV prüfen für jeden externen KI-Dienst
- KI-Richtlinie implementieren mit klaren Regeln für Mitarbeiter
- Transparenz sicherstellen — Betroffene über KI-Verarbeitung informieren
- Mitarbeiter schulen — Datenschutz als fester Bestandteil jeder KI-Schulung
Die Artikel-29-Datenschutzgruppe (jetzt EDPB) hat Leitlinien zur automatisierten Entscheidungsfindung veröffentlicht, die für den KI-Einsatz besonders relevant sind. Kombiniert mit den DSK-Empfehlungen ergibt sich ein praxistauglicher Rahmen.
Testen Sie Ihr Wissen: KI und Datenschutz
KI-Datenschutz ist eine Kompetenzfrage
Regulierung allein schützt keine Daten. Die beste KI-Governance nützt wenig, wenn Mitarbeiter nicht verstehen, warum sie keine Kundendaten in die kostenlose ChatGPT-Version eingeben dürfen. KI-Datenschutz beginnt bei der Kompetenz jedes einzelnen Mitarbeiters — und genau hier setzt Brain an.
Unsere Schulungsmodule vermitteln nicht nur produktive KI-Nutzung, sondern auch Datenschutz, KI-Sicherheit und Compliance — praxisnah, rollenbasiert und konform mit der Schulungspflicht des AI Act.
Ähnliche Artikel
AI Act Artikel 4: Pflichten + Fristen (2026)
Artikel 4 verpflichtet zur KI-Schulung seit August 2025. Pflichten, Bußgelder bis 15 Mio. € und konkrete Schritte für Ihr Unternehmen.
KI-Compliance aufbauen: Leitfaden mit AI Act & DSGVO
Bauen Sie KI-Compliance systematisch auf: AI Act, DSGVO, ISO 42001 und Audit-Prozesse Schritt für Schritt erklärt. Für deutsche Unternehmen.
KI-Ethik: Grundsätze und Leitfaden für Unternehmen
Entwickeln Sie Ihren eigenen KI-Ethik-Leitfaden: Grundsätze, typische Dilemmata und AI-Act-Rechtsrahmen praxisnah erklärt.