Künstliche Intelligenz bietet enorme Chancen für Unternehmen – ihr Einsatz muss jedoch datenschutzkonform erfolgen.
Unser Leitfaden zeigt, wie Sie KI-Anwendungen rechtssicher auswählen, implementieren und nutzen. Praxisnah, verständlich und mit Fokus auf DSGVO-Konformität.
Der Einsatz von Künstlicher Intelligenz (KI) ist für viele Unternehmen längst unverzichtbar. Ob Texterstellung, Automatisierung oder Datenanalyse: KI kann Prozesse beschleunigen und Entscheidungen unterstützen. Doch mit den Chancen gehen auch rechtliche Verpflichtungen einher. Der Einsatz von KI muss datenschutzkonform erfolgen.
Dieser Leitfaden zeigt, wie Sie KI-Anwendungen rechtssicher planen, einführen und nutzen. Von der Auswahl bis zum produktiven Betrieb.
1. Planung und Auswahl von KI-Anwendungen
Einsatzfelder und Zweckbestimmung
Bevor eine KI-Anwendung eingeführt wird, müssen klare Zwecke und Einsatzbereiche definiert werden. Die Zweckbestimmung ist zentral, um zu prüfen, ob die Verarbeitung personenbezogener Daten erforderlich und rechtmäßig ist. Nicht alle Anwendungsfelder sind zulässig: Die europäische KI-Verordnung untersagt etwa Social Scoring oder biometrische Echtzeitüberwachung, außer in eng begrenzten Ausnahmefällen.
Rechtsgrundlage prüfen
Jede Datenverarbeitung mit KI erfordert eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO, z. B. Vertragserfüllung, berechtigtes Interesse oder Einwilligung. Diese Grundlage muss vor Einsatz der Anwendung dokumentiert werden.
Training und Transparenz
Unternehmen müssen prüfen, ob für das Training der KI personenbezogene Daten verwendet wurden und auf welcher Grundlage. Zudem sind sie verpflichtet, Nutzende transparent über eingesetzte KI-Systeme und deren Funktionsweise zu informieren.
Automatisierte Entscheidungen vermeiden
Nach Art. 22 DSGVO dürfen Entscheidungen mit Rechtswirkung grundsätzlich nicht ausschließlich automatisiert erfolgen. KI darf Empfehlungen geben, aber keine endgültigen Entscheidungen treffen. Der menschliche Entscheidungsspielraum muss erhalten bleiben.
Geschlossene Systeme bevorzugen
Datenschutzrechtlich sind geschlossene KI-Systeme, also solche, die nur in einer kontrollierten Umgebung betrieben werden, sicherer als offene Cloud-Lösungen.
Offene Systeme bergen Risiken unbefugter Datenweitergabe oder unerwünschter Nachtrainings.
2. Implementierung im Unternehmen
Verantwortlichkeiten festlegen
Vor dem Einsatz sollten Zuständigkeiten klar geregelt werden:
-
Eigenbetrieb = alleinige Verantwortung
-
Nutzung externer Dienste = Auftragsverarbeitung nach Art. 28 DSGVO (der Anbieter der externen Dienste ist der Auftragsverarbeiter und der Nutzer der KI ist dennoch als Verantwortlicher verantwortlich)
-
Gemeinsame Nutzung = gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Diese Verantwortlichkeiten müssen vertraglich fixiert und regelmäßig überprüft werden.
Interne Regelungen schaffen
Beschäftigte sollten klare Vorgaben erhalten, wann und wie KI-Anwendungen im Arbeitsalltag eingesetzt werden dürfen. Dies verhindert unkontrollierte Nutzung oder Schatten-IT.
Datenschutz-Folgenabschätzung (DSFA)
Bei hohem Risiko für Betroffene, was bei KI häufig der Fall ist, ist eine DSFA nach Art. 35 DSGVO verpflichtend. Achten Sie bei externen Lösungen darauf, dass Anbieter ausreichende Informationen zur Risikobewertung bereitstellen.
Betriebliche Accounts bereitstellen
Für KI-Nutzung sollten ausschließlich betriebliche Accounts und Geräte verwendet werden. Persönliche Logins können Profile erzeugen oder personenbezogene Daten unkontrolliert verknüpfen.
Technisch-organisatorische Maßnahmen (TOMs)
KI-Anwendungen müssen die allgemeinen Sicherheitsanforderungen nach Art. 32 DSGVO erfüllen, insbesondere Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
Die Einstellungen sollten so gewählt sein, dass keine Eingabedaten für Trainingszwecke gespeichert werden.
Mitarbeitende sensibilisieren
Schulungen sind entscheidend, um Risiken zu minimieren. Leitfäden, Workshops und regelmäßige Trainings fördern das Verständnis für Datenschutz und helfen, Fehler im Umgang mit KI zu vermeiden.
3. Nutzung von KI-Systemen im Alltag
Vorsicht bei personenbezogenen Daten
Sowohl Eingaben als auch Ausgaben einer KI können personenbezogene Daten enthalten. Betroffene müssen über die Nutzung ihrer Daten informiert werden, und jede Weitergabe oder Speicherung (jede Verarbeitung) erfordert eine Rechtsgrundlage.
Besondere Kategorien von Daten
Gesundheitsdaten, religiöse Überzeugungen oder politische Ansichten sind besonders sensibel und dürfen gemäß Art. 9 DSGVO nur in Ausnahmefällen verarbeitet werden.
Eine solche Verarbeitung sollte sorgfältig dokumentiert und technisch abgesichert werden.
Richtigkeit und Diskriminierung
Die Ergebnisse einer KI müssen stets überprüft werden, insbesondere, wenn sie Personen betreffen. Falsche oder diskriminierende Ergebnisse können zu unzulässigen Datenverarbeitungen führen und gegen das Allgemeine Gleichbehandlungsgesetz (AGG) verstoßen. Daher: immer prüfen, bevor KI-Ausgaben weiterverarbeitet werden.
4. Laufende Kontrolle und Anpassung
Die datenschutzkonforme Nutzung von KI endet nicht mit der Einführung.
Unternehmen sollten technische Entwicklungen und Rechtsänderungen regelmäßig prüfen. Insbesondere im Hinblick auf die EU-KI-Verordnung und ergänzende nationale Regelungen.
Passen Sie interne Richtlinien und Prozesse fortlaufend an, um auf dem aktuellen Stand zu bleiben.
Fazit
KI ist ein mächtiges Werkzeug, aber nur, wenn sie verantwortungsvoll und datenschutzkonform eingesetzt wird.
Wer klare Zuständigkeiten festlegt, Risiken bewertet, Mitarbeitende schult und Prozesse regelmäßig überprüft, schafft die Basis für Innovation mit Datenschutz.
So wird KI nicht zum Risiko, sondern zum Wettbewerbsvorteil. Wir unterstützen Sie gerne dabei diesen auf- und auszubauen.
Das könnte Sie auch interessieren
Autor: Markus Vatter, Head of Compliance, 20.03.2026
