KI und Datenschutz Leitfaden 2025 Beitragsbild

KI und Datenschutz 2025: Leitfaden für DSGVO-konformen KI-Einsatz

KI verleiht Unternehmen enorme Innovationskraft – solange der Datenschutz stimmt. Unser Leitfaden zeigt Ihnen, warum Datenschutz bei KI so kritisch ist und wie Sie KI-Projekte von der Zweckdefinition bis zum laufenden Monitoring DSGVO-konform planen und umsetzen.
Richard Kluth
/
20.8.2025
No items found.
Inhaltsverzeichnis

Künstliche Intelligenz revolutioniert die Geschäftswelt – von Chatbots im Kundenservice bis hin zu automatisierten Entscheidungsprozessen. Doch mit den enormen Möglichkeiten von KI-Systemen kommen auch erhebliche datenschutzrechtliche Herausforderungen.

Nicht nur in der DACH-Region, wo die DSGVO strenge Maßstäbe setzt, müssen Unternehmen beim KI-Einsatz äußerst vorsichtig vorgehen: Vor allem gilt es, diesen Einsatz datenschutzkonform zu gestalten. Wie das ganzheitlich gelingt und welche strategischen und operativen Schritte Sie dafür einleiten sollten, stellen wir im Folgenden vor.

Was ist datenschutzkonformer KI-Einsatz und warum ist er so wichtig?

Datenschutzkonformer KI-Einsatz bedeutet, dass Unternehmen künstliche Intelligenz nutzen, ohne dabei gegen die Bestimmungen der DSGVO oder anderer Datenschutzgesetze zu verstoßen. Dies umfasst den verantwortungsvollen Umgang mit personenbezogenen Daten in allen Phasen des KI-Lebenszyklus, wie unter anderem das Discussion Paper der Hamburger Datenschutzbehörde betont.

Die Bedeutung wird durch mehrere Faktoren unterstrichen:

  • Rechtliche Risiken: Verstöße gegen die DSGVO können Bußgelder von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro zur Folge haben. Die deutschen Datenschutzbehörden haben bereits klargestellt, dass KI-Systeme besonders im Fokus stehen, wie der Artikel der internationalen Kanzlei Hogan Lovells zur KI-Leitlinie hervorhebt. Dabei ist wichtig zu verstehen, dass bereits die Eingabe personenbezogener Daten in ein KI-System eine Datenverarbeitung darstellt, die den DSGVO-Bestimmungen unterliegt.
  • Vertrauensverlust: Datenschutzverletzungen können das Vertrauen von Kund:innen nachhaltig beschädigen. Gerade bei KI-Anwendungen, die oft als "Black Box" wahrgenommen werden, ist Transparenz besonders wichtig.
  • Technische Komplexität: KI-Systeme verarbeiten oft große Mengen personenbezogener Daten auf komplexe Weise. Moderne generative KI-Modelle können theoretisch Ausschnitte aus ihren Trainingsdaten reproduzieren, was problematisch wäre, wenn darin personenbezogene Daten enthalten sind.
  • Internationale Datenübertragungen: Viele KI-Dienste stammen von US- oder chinesischen Anbietern, was zusätzliche rechtliche Herausforderungen mit sich bringt.

Für einen vertiefenden Überblick zu den ethischen Grundlagen und gesellschaftlichen Fragen rund um KI und Datenschutz empfehlen wir unseren Grundlagenbeitrag "KI und Datenschutz im Überblick: Vertrauen, Ethik und gesellschaftliche Verantwortung".

Wie Sie KI datenschutzkonform in Ihrem Unternehmen einsetzen

Schritt 1: Zweck definieren und Datenminimierung umsetzen

Der erste und wichtigste Schritt ist eine klare Zweckdefinition. Beginnen Sie jedes KI-Projekt mit der Frage: "Welches konkrete Problem soll die KI lösen und geht das auch mit weniger Daten?"

Das Prinzip der Datenminimierung besagt, dass Sie nur die Daten verwenden dürfen, die für Ihren Zweck wirklich notwendig sind. In der Praxis bedeutet dies, dass Sie kritisch hinterfragen sollten, welche Daten wirklich erforderlich sind.

Praktische Umsetzung:

  • Dokumentieren Sie schriftlich, wofür die KI eingesetzt werden soll, um Ihrer Rechenschaftspflicht nachzukommen.
  • Erstellen Sie eine Übersicht der benötigten Datenarten und prüfen Sie jede einzelne auf ihre Notwendigkeit.
  • Arbeiten Sie wo möglich mit synthetischen oder anonymisierten Daten.
  • Vermeiden Sie die Sammlung "auf Vorrat".

Praxisbeispiel: Ein Kundensupport-Chatbot kann oft auf allgemeine FAQs antworten, ohne dass Sie komplette Kundendatensätze verwenden müssen. Statt alle verfügbaren Kundendaten zu nutzen, reichen möglicherweise bereits die Produktkategorie und der Anfragetyp aus.

Schritt 2: Rechtsgrundlage prüfen und dokumentieren

Jede Verarbeitung personenbezogener Daten durch KI benötigt eine gültige Rechtsgrundlage nach der DSGVO, wie in Artikel 6 der Datenschutzgrundverordnung nachzulesen ist. Diese Entscheidung sollten Sie sorgfältig prüfen und dokumentieren.

Die Wahl der richtigen Rechtsgrundlage hat weitreichende Konsequenzen für die Betroffenenrechte und die erforderlichen Schutzmaßnahmen.

Mögliche Rechtsgrundlagen:

  • Vertragserfüllung: Wenn die KI zur Erfüllung eines Vertrags mit der Kundin oder dem Kunden erforderlich ist
  • Berechtigtes Interesse: Wenn Sie ein legitimes Geschäftsinteresse haben, das die Interessen der betroffenen Person nicht überwiegt
  • Einwilligung: Bei sensiblen Anwendungen oder wenn andere Rechtsgrundlagen nicht greifen

Wichtig: Dokumentieren Sie Ihre Rechtsgrundlage schriftlich und führen Sie bei "berechtigtem Interesse" eine detaillierte Interessenabwägung durch.

Schritt 3: Datenschutz-Folgenabschätzung (DPIA) durchführen

Bei KI-Systemen, die voraussichtlich ein hohes Risiko für die Rechte der Betroffenen mit sich bringen, ist laut DSGVO eine Datenschutz-Folgenabschätzung verpflichtend. Die deutschen Aufsichtsbehörden gehen davon aus, dass bei KI-Anwendungen häufig eine DPIA erforderlich ist.

Eine DPIA hilft Ihnen dabei, Risiken frühzeitig zu erkennen und angemessene Schutzmaßnahmen zu entwickeln.

DPIA ist erforderlich bei:

  • Umfangreicher Profilbildung oder Scoring von Personen
  • Automatisierten Entscheidungen mit rechtlichen Folgen
  • Verarbeitung sensibler Daten
  • Neuartigen Technologien

Systematisches Vorgehen:

  1. Beschreibung der Verarbeitung: Dokumentieren Sie detailliert, wie die KI funktioniert.
  2. Bewertung von Notwendigkeit und Verhältnismäßigkeit: Prüfen Sie, ob der KI-Einsatz erforderlich ist.
  3. Risikoidentifikation: Analysieren Sie mögliche Risiken wie Diskriminierung oder Datenverlust.
  4. Schutzmaßnahmen definieren: Entwickeln Sie konkrete Maßnahmen zur Risikominimierung.
  5. Konsultation der Aufsichtsbehörde: Bei verbleibendem hohem Risiko erforderlich.

Praxisbeispiel: Ein Handelsunternehmen wollte KI nutzen, um Bewerber:innen automatisiert zu bewerten. Da es sich hierbei um Profiling mit potenziell erheblichen Auswirkungen auf die Betroffenen handelt, war eine Datenschutz-Folgenabschätzung (DPIA) zwingend erforderlich. Dabei stellte sich heraus, dass sensible Daten wie Herkunft oder Alter ausgeschlossen werden mussten, um Diskriminierung zu vermeiden. Erst nach diesen Anpassungen konnte das Projekt datenschutzkonform starten.

Schritt 4: Technische und organisatorische Maßnahmen implementieren

Das Konzept "Privacy by Design und Privacy by Default" bedeutet, dass Datenschutz bereits bei der Entwicklung und Konfiguration von KI-Systemen mitgedacht werden muss.

Technische Maßnahmen:

  • Privacy-by-Default-Einstellungen aktivieren: Deaktivieren Sie die Nutzung von Eingabedaten für Trainingszwecke.
  • Zugriffsbeschränkungen implementieren: Nur autorisierte Personen erhalten Zugang.
  • Verschlüsselung nutzen: Alle Datenübertragungen sollten verschlüsselt erfolgen.
  • Aufbewahrungsfristen minimieren: Speichern Sie Daten nur so lange wie nötig entsprechend dem Grundsatz der Speicherbegrenzung.

Organisatorische Maßnahmen:

Maßgeschneiderte KI-Beratung:
Datenschutzkonform durchstarten
Jetzt Termin sichern

Schritt 5: Verträge mit KI-Anbietern sorgfältig gestalten

Die vertragliche Gestaltung mit KI-Dienstleistern ist ein kritischer Erfolgsfaktor. Wenn ein externer KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, handelt es sich um eine Auftragsverarbeitung, die einen speziellen Vertrag erfordert.

Wichtige Vertragsklauseln:

  • DSGVO-Standardvertragsklauseln: Für internationale Datenübertragungen zwingend erforderlich
  • Klare Regelung des Verarbeitungsorts: Idealerweise innerhalb der EU
  • Ausschluss der Eigennutzung: Keine Verwendung Ihrer Daten für Training
  • Transparenz bei Unterauftragsverarbeitern: Alle Unterauftragnehmer müssen benannt werden
  • Regelungen zur Datenlöschung: Klare Fristen und Verfahren

Besondere Vorsicht bei US-Anbietern: Nutzen Sie bevorzugt Anbieter, die dem EU-US Data Privacy Framework beigetreten sind, und stellen Sie sicher, dass Daten in der EU verarbeitet werden können.

Schritt 6: Transparenz und Betroffenenrechte sicherstellen

Transparenz ist ein Grundpfeiler der DSGVO und bei KI-Systemen besonders herausfordernd. Betroffene haben das Recht zu wissen, dass und wie ihre Daten von KI-Systemen verarbeitet werden.

Informationspflichten erfüllen:

  • Datenschutzerklärung anpassen: Spezifische Hinweise zur KI-Nutzung in verständlicher Sprache
  • Direktkennzeichnung implementieren: Hinweise wie "Dieser Chatbot wird von KI betrieben"
  • Automatisierte Entscheidungen transparent machen: Erklärung der zugrundeliegenden Logik

Betroffenenrechte ermöglichen:

  • Auskunftsrecht umsetzen: Dokumentation aller Eingaben
  • Berichtigung und Löschung ermöglichen: Zumindest für Eingabe- und Ausgabedaten
  • Menschliche Überprüfung sicherstellen: Bei automatisierten Entscheidungen erforderlich

Schritt 7: Kontinuierliche Überwachung und Compliance

KI-Systeme erfordern kontinuierliche Überwachung und Anpassung, um dauerhaft datenschutzkonform zu bleiben.

Monitoring-Prozesse:

  • Qualitätskontrolle der KI-Ausgaben: Regelmäßige Stichprobenkontrollen
  • Compliance-Monitoring: Überprüfung der Einhaltung aller Anforderungen
  • Incident Response: Verfahren für den Umgang mit Datenschutzverletzungen

Rechtliche Entwicklungen beobachten:

Dokumentation:

  • Verzeichnis von Verarbeitungstätigkeiten: Systematische Dokumentation aller KI-Anwendungen
  • Entscheidungsdokumentation: Schriftliche Begründung wichtiger Entscheidungen
  • Schulungsnachweis: Dokumentation aller Schulungsmaßnahmen

Besondere Herausforderungen bei internationalen Anbietern: Die Nutzung internationaler KI-Dienste bringt zusätzliche datenschutzrechtliche Komplexität mit sich.

Datenschutz bei US-Anbietern: Chancen und Risiken abwägen

Die meisten führenden KI-Dienste stammen von US-Unternehmen. Nach dem Wegfall des Privacy Shield ist die Rechtslage komplex geworden, auch wenn seit Juli 2023 das online verfügbare EU-US Data Privacy Framework (DPF) wieder mehr Rechtssicherheit bietet.

Achten Sie darauf, dass der Anbieter dem Framework beigetreten ist und zusätzliche Schutzmaßnahmen implementiert hat. Microsoft bietet beispielsweise die Möglichkeit, Daten ausschließlich in EU-Rechenzentren zu verarbeiten. Auch Google Cloud kann entsprechend konfiguriert werden.

Besonders wichtig ist die vertragliche Zusicherung, dass Ihre Eingabedaten nicht für das Training der KI-Modelle verwendet werden.

Chinesische KI-Tools: Lehren aus DeepSeek

KI-Dienste aus China sind aus datenschutzrechtlicher Sicht besonders problematisch. Ein aktuelles Beispiel ist die Sperrung des chinesischen KI-Chatbots DeepSeek durch die italienische Datenschutzbehörde im Jahr 2025, wie auf der offiziellen Seite der Behörde nachzulesen ist.

Die Behörde bemängelte mehrere Verstöße: personenbezogene Daten wurden auf Servern in China gespeichert, es fehlte ein EU-Vertreter, und die Datenschutzhinweise waren nur auf Englisch verfügbar.

Für Unternehmen bedeutet dies: Verzichten Sie entweder ganz auf chinesische KI-Dienste oder stellen Sie sicher, dass keine personenbezogenen Daten dorthin übertragen werden.

Fazit: Datenschutz als Vorteil

KI bietet enormes Potenzial für Unternehmen, aber nur wenn sie datenschutzkonform eingesetzt wird. Die Herausforderungen sind real, aber mit der richtigen Vorbereitung und systematischen Umsetzung der beschriebenen Schritte können Sie die Vorteile von KI nutzen, ohne rechtliche Risiken einzugehen. Zudem können Unternehmen, die Datenschutz als strategisches Compliance-Thema begreifen, KI nicht nur rechtssicher, sondern auch vertrauensbildend einsetzen.

Der Schlüssel liegt darin, Datenschutz nicht als Hindernis, sondern als Qualitätsmerkmal zu betrachten. Unternehmen, die von Anfang an auf datenschutzkonformen KI-Einsatz setzen, schaffen Vertrauen bei Kund:innen und verschaffen sich einen nachhaltigen Wettbewerbsvorteil.

Beginnen Sie mit einer klaren Zweckdefinition, implementieren Sie angemessene Schutzmaßnahmen und bleiben Sie über rechtliche Entwicklungen informiert. Mit diesem systematischen Ansatz können Sie KI erfolgreich und rechtskonform in Ihrem Unternehmen einsetzen.

KI-Workshop Illustration
Termin buchen
Kostenloser KI-Workshop
Entwickeln Sie praxisnahe KI-Lösungen – inklusive DSGVO-Check und AI-Act-Tipps – in unserem kostenlosen Impuls-Workshop, individuell auf Ihr Unternehmen zugeschnitten.
Kostenlos anfragen

FAQ: KI und Datenschutz

Was müssen Unternehmen bei KI und Datenschutz unbedingt beachten?

Unternehmen sollten vor allem fünf Punkte erfüllen: (1) klare Zweck- und Datenminimierung definieren, (2) passende Rechtsgrundlage nach Art. 6 DSGVO festlegen, (3) bei hohem Risiko eine DPIA durchführen, (4) „Privacy by Design/Default“ technisch umsetzen und (5) Verträge + Datentransfers nach AI Act & EU-US DPF dokumentieren.

Brauche ich für jedes KI-Projekt eine Datenschutz-Folgenabschätzung (DPIA)?

Laut Art. 35 DSGVO ist eine DPIA Pflicht, wenn eine KI voraussichtlich „hohe Risiken“ für Betroffene schafft, z. B. Profiling, automatisierte Entscheidungen oder Verarbeitung sensibler Daten. Prüfen Sie das Risiko früh und dokumentieren Sie das Ergebnis; so vermeiden Sie Bußgelder und Beschränkungen durch Aufsichtsbehörden.

Was regelt Art. 6 DSGVO im Kontext von KI-Systemen?

Art. 6 nennt die sechs Rechtsgrundlagen, auf die sich jede Verarbeitung personenbezogener Daten stützen muss. Für KI-Anwendungen bedeutet das: Klären Sie, ob Vertrag, Einwilligung oder berechtigtes Interesse greift und dokumentieren Sie die Entscheidung – sonst fehlt die Legitimation für Training, Inferenz oder Monitoring.

Darf ich US-basierte KI-Dienste einfach nutzen?

Ja – sofern der Anbieter am EU-US DPF teilnimmt oder Sie Standardvertrags­klauseln + ergänzende Schutzmaßnahmen einsetzen. Zusätzlich sollten Sie prüfen, ob der Anbieter Ihre Nutzungsdaten für Modelltraining verwendet und ob ein EU-Rechenzentrums-Modus (z. B. Microsoft EU Data Boundary) verfügbar ist.

Warum gelten chinesische KI-Modelle als besonders kritisch?

Chinesische Anbieter unterliegen nicht nur der DSGVO, sondern auch chinesischem Sicherheitsrecht, das Behörden weitreichende Zugriffsrechte einräumt. Fehlende EU-Vertreter, unklare Datentransfers und Sprachbarrieren bei Datenschutzhinweisen erhöhen das Risiko – wie das DeepSeek-Verbot zeigt.

Teilen
LinkedIn Logo
LinkedIn Logo
LinkedIn Logo
Richard Kluth
Richard ist AI Operations Lead bei Assecor und sorgt für den reibungslosen Betrieb und die Skalierung von KI-Systemen. Mit seinem technischen Know-how stellt er sicher, dass Unternehmen die Potenziale von KI optimal ausschöpfen und effizient in bestehende Prozesse integrieren.
Mehr von unseren aktuellen Artikeln
Data & AI
KI und Datenschutz im Überblick: Vertrauen, Ethik und gesellschaftliche Verantwortung
Künstliche Intelligenz verändert nicht nur Unternehmen, sondern auch unser Verständnis von Verantwortung und Datenschutz. In diesem Beitrag werfen wir einen Blick auf die grundlegenden Fragen rund um KI und Datenschutz – abseits der konkreten Praxisvorgaben widmen wir uns den Prinzipien von Vertrauen, Verantwortungsbewusstsein und gesellschaftlichen Implikationen.
Robert Tech
/
3.8.2025
Data & AI
KI für KMUs: Schritt-für-Schritt zur erfolgreichen Einführung
Künstliche Intelligenz ist schon länger kein Thema mehr, das nur Großkonzerne betrifft. Auch kleine und mittlere Unternehmen können mit KI Prozesse automatisieren, schneller entscheiden und wettbewerbsfähig bleiben. Der Schlüssel liegt in einer strukturierten, pragmatischen Einführung, wie dieser Beitrag zeigt.
Julia Führer
/
16.7.2025
Data & AI
Diese Vorteile (und Nachteile) von KI sollten Sie kennen
KI ist nicht nur das Thema der Stunde, sondern auch ein großes Zukunftsversprechen. Unternehmen erhoffen sich Produktivitätssteigerungen, Kosteneinsparungen und bessere Entscheidungsfindungen. Andererseits birgt KI Risiken in puncto Sicherheit, Datenschutz oder Zuverlässigkeit. Die wichtigsten Vorteile (und Nachteile) stellen wir Ihnen daher in diesem Beitrag vor.
Richard Kluth
/
24.6.2025
Kennen Sie eigentlich die Assecor-Gruppe?
CybayAssecor VentureGrowifySplonePower BI
Erfahren Sie mehr auf Social Media
©Assecor 2024ImpressumKontaktDatenschutz
Assecor Kontakt - IT Dienstleister aus Berlin
Assecor Kontakt - IT Dienstleister aus Berlin
Assecor Linkedin - IT Unternehmen aus Berlin