KI und Datenschutz 2025: Leitfaden für DSGVO-konformen KI-Einsatz | Assecor

Künstliche Intelligenz revolutioniert die Geschäftswelt – von Chatbots im Kundenservice bis hin zu automatisierten Entscheidungsprozessen. Doch mit den enormen Möglichkeiten von KI-Systemen kommen auch erhebliche datenschutzrechtliche Herausforderungen.

Nicht nur in der DACH-Region, wo die DSGVO strenge Maßstäbe setzt, müssen Unternehmen beim KI-Einsatz äußerst vorsichtig vorgehen: Vor allem gilt es, diesen Einsatz datenschutzkonform zu gestalten. Wie das ganzheitlich gelingt und welche strategischen und operativen Schritte Sie dafür einleiten sollten, stellen wir im Folgenden vor.

Was ist datenschutzkonformer KI-Einsatz und warum ist er so wichtig?

Datenschutzkonformer KI-Einsatz bedeutet, dass Unternehmen künstliche Intelligenz nutzen, ohne dabei gegen die Bestimmungen der DSGVO oder anderer Datenschutzgesetze zu verstoßen. Dies umfasst den verantwortungsvollen Umgang mit personenbezogenen Daten in allen Phasen des KI-Lebenszyklus, wie unter anderem das Discussion Paper der Hamburger Datenschutzbehörde betont.

Die Bedeutung wird durch mehrere Faktoren unterstrichen:

• Rechtliche Risiken: Verstöße gegen die DSGVO können Bußgelder von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro zur Folge haben. Die deutschen Datenschutzbehörden haben bereits klargestellt, dass KI-Systeme besonders im Fokus stehen, wie der Artikel der internationalen Kanzlei Hogan Lovells zur KI-Leitlinie hervorhebt. Dabei ist wichtig zu verstehen, dass bereits die Eingabe personenbezogener Daten in ein KI-System eine Datenverarbeitung darstellt, die den DSGVO-Bestimmungen unterliegt.
• Vertrauensverlust: Datenschutzverletzungen können das Vertrauen von Kund:innen nachhaltig beschädigen. Gerade bei KI-Anwendungen, die oft als "Black Box" wahrgenommen werden, ist Transparenz besonders wichtig.
• Technische Komplexität: KI-Systeme verarbeiten oft große Mengen personenbezogener Daten auf komplexe Weise. Moderne generative KI-Modelle können theoretisch Ausschnitte aus ihren Trainingsdaten reproduzieren, was problematisch wäre, wenn darin personenbezogene Daten enthalten sind.
• Internationale Datenübertragungen: Viele KI-Dienste stammen von US- oder chinesischen Anbietern, was zusätzliche rechtliche Herausforderungen mit sich bringt.

Für einen vertiefenden Überblick zu den ethischen Grundlagen und gesellschaftlichen Fragen rund um KI und Datenschutz empfehlen wir unseren Grundlagenbeitrag "KI und Datenschutz im Überblick: Vertrauen, Ethik und gesellschaftliche Verantwortung".

Wie Sie KI datenschutzkonform in Ihrem Unternehmen einsetzen

Schritt 1: Zweck definieren und Datenminimierung umsetzen

Der erste und wichtigste Schritt ist eine klare Zweckdefinition. Beginnen Sie jedes KI-Projekt mit der Frage: "Welches konkrete Problem soll die KI lösen und geht das auch mit weniger Daten?"

Das Prinzip der Datenminimierung besagt, dass Sie nur die Daten verwenden dürfen, die für Ihren Zweck wirklich notwendig sind. In der Praxis bedeutet dies, dass Sie kritisch hinterfragen sollten, welche Daten wirklich erforderlich sind.

Praktische Umsetzung:‍

• Dokumentieren Sie schriftlich, wofür die KI eingesetzt werden soll, um Ihrer Rechenschaftspflicht nachzukommen.
• Erstellen Sie eine Übersicht der benötigten Datenarten und prüfen Sie jede einzelne auf ihre Notwendigkeit.
• Arbeiten Sie wo möglich mit synthetischen oder anonymisierten Daten.
• Vermeiden Sie die Sammlung "auf Vorrat".

Praxisbeispiel: Ein Kundensupport-Chatbot kann oft auf allgemeine FAQs antworten, ohne dass Sie komplette Kundendatensätze verwenden müssen. Statt alle verfügbaren Kundendaten zu nutzen, reichen möglicherweise bereits die Produktkategorie und der Anfragetyp aus.

Schritt 2: Rechtsgrundlage prüfen und dokumentieren

Jede Verarbeitung personenbezogener Daten durch KI benötigt eine gültige Rechtsgrundlage nach der DSGVO, wie in Artikel 6 der Datenschutzgrundverordnung nachzulesen ist. Diese Entscheidung sollten Sie sorgfältig prüfen und dokumentieren.

Die Wahl der richtigen Rechtsgrundlage hat weitreichende Konsequenzen für die Betroffenenrechte und die erforderlichen Schutzmaßnahmen.

Mögliche Rechtsgrundlagen:

• Vertragserfüllung: Wenn die KI zur Erfüllung eines Vertrags mit der Kundin oder dem Kunden erforderlich ist
• Berechtigtes Interesse: Wenn Sie ein legitimes Geschäftsinteresse haben, das die Interessen der betroffenen Person nicht überwiegt
• Einwilligung: Bei sensiblen Anwendungen oder wenn andere Rechtsgrundlagen nicht greifen

Wichtig: Dokumentieren Sie Ihre Rechtsgrundlage schriftlich und führen Sie bei "berechtigtem Interesse" eine detaillierte Interessenabwägung durch.

Schritt 3: Datenschutz-Folgenabschätzung (DPIA) durchführen

Bei KI-Systemen, die voraussichtlich ein hohes Risiko für die Rechte der Betroffenen mit sich bringen, ist laut DSGVO eine Datenschutz-Folgenabschätzung verpflichtend. Die deutschen Aufsichtsbehörden gehen davon aus, dass bei KI-Anwendungen häufig eine DPIA erforderlich ist.

Eine DPIA hilft Ihnen dabei, Risiken frühzeitig zu erkennen und angemessene Schutzmaßnahmen zu entwickeln.

DPIA ist erforderlich bei:

• Umfangreicher Profilbildung oder Scoring von Personen
• Automatisierten Entscheidungen mit rechtlichen Folgen
• Verarbeitung sensibler Daten
• Neuartigen Technologien

Systematisches Vorgehen:

1. Beschreibung der Verarbeitung: Dokumentieren Sie detailliert, wie die KI funktioniert.
2. Bewertung von Notwendigkeit und Verhältnismäßigkeit: Prüfen Sie, ob der KI-Einsatz erforderlich ist.
3. Risikoidentifikation: Analysieren Sie mögliche Risiken wie Diskriminierung oder Datenverlust.
4. Schutzmaßnahmen definieren: Entwickeln Sie konkrete Maßnahmen zur Risikominimierung.
5. Konsultation der Aufsichtsbehörde: Bei verbleibendem hohem Risiko erforderlich.

Praxisbeispiel: Ein Handelsunternehmen wollte KI nutzen, um Bewerber:innen automatisiert zu bewerten. Da es sich hierbei um Profiling mit potenziell erheblichen Auswirkungen auf die Betroffenen handelt, war eine Datenschutz-Folgenabschätzung (DPIA) zwingend erforderlich. Dabei stellte sich heraus, dass sensible Daten wie Herkunft oder Alter ausgeschlossen werden mussten, um Diskriminierung zu vermeiden. Erst nach diesen Anpassungen konnte das Projekt datenschutzkonform starten.

Schritt 4: Technische und organisatorische Maßnahmen implementieren

Das Konzept "Privacy by Design und Privacy by Default" bedeutet, dass Datenschutz bereits bei der Entwicklung und Konfiguration von KI-Systemen mitgedacht werden muss.

Technische Maßnahmen:

• Privacy-by-Default-Einstellungen aktivieren: Deaktivieren Sie die Nutzung von Eingabedaten für Trainingszwecke.
• Zugriffsbeschränkungen implementieren: Nur autorisierte Personen erhalten Zugang.
• Verschlüsselung nutzen: Alle Datenübertragungen sollten verschlüsselt erfolgen.
• Aufbewahrungsfristen minimieren: Speichern Sie Daten nur so lange wie nötig entsprechend dem Grundsatz der Speicherbegrenzung.

Organisatorische Maßnahmen:

• Interne KI-Richtlinien erstellen: Klare Regeln für die KI-Nutzung
• Mitarbeiterschulungen durchführen: Regelmäßige Schulungen zum datenschutzgerechten Umgang
• Monitoring-Prozesse etablieren: Überwachung der KI-Ausgaben auf Plausibilität

Schritt 5: Verträge mit KI-Anbietern sorgfältig gestalten

Die vertragliche Gestaltung mit KI-Dienstleistern ist ein kritischer Erfolgsfaktor. Wenn ein externer KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, handelt es sich um eine Auftragsverarbeitung, die einen speziellen Vertrag erfordert.

Wichtige Vertragsklauseln:

• DSGVO-Standardvertragsklauseln: Für internationale Datenübertragungen zwingend erforderlich
• Klare Regelung des Verarbeitungsorts: Idealerweise innerhalb der EU
• Ausschluss der Eigennutzung: Keine Verwendung Ihrer Daten für Training
• Transparenz bei Unterauftragsverarbeitern: Alle Unterauftragnehmer müssen benannt werden
• Regelungen zur Datenlöschung: Klare Fristen und Verfahren

Besondere Vorsicht bei US-Anbietern: Nutzen Sie bevorzugt Anbieter, die dem EU-US Data Privacy Framework beigetreten sind, und stellen Sie sicher, dass Daten in der EU verarbeitet werden können.

Schritt 6: Transparenz und Betroffenenrechte sicherstellen

Transparenz ist ein Grundpfeiler der DSGVO und bei KI-Systemen besonders herausfordernd. Betroffene haben das Recht zu wissen, dass und wie ihre Daten von KI-Systemen verarbeitet werden.

Informationspflichten erfüllen:

• Datenschutzerklärung anpassen: Spezifische Hinweise zur KI-Nutzung in verständlicher Sprache
• Direktkennzeichnung implementieren: Hinweise wie "Dieser Chatbot wird von KI betrieben"
• Automatisierte Entscheidungen transparent machen: Erklärung der zugrundeliegenden Logik

Betroffenenrechte ermöglichen:

• Auskunftsrecht umsetzen: Dokumentation aller Eingaben
• Berichtigung und Löschung ermöglichen: Zumindest für Eingabe- und Ausgabedaten
• Menschliche Überprüfung sicherstellen: Bei automatisierten Entscheidungen erforderlich

Schritt 7: Kontinuierliche Überwachung und Compliance

KI-Systeme erfordern kontinuierliche Überwachung und Anpassung, um dauerhaft datenschutzkonform zu bleiben.

Monitoring-Prozesse:

• Qualitätskontrolle der KI-Ausgaben: Regelmäßige Stichprobenkontrollen
• Compliance-Monitoring: Überprüfung der Einhaltung aller Anforderungen
• Incident Response: Verfahren für den Umgang mit Datenschutzverletzungen

Rechtliche Entwicklungen beobachten:

• AI Act: Die Verordnung „Artificial Intelligence Act“ der EU-Kommission wird zusätzliche Anforderungen bringen
• Aufsichtsbehörden: Regelmäßige neue Leitlinien und Orientierungshilfen
• Best Practices: Austausch mit anderen Unternehmen

Dokumentation:

• Verzeichnis von Verarbeitungstätigkeiten: Systematische Dokumentation aller KI-Anwendungen
• Entscheidungsdokumentation: Schriftliche Begründung wichtiger Entscheidungen
• Schulungsnachweis: Dokumentation aller Schulungsmaßnahmen

Besondere Herausforderungen bei internationalen Anbietern: Die Nutzung internationaler KI-Dienste bringt zusätzliche datenschutzrechtliche Komplexität mit sich.

Datenschutz bei US-Anbietern: Chancen und Risiken abwägen

Die meisten führenden KI-Dienste stammen von US-Unternehmen. Nach dem Wegfall des Privacy Shield ist die Rechtslage komplex geworden, auch wenn seit Juli 2023 das online verfügbare EU-US Data Privacy Framework (DPF) wieder mehr Rechtssicherheit bietet.

Achten Sie darauf, dass der Anbieter dem Framework beigetreten ist und zusätzliche Schutzmaßnahmen implementiert hat. Microsoft bietet beispielsweise die Möglichkeit, Daten ausschließlich in EU-Rechenzentren zu verarbeiten. Auch Google Cloud kann entsprechend konfiguriert werden.

Besonders wichtig ist die vertragliche Zusicherung, dass Ihre Eingabedaten nicht für das Training der KI-Modelle verwendet werden.

Chinesische KI-Tools: Lehren aus DeepSeek

KI-Dienste aus China sind aus datenschutzrechtlicher Sicht besonders problematisch. Ein aktuelles Beispiel ist die Sperrung des chinesischen KI-Chatbots DeepSeek durch die italienische Datenschutzbehörde im Jahr 2025, wie auf der offiziellen Seite der Behörde nachzulesen ist.

Die Behörde bemängelte mehrere Verstöße: personenbezogene Daten wurden auf Servern in China gespeichert, es fehlte ein EU-Vertreter, und die Datenschutzhinweise waren nur auf Englisch verfügbar.

Für Unternehmen bedeutet dies: Verzichten Sie entweder ganz auf chinesische KI-Dienste oder stellen Sie sicher, dass keine personenbezogenen Daten dorthin übertragen werden.

Fazit: Datenschutz als Vorteil

KI bietet enormes Potenzial für Unternehmen, aber nur wenn sie datenschutzkonform eingesetzt wird. Die Herausforderungen sind real, aber mit der richtigen Vorbereitung und systematischen Umsetzung der beschriebenen Schritte können Sie die Vorteile von KI nutzen, ohne rechtliche Risiken einzugehen. Zudem können Unternehmen, die Datenschutz als strategisches Compliance-Thema begreifen, KI nicht nur rechtssicher, sondern auch vertrauensbildend einsetzen.

Der Schlüssel liegt darin, Datenschutz nicht als Hindernis, sondern als Qualitätsmerkmal zu betrachten. Unternehmen, die von Anfang an auf datenschutzkonformen KI-Einsatz setzen, schaffen Vertrauen bei Kund:innen und verschaffen sich einen nachhaltigen Wettbewerbsvorteil.

Beginnen Sie mit einer klaren Zweckdefinition, implementieren Sie angemessene Schutzmaßnahmen und bleiben Sie über rechtliche Entwicklungen informiert. Mit diesem systematischen Ansatz können Sie KI erfolgreich und rechtskonform in Ihrem Unternehmen einsetzen.

FAQ: KI und Datenschutz

Was müssen Unternehmen bei KI und Datenschutz unbedingt beachten?

Unternehmen sollten vor allem fünf Punkte erfüllen: (1) klare Zweck- und Datenminimierung definieren, (2) passende Rechtsgrundlage nach Art. 6 DSGVO festlegen, (3) bei hohem Risiko eine DPIA durchführen, (4) „Privacy by Design/Default“ technisch umsetzen und (5) Verträge + Datentransfers nach AI Act & EU-US DPF dokumentieren.

Brauche ich für jedes KI-Projekt eine Datenschutz-Folgenabschätzung (DPIA)?

Laut Art. 35 DSGVO ist eine DPIA Pflicht, wenn eine KI voraussichtlich „hohe Risiken“ für Betroffene schafft, z. B. Profiling, automatisierte Entscheidungen oder Verarbeitung sensibler Daten. Prüfen Sie das Risiko früh und dokumentieren Sie das Ergebnis; so vermeiden Sie Bußgelder und Beschränkungen durch Aufsichtsbehörden.

Was regelt Art. 6 DSGVO im Kontext von KI-Systemen?

Art. 6 nennt die sechs Rechtsgrundlagen, auf die sich jede Verarbeitung personenbezogener Daten stützen muss. Für KI-Anwendungen bedeutet das: Klären Sie, ob Vertrag, Einwilligung oder berechtigtes Interesse greift und dokumentieren Sie die Entscheidung – sonst fehlt die Legitimation für Training, Inferenz oder Monitoring.

Darf ich US-basierte KI-Dienste einfach nutzen?

Ja – sofern der Anbieter am EU-US DPF teilnimmt oder Sie Standardvertragsklauseln + ergänzende Schutzmaßnahmen einsetzen. Zusätzlich sollten Sie prüfen, ob der Anbieter Ihre Nutzungsdaten für Modelltraining verwendet und ob ein EU-Rechenzentrums-Modus (z. B. Microsoft EU Data Boundary) verfügbar ist.

Warum gelten chinesische KI-Modelle als besonders kritisch?

Chinesische Anbieter unterliegen nicht nur der DSGVO, sondern auch chinesischem Sicherheitsrecht, das Behörden weitreichende Zugriffsrechte einräumt. Fehlende EU-Vertreter, unklare Datentransfers und Sprachbarrieren bei Datenschutzhinweisen erhöhen das Risiko – wie das DeepSeek-Verbot zeigt.