Immer mehr Unternehmen nutzen künstliche Intelligenz zur Unterstützung verschiedener Geschäftsprozesse – sei es in Form von Assistenten wie ChatGPT oder als Teil spezifischer Fachbereichssoftware. Laut Zahlen des Statistischen Bundesamts waren entsprechende Technologien 2024 in jedem fünften deutschen Betrieb im Einsatz (20 Prozent), mit einem Jahreszuwachs um satte 8 Prozentpunkte.
Dabei bleibt KI und Datenschutz jedoch häufig ein großes Fragezeichen. Gerade weil viele der Tools aus den USA stammen, wo andere Maßstäbe beim Umgang mit Daten gelten als in der EU. Hinzu kommen Bedenken im Zusammenhang mit der EU-KI-Verordnung. Vielleicht bist auch du dir unsicher, worauf du achten musst, wenn du derartige Anwendungen rechtkonform in deine Workflows integrieren möchtest. Mit diesem Beitrag bringen wir etwas Licht ins Dunkel.
Disclaimer: Bevor wir tiefer einsteigen, bleibt noch zu erwähnen, dass die hier bereitgestellten Informationen keine individuelle juristische Beratung ersetzen können, sondern ausschließlich als erste Orientierungshilfe zu verstehen sind. Wenn du KI in einem datenschutzsensiblen Bereich verwendest, solltest du einen ausgewiesenen Rechtsexperten hinzuziehen. Eine KI-Beratung durch eine KI-Agentur ist außerdem sinnvoll.
Warum ist der Datenschutz bei KI ein so wichtiges Thema?
Auf den ersten Blick kann künstliche Intelligenz schnell wie ein reines Effizienzwerkzeug wirken. Sie übernimmt Routinen, beschleunigt Abläufe und hilft bei kreativen Engpässen. Sehr häufig kommt sie jedoch bei der Analyse großer Datenmengen zum Einsatz – und genau an diesem Punkt wird KI und Datenschutz besonders relevant. Vorsicht ist vor allem bei der bewussten Verarbeitung personenbezogener Informationen geboten. Allerdings solltest du bedenken, dass Daten auch abseits dieses konkreten Anwendungsbereichs zum Einsatz kommen, da sie die Grundlage jeder KI-Anwendung bilden.
Grundsätzlich gilt: KI funktioniert nicht ohne Informationen. Systeme, die auf maschinellem Lernen basieren, verbessern ihre Ergebnisse durch kontinuierliche Auswertung großer Datenbestände. Je umfangreicher und genauer diese Daten sind, desto leistungsfähiger ist das System. In der Praxis enthalten diese Sätze jedoch häufig personenbezogene Informationen, also Angaben, die sich einer identifizierbaren Person zuordnen lassen, ohne dass dies klar gekennzeichnet wird.
Diese fehlende Transparenz vieler KI-Systeme erstreckt sich zudem auf andere Bereiche. So sind die internen Entscheidungswege moderner Algorithmen oft kaum nachvollziehbar. Unternehmen können dadurch nur schwer beurteilen, wie Daten verarbeitet oder weiterverwendet werden. Kommen unausgewogene oder fehlerhafte Trainingsinformationen hinzu, steigt das Risiko für verzerrte oder diskriminierende Ergebnisse. Insbesondere dann, wenn du Texte mit künstlicher Intelligenz schreiben lässt, kann es darüber hinaus zu urheberrechtlich problematischen Inhalten oder unbeabsichtigten Ähnlichkeiten kommen.
In Verbindung mit der Tatsache, dass internationale KI-Tools häufig nach rechtlichen Vorgaben entwickelt werden, die nicht vollständig mit europäischen Datenschutzstandards übereinstimmen, entsteht eine hohe Sensibilität. Diese Verkettung macht KI und Datenschutz zu einem besonders wichtigen Thema für Unternehmen.
Die DSGVO als Hauptorientierungspunkt für korrekten Datenschutz und KI im Unternehmen
Wenn du KI-Software von Anbietern außerhalb der EU nutzt, gilt rechtlich zunächst das Gleiche wie bei anderer internationaler Unternehmenssoftware: Maßgeblich ist die Datenschutz-Grundverordnung (DSGVO). Sie greift immer dann, wenn personenbezogene Informationen von Menschen in der EU (technologisch) verarbeitet werden, unabhängig davon, wo der Anbieter eines entsprechenden Tools sitzt.
Der entscheidende Unterschied liegt im Umfang der Prüfung. Aufgrund der besonderen Funktionsweise künstlicher Intelligenz verlangt die DSGVO hier eine deutlich genauere, dokumentierte und reflektierte Anwendung ihrer Regeln. Ziel soll es ausdrücklich nicht sein, Innovation zu bremsen, sondern Risiken kontrollierbar zu machen.
Ein zentrales Element ist die Frage, auf welcher Rechtsgrundlage Daten verarbeitet werden. Die DSGVO erlaubt dies nur, wenn ein klarer Grund bzw. ein berechtigtes Interesse vorliegt – du darfst also nicht willkürlich Informationen sammeln. In diesem Zusammenhang ist meistens eine ausdrückliche Einwilligung betreffender Personen entscheidend. Diese Logik kennst du bereits aus anderen digitalen Anwendungen, sie gilt bei KI jedoch an mehreren Stellen gleichzeitig.
Besonders relevant sind die Datenschutzgrundsätze aus Artikel 5 DSGVO. Dieser Artikel legt fest, dass Daten rechtmäßig, transparent und zweckgebunden verarbeitet werden müssen. Er fordert zudem, dass Informationen sachlich richtig sind und nur in dem Umfang genutzt werden, der tatsächlich erforderlich ist. Gerade diese Punkte stellen Unternehmen beim Einsatz von KI oft vor neue, ungeahnte Herausforderungen.
Knackpunkt personenbezogene Daten
Die Leistungsfähigkeit von KI-Systemen hängt stark von der Qualität und Menge der verwendeten Daten ab. In vielen Anwendungsfällen handelt es sich dabei um personenbezogene Informationen, die unter dem Schutz der DSGVO stehen. Das betrifft nicht nur offensichtliche Fakten wie Namen oder E-Mail-Adressen, sondern auch indirekte Daten wie Nutzerverhalten, Texteingaben oder Metadaten.
Personenbezogene Daten können im gesamten Lebenszyklus eines KI-Systems verarbeitet werden. Das beginnt bei der Sammlung von Trainingsdaten, reicht über das eigentliche Lernen bis hin zur Nutzung im laufenden Betrieb, etwa bei der Auswertung von Eingaben und Ausgaben. Jede dieser Verarbeitungen benötigt eine rechtliche Grundlage und muss nachvollziehbar dokumentiert sein.
Neben der Rechtmäßigkeit spielen weitere Grundsätze eine wichtige Rolle. Das Transparenzgebot verlangt, dass Betroffene verstehen können, was mit ihren Daten geschieht. Die Zweckbindung schreibt vor, dass Daten nur für klar definierte Zwecke genutzt werden dürfen. Hinzu kommen Anforderungen an die Datenrichtigkeit sowie die Pflicht zur Datenminimierung, also zur Beschränkung auf wirklich notwendige Informationen (dazu aber gleich noch genauer).
Das alles umfassend zu berücksichtigen, ist schon beim Einsatz von Standard-Tools nicht einfach – KI treibt das Ganze aufgrund ihrer Komplexität jedoch auf die Spitze.
Die DSGVO gilt auch für US-Anbieter – aber mit zusätzlichen Herausforderungen
Sobald ein Unternehmen in der Europäischen Union personenbezogene Daten verarbeitet oder durch Dritte verarbeiten lässt, greift die DSGVO. Dabei spielt es keine Rolle, ob der Anbieter der eingesetzten Software in Deutschland, Europa oder den USA sitzt. Diese Grundregel gilt für klassische Cloud-Software ebenso wie für moderne KI-Systeme.
In der Praxis entsteht der entscheidende Unterschied jedoch dort, wo Daten außerhalb der EU verarbeitet oder von dort aus zugänglich gemacht werden. Viele KI-Tools aus den USA speichern, analysieren oder warten Daten in sogenannten Drittstaaten. Genau dieser Punkt macht den Einsatz solcher Anwendungen datenschutzrechtlich anspruchsvoll.
Juristisch spricht man in diesem Zusammenhang von einer Datenübermittlung in ein Drittland. Die DSGVO regelt solche Fälle in den Artikeln 44 ff. Diese Vorschriften sollen sicherstellen, dass personenbezogene Informationen auch außerhalb der EU ein vergleichbares Schutzniveau behalten. Für Unternehmen bedeutet das einen erhöhten Prüfaufwand.
Ein zentrales Instrument sind die Standardvertragsklauseln, häufig als SCCs bezeichnet. Dabei handelt es sich um von der EU vorgegebene Muster, mit denen sich Anbieter verpflichten, europäische Datenschutzstandards einzuhalten. Diese Klauseln sind bei US-Anbietern in der Regel zwingend erforderlich. Allein reichen sie jedoch nicht aus.
Zusätzlich müssen Unternehmen prüfen, ob nationale Gesetze im Drittland dem Datenschutz entgegenstehen. In den USA betrifft das vor allem staatliche Zugriffsbefugnisse auf Daten. Die DSGVO verlangt hier eine realistische Einschätzung möglicher Risiken. Auf dieser Basis sind ergänzende Schutzmaßnahmen umzusetzen, etwa Verschlüsselung, Anonymisierung oder klare Zugriffsbeschränkungen.
Bei KI-Tools fällt diese Bewertung oft schwerer als bei klassischer Software. Trainingsdaten, Protokolldaten oder Supportzugriffe sind nicht immer klar abgegrenzt. Häufig bleibt unklar, zu welchen Zwecken eingegebene Informationen langfristig genutzt werden.
KI verstärkt typische DSGVO-Risiken
Im Vergleich zu herkömmlicher Software bringen Lösungen mit künstlicher Intelligenz zusätzliche datenschutzrechtliche Spannungsfelder mit sich. Diese ergeben sich weniger aus der Technik selbst als aus ihrer flexiblen und lernenden Arbeitsweise.
Ein zentrales Thema ist die Zweckbindung. Die DSGVO verlangt nicht nur eine Rechtsgrundlage wie ein berechtigtes Interesse an der Datenverarbeitung, sondern auch dass Informationen nur für vorher festgelegte und klar beschriebene Zwecke genutzt werden. KI-Systeme profitieren jedoch von vielseitigen Datensätzen. Problematisch wird das dann, wenn Texteingaben oder Nutzungsdaten für das Training von Modellen oder zur allgemeinen Produktverbesserung weiterverarbeitet werden. Ohne klare Abgrenzung kann dies gegen die ursprüngliche Zweckdefinition verstoßen.
Auch die Datenminimierung stellt Unternehmen vor Herausforderungen. Viele KI-Anwendungen erfassen mehr Informationen als für die eigentliche Funktion erforderlich wäre. Dazu zählen vollständige Prompts, Nutzungsprofile oder technische Metadaten. Die DSGVO fordert hier eine bewusste Beschränkung auf das notwendige Maß.
Ein weiterer kritischer Punkt betrifft die Transparenz. Unternehmen müssen erklären können, welche Daten verarbeitet werden, wie das System damit umgeht und ob Entscheidungen automatisiert getroffen werden. Gerade bei komplexen KI-Modellen ist diese Nachvollziehbarkeit eingeschränkt. Black-Box-Ansätze erschweren es, verständliche Informationen bereitzustellen.
Besonders sensibel wird es bei automatisierten Entscheidungen. Artikel 22 DSGVO schützt Personen davor, ausschließlich auf Grundlage automatisierter Prozesse bewertet oder benachteiligt zu werden. Kommt KI etwa bei Scoring-Verfahren, Vorauswahlprozessen oder Leistungsbewertungen zum Einsatz, entstehen zusätzliche Pflichten. Dazu zählen Informationsrechte, Eingriffsmöglichkeiten für Menschen und erhöhte Dokumentationsanforderungen.
Weitere wichtige gesetzliche Verpflichtungen – von Urheberrecht bis Werberichtlinien
Neben der DSGVO können beim Einsatz von KI noch eine ganze Menge andere Gesetze relevant werden. Dazu zählt das Urheberrechtsgesetz, etwa dann, wenn geschützte Werke als Daten für das Training eines KI-Systems genutzt werden oder KI-Ergebnisse wirtschaftlich verwertet werden sollen. Unternehmen müssen hier prüfen, ob Nutzungsrechte vorliegen und wie Inhalte weiterverarbeitet werden dürfen.
In stark regulierten Branchen steigen die Anforderungen weiter. Im Gesundheitsbereich spielen zusätzlich die Medical Device Regulation (MDR) und der European Health Data Space (EHDS) ein. KI-Software kann als medizinisches Produkt eingestuft werden, was besondere Prüf- und Zulassungspflichten nach sich zieht. Der EHDS ordnet den Umgang mit Gesundheitsdaten europaweit.
Auch in der Kundengewinnung gelten klare Regeln. Wird KI im Zusammenhang mit Werbung eingesetzt, ist das Gesetz gegen den unlauteren Wettbewerb (UWG) zu beachten. Irreführende Aussagen, verdeckte Reklame oder durch Marketing-Automatisierung erzeugte Inhalte ohne Kennzeichnung können rechtliche Folgen haben.
Was bedeutet die EU-KI-Verordnung für künstliche Intelligenz und Datenschutz in Unternehmen?
Viele denken, der EU AI Act (EU Artificial Intelligence Act) sei nur für Entwickler von KI-Software relevant, das stimmt so aber nicht ganz. Mit der KI-Verordnung hat die Europäische Union erstmals einen umfassenden Rechtsrahmen für künstliche Intelligenz geschaffen, der auch Unternehmen betrifft, die KI lediglich nutzen.
Aber hat das Einfluss auf den Datenschutz? Nicht direkt, da es bei diesen KI-Statuten aber ebenfalls darum geht, künstliche Intelligenz und damit eine entsprechende Datenverarbeitung gesetzeskonform bzw. sicher zu machen, sind die Bereiche sehr eng miteinander verknüpft. Deshalb wird die AI-Verordnung wohl auch so häufig im direkten Zusammenhang mit KI und Datenschutz genannt.
Der AI Act ist in erster Linie eine technikspezifische Regulierung mit produktsicherheitsrechtlichem Charakter. Er wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft. Die Anwendung erfolgt schrittweise. Erste Regelungen gelten seit dem 2. Februar 2025.
Ziel der Verordnung ist es, Vertrauen in KI zu schaffen, Innovation zu ermöglichen und gleichzeitig Grundrechte zu schützen. Der Gesetzgeber verfolgt dafür einen risikobasierten Ansatz. Je höher die potenziellen Gefahren für Menschenrechte und Sicherheit, desto strenger fallen die Pflichten aus. Im Mittelpunkt stehen sogenannte Hochrisiko-KI-Systeme. Dazu können unter anderem Tools zur Bewerberauswahl, Leistungsbewertung, Bonitätsprüfung oder für die Organisation des Zugangs zu Bildung oder Dienstleistungen zählen. Hier greifen konkrete durch den AI Act geregelte Betreiberpflichten, die aber nicht unmittelbar mit dem Datenschutz zusammenhängen.
Wichtig für die Einordnung im Kontext von KI und Datenschutz ist folgende Unterscheidung:
• AI Act = Produkt- und Risikoregulierung
• DSGVO = Datenschutzrecht
Für dich als Nutzer bedeutet das:
• Die DSGVO bestimmt den Umgang mit der Datenverarbeitung in deinen Systemen.
• Der AI Act regelt den Einsatz, die Kontrolle und die Verantwortung der KI (wobei Daten natürlich auch immer mitfließen)
Checkliste: Worauf du grundsätzlich für einen datenschutzkonformen Einsatz von US-KI-Software achten solltest
Damit KI und Datenschutz im Unternehmensalltag zusammenpassen, braucht es klare Leitlinien. Die folgenden Punkte sollen dir als erste Anhaltspunkte helfen, typische Risiken kompakt zu erfassen und strukturiert einzugrenzen.
• Rechtsgrundlage klären: Prüfe für jede Verarbeitung personenbezogener Daten, auf welcher Grundlage sie erfolgt. Definiere das berechtigte Interesse oder eine andere rechtssichere Basis.
• Zwecke sauber definieren: Lege fest, wofür Daten genutzt werden dürfen. Texteingaben, Nutzungsinformationen oder Analyseergebnisse solltest du niemals automatisch für andere Zwecke weiterverwenden (lassen).
• Datenumfang begrenzen: Reduziere Eingaben und gespeicherte Informationen auf das Notwendigste. Weniger Daten senken Risiken und erleichtern die Einhaltung der DSGVO.
• Transparenz sicherstellen: Dokumentiere verständlich, welche Informationen zusammenlaufen, wie das KI-System funktioniert und ob automatisierte Entscheidungen stattfinden. Diese Fakten müssen intern nachvollziehbar sein.
• Drittlandübermittlung prüfen: Bei US-Tools ist es besonders wichtig, zu klären, ob Daten außerhalb der EU verarbeitet oder abrufbar sind. Standardvertragsklauseln sind Pflicht, zusätzliche Schutzmaßnahmen oft erforderlich.
• Technische Sicherheit gewährleisten: Verschlüsselung, Zugriffsbeschränkungen und Anonymisierung reduzieren das Risiko unbefugter Zugriffe. Das ist höchst DSGVO-relevant.
• Automatisierte Entscheidungen absichern: Sobald KI durch spezifische Daten Ergebnisse liefert, die Menschen betreffen, ist eine sehr genaue Kontrolle notwendig. Personen dürfen nicht allein durch Maschinen bewertet werden.
• Dokumentation ernst nehmen: Halte Prüfungen, Entscheidungen und Schutzmaßnahmen schriftlich fest. Diese Nachweise sind elementar, falls Fragen oder Kontrollen von öffentlicher Seite folgen.
• Weitere Gesetze im Blick behalten: Neben der DSGVO können auch das BDSG, das Urheberrechtsgesetz, die Medical Device Regulation oder künftig der European Health Data Space relevant sein.
• Pflichten aus dem AI Act berücksichtigen: Prüfe, ob dein KI-Einsatz als geringes oder hohes Risiko einzustufen ist, und setze die entsprechenden Vorgaben für Nutzer um.
Fazit
Mit diesem Artikel konnten wir beim Thema KI und Datenschutz natürlich nur an der Oberfläche kratzen. Die rechtlichen bzw. technischen Zusammenhänge sind komplex und stark mit dem konkreten Einsatz entsprechender Tools verbunden. Es dürfte jedoch klar geworden sein, dass die DSGVO der zentrale Maßstab für den Umgang mit personenbezogenen Daten bleibt. Sie ist im Kontext mit KI-Tools aus den USA aber noch einmal detaillierter anzuwenden als sowieso schon. Da die Thematik sehr schwierig zu überblicken ist, solltest du rechtliche Unterstützung und eine fachliche KI-Beratung bei der Integration von künstlicher Intelligenz nicht als Kür, sondern als einen wichtigen Bestandteil einer verantwortungsvollen, rechtssicheren Umsetzung betrachten.
FAQ
Warum sind KI und Datenschutz für Unternehmen so wichtig?
Weil KI auf Daten angewiesen ist und häufig personenbezogene Informationen verarbeitet. Ohne klare Regeln entstehen erhebliche rechtliche Risiken.
Verstößt KI gegen die DSGVO?
Nein, nicht grundsätzlich. KI ist erlaubt, sofern die Vorgaben der DSGVO eingehalten werden. Entscheidend sind die Gewährleistung der Rechtsgrundlage, eine konkrete Zweckbindung, Transparenz und die Umsetzung angemessener Schutzmaßnahmen.
Ist der EU AI Act wichtig für KI und Datenschutz?
Ja, denn beide Regelwerke greifen ineinander. Die DSGVO bestimmt, wie personenbezogene Daten verarbeitet werden dürfen. Der EU AI Act legt fest, unter welchen Bedingungen KI eingesetzt, überwacht und kontrolliert werden muss. Für Unternehmen ergibt sich daraus die Pflicht, Datenschutz und KI-Risiken gemeinsam zu betrachten, insbesondere bei (erhöht) sensiblen Anwendungen.
Geschrieben von:
Jens ist Mitgründer von bakedwith, einer Boutique-Beratung für smarte Automatisierung und KI. Er unterstützt mittelständische Unternehmen und Konzerne dabei, Prozesse zu optimieren, manuelle Arbeit zu reduzieren und durch effiziente Workflows Wachstum zu erzielen. Zuvor war Jens Growth Lead bei OMR und begleitete als Freelancer zahlreiche Unternehmen bei der Optimierung ihrer CRM- und Automationssysteme. Seine Leidenschaft gilt der Verbindung von Wachstum und Effizienz – damit Teams sich auf das Wesentliche konzentrieren können.
