KI und DSGVO: Was ist erlaubt – und was nicht?

Künstliche Intelligenz und Datenschutz – das ist eine der wichtigsten, aber auch eine der unübersichtlichsten Kombinationen für Unternehmen in Deutschland und Europa. Auf der einen Seite: riesige Effizienzpotenziale durch KI. Auf der anderen Seite: eine der strengsten Datenschutzgesetzgebungen der Welt.

Die gute Nachricht vorweg: KI und DSGVO schließen sich nicht aus. Es ist möglich, KI datenschutzkonform einzusetzen – aber es erfordert Wissen, Planung und klare interne Regeln.

Dieser Artikel gibt dir einen strukturierten Überblick über die wichtigsten Fragen und Anforderungen.

Warum ist KI datenschutzrechtlich heikel?

KI-Systeme – insbesondere Large Language Models wie ChatGPT, Claude oder Gemini – verarbeiten Eingaben, die Nutzern geben. Wenn diese Eingaben personenbezogene Daten enthalten (Namen, E-Mail-Adressen, Kundendaten, Gesundheitsinformationen, Mitarbeiterdaten), wird daraus automatisch eine datenschutzrechtlich relevante Verarbeitung.

Die DSGVO regelt genau diese Verarbeitung: Sie muss rechtmäßig, zweckgebunden, transparent und datensparend sein. Und sie muss auf einer Rechtsgrundlage beruhen – zum Beispiel einer Einwilligung, einem Vertrag oder einem berechtigten Interesse.

Das Problem: Viele Mitarbeiter nutzen KI-Tools, ohne sich darüber Gedanken zu machen, was mit den eingegebenen Daten passiert. Und viele Unternehmen haben keine Richtlinien, die diesen Umgang regeln.

Die wichtigsten DSGVO-Fragen bei KI-Nutzung

Frage 1: Werden Eingaben für das Modelltraining genutzt?

Das hängt vom Anbieter und Produkt ab – und ist eine der zentralen Fragen.

ChatGPT (kostenlos / Plus): Standardmäßig werden Konversationen für das Training genutzt. Das lässt sich in den Einstellungen deaktivieren ("Improve the model for everyone" ausschalten). Trotzdem bleiben Fragen zur Datenübertragung in die USA.

ChatGPT Enterprise / API mit Datenschutzeinstellungen: Keine Nutzung für Training, wenn entsprechend konfiguriert. OpenAI bietet einen Auftragsverarbeitungsvertrag (AVV) an.

Claude (Anthropic API): Keine Nutzung für Training bei der API-Nutzung mit entsprechenden Einstellungen. AVV verfügbar.

Microsoft Copilot (Enterprise): Verarbeitung in der EU möglich, Datenverarbeitungsvertrag vorhanden.

Google Gemini (Workspace-Version): Verarbeitung innerhalb des Google-Ökosystems mit entsprechenden Datenschutzvereinbarungen möglich.

Grundsatz: Für den Unternehmenseinsatz mit personenbezogenen Daten sollte immer die Business- oder Enterprise-Version genutzt werden – nicht die kostenlose Consumer-Version.

Frage 2: Ist die Übertragung in Drittstaaten (USA) zulässig?

Die meisten großen KI-Anbieter sitzen in den USA. Die Übertragung personenbezogener Daten in die USA ist nach DSGVO nur unter bestimmten Bedingungen zulässig:

• EU-US Data Privacy Framework (seit 2023): Das neue Abkommen ermöglicht Datentransfers zu zertifizierten US-Unternehmen. OpenAI, Google und Microsoft sind zertifiziert.

• Standardvertragsklauseln (SCCs): Alternativ können Daten auf Basis von EU-Standardvertragsklauseln übermittelt werden.

Handlungsempfehlung: Prüfe, ob dein KI-Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist oder SCCs anbietet. Dokumentiere die Rechtsgrundlage für den Drittlandtransfer.

Frage 3: Brauche ich einen Auftragsverarbeitungsvertrag (AVV)?

Wenn du einen KI-Dienst nutzt und dabei personenbezogene Daten verarbeitest, bist du in der Regel Verantwortlicher nach DSGVO – der KI-Anbieter ist dein Auftragsverarbeiter. In diesem Fall ist ein AVV nach Art. 28 DSGVO Pflicht.

Die großen Anbieter (OpenAI, Google, Microsoft, Anthropic) stellen AVVs zur Verfügung – in der Regel als standardisierte Dokumente, die du im Rahmen der Business-/Enterprise-Nutzung akzeptierst.

Wichtig: Prüfe, ob der AVV deines Anbieters tatsächlich alle DSGVO-Anforderungen erfüllt. Im Zweifelsfall zieht einen Datenschutzbeauftragten oder einen auf IT-Recht spezialisierten Anwalt hinzu.

Frage 4: Was ist mit besonderen Kategorien personenbezogener Daten?

Art. 9 DSGVO definiert besondere Kategorien sensibler Daten, für die verschärfte Regeln gelten:

• Gesundheitsdaten

• Daten zu religiösen oder politischen Überzeugungen

• Rassische oder ethnische Herkunft

• Sexuelle Orientierung

• Biometrische Daten

Diese Daten dürfen grundsätzlich nicht in Consumer-KI-Tools eingegeben werden. Für ihren Einsatz in KI-Systemen braucht es entweder eine ausdrückliche Einwilligung der Betroffenen oder eine andere spezifische Rechtsgrundlage – und in der Regel ein lokales Deployment (keine Cloud-Verarbeitung).

Frage 5: Muss ich Betroffene über den KI-Einsatz informieren?

Ja. Die DSGVO verlangt Transparenz. Wenn du KI-Systeme einsetzt, die personenbezogene Daten verarbeiten – etwa einen KI-Chatbot auf deiner Website – müssen Betroffene darüber informiert werden. Das geschieht in der Regel über:

• Die Datenschutzerklärung (muss KI-Systeme und deren Zwecke nennen)

• Hinweise im Chatfenster oder an der Stelle der Interaktion

• Bei automatisierten Entscheidungen: Pflicht zur Information und ggf. zum Widerspruchsrecht (Art. 22 DSGVO)

Der EU AI Act: Neue Schicht über der DSGVO

Neben der DSGVO tritt seit 2024/2025 schrittweise der EU AI Act in Kraft. Er ergänzt die DSGVO um spezifische KI-Anforderungen:

Verbotene KI-Praktiken (seit 2. Februar 2025):

• Social Scoring durch Behörden

• Manipulation von Personen durch KI

• Biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen)

Hochrisiko-KI-Systeme (u. a. in Personalwesen, Bildung, kritischer Infrastruktur) unterliegen strengen Anforderungen:

• Risikomanagementsystem

• Qualitätsmanagementsystem

• Transparenz- und Dokumentationspflichten

• Menschliche Aufsicht

Für die meisten Unternehmensanwendungen (interne Assistenten, Chatbots, Automatisierung) gelten moderate Anforderungen – aber: eine Bestandsaufnahme und Risikoklassifizierung der genutzten KI-Systeme ist jetzt Pflicht.

Praktische Checkliste: KI datenschutzkonform nutzen

Bestandsaufnahme: Welche KI-Tools nutzen Mitarbeiter – offiziell und inoffiziell?

Kategorisierung: Welche Tools verarbeiten personenbezogene Daten?

Vertragscheck: Liegt für jeden Anbieter ein gültiger AVV vor?

Drittlandtransfer: Ist die Rechtsgrundlage für Übertragungen in die USA dokumentiert?

Richtlinien: Gibt es klare Regeln, welche Daten in KI-Tools eingegeben werden dürfen?

Schulungen: Sind Mitarbeiter über die Regeln informiert?

Datenschutzerklärung: Ist der KI-Einsatz in der Datenschutzerklärung transparent gemacht?

Verarbeitungsverzeichnis: Sind KI-bezogene Verarbeitungen nach Art. 30 DSGVO dokumentiert?

EU AI Act: Sind die genutzten KI-Systeme hinsichtlich Risikoklassen geprüft?

Was ist konkret verboten?

Um Missverständnissen vorzubeugen: Diese Praktiken sind nach aktueller Rechtslage in Deutschland/EU klar problematisch oder verboten:

• Kundendaten (Namen, E-Mails, Vertragsdetails) in Consumer-ChatGPT eingeben, ohne AVV und Training-Deaktivierung

• Gesundheitsdaten von Patienten oder Mitarbeitern in Cloud-KI-Tools verarbeiten

• KI-gestützte automatisierte Entscheidungen ohne Informationspflicht und Widerspruchsmöglichkeit

• Biometrische Echtzeit-Erkennung im öffentlichen Raum (EU AI Act)

• KI-Systeme ohne Dokumentation in Hochrisikobereichen betreiben

Fazit: Datenschutz ist kein Hindernis – sondern ein Qualitätsmerkmal

DSGVO-konformer KI-Einsatz ist aufwendiger als unreguliertes Ausprobieren – aber er ist machbar und in vielen Fällen sogar ein Wettbewerbsvorteil. Unternehmen, die transparent kommunizieren, wie sie KI nutzen und welche Daten dabei geschützt werden, gewinnen das Vertrauen ihrer Kunden.

Die Anforderungen sind klar. Die Mittel sind vorhanden. Es braucht vor allem: einen klaren Plan und die Bereitschaft, KI nicht nur effizient, sondern auch verantwortungsvoll einzusetzen.

Du willst KI datenschutzkonform in deinem Unternehmen einführen? Wir unterstützen dich dabei – von der Risikoanalyse bis zur Implementierung.

Hinweis: Dieser Artikel gibt einen allgemeinen Überblick über datenschutzrechtliche Fragen im Kontext von KI. Er ersetzt keine rechtliche Beratung. Für konkrete Fragestellungen empfehlen wir, einen auf IT- und Datenschutzrecht spezialisierten Anwalt oder deinen Datenschutzbeauftragten hinzuzuziehen.