DSGVO-konforme KI heißt nicht: ein Häkchen im Tool setzen und fertig. Sie heißt: KI so in Ihre Prozesse einbauen, dass Rechte von Menschen, Geschäftsrisiken und regulatorische Pflichten sauber zusammenspielen – von der Datenerfassung bis zur Auswertung.

Was bedeutet DSGVO-Konformität bei KI konkret?

Sobald eine KI personenbezogene Daten verarbeitet – Namen, E-Mails, Logdaten, Nutzungsprofile, Chat-Inhalte – gilt die DSGVO mit allen Grundsätzen und Pflichten. KI ist kein Sonderrecht, sondern ein weiterer Verarbeitungsvorgang, der auf eine Rechtsgrundlage gestützt sein muss, etwa Vertragserfüllung, rechtliche Pflicht, Einwilligung oder berechtigtes Interesse nach Art. 6 DSGVO.

Unternehmen bleiben Verantwortliche, auch wenn sie externe KI-Anbieter nutzen oder Cloudmodelle einbinden. Sie müssen also nachweisen können, dass sie Datenschutzgrundsätze einhalten, Betroffenenrechte ermöglichen und geeignete technische und organisatorische Maßnahmen getroffen haben.

Wird KI für Profiling oder automatisierte Entscheidungen mit erheblichen Auswirkungen eingesetzt – etwa Scoring, Risikobewertungen oder Personaleinsatzplanung – kommen zusätzliche Anforderungen wie Informationspflichten zur Logik und zu den Auswirkungen der Entscheidungen dazu.

Zentrale Datenschutzgrundsätze für KI

Die DSGVO liefert kein eigenes KI-Kapitel, aber ihre Grundprinzipien passen sehr gut auf KI-Systeme.

• Rechtmäßigkeit und Zweckbindung
  Vor jedem KI-Einsatz braucht es einen klar definierten Zweck: Wofür genau sollen die Daten genutzt werden (z. B. Support-Automatisierung, Fraud Detection, Wartungsprognosen)? Daraus leiten Sie die Rechtsgrundlage ab und begrenzen die Verarbeitung auf diesen Zweck.

• Datensparsamkeit und Speicherbegrenzung
  KI „lebt“ von Daten, aber DSGVO-konform heißt: nur so viele Daten wie nötig und nur so lange wie nötig. Für Trainingsdaten, Logs und Prompt-Historien braucht es klare Löschkonzepte und Pseudonymisierung, wo immer möglich.

• Transparenz und Fairness
  Betroffene müssen verstehen können, dass und wie KI eingesetzt wird, welche Daten verwendet werden und welche Folgen das hat. Gerade bei automatisierten Entscheidungen sind Aussagen zur involvierten Logik und zu möglichen Auswirkungen Pflicht.

• Integrität, Vertraulichkeit und Sicherheit
  KI-Systeme müssen gegen unbefugten Zugriff, Datenlecks und Manipulation geschützt sein. Das umfasst Verschlüsselung, Zugriffskonzepte, Monitoring und regelmäßig geprüfte technische und organisatorische Maßnahmen.

• Privacy by Design und by Default
  Datenschutz muss ins Modell und in die Architektur eingebaut werden, nicht im Nachhinein daraufgeklebt werden. Voreinstellungen sollten datenschutzfreundlich sein: minimale Datensammlung, deaktivierte unnötige Trackingfunktionen, strenge Rollen- und Berechtigungsmodelle.

Typische Herausforderungen für Unternehmen

In der Praxis scheitert DSGVO-konforme KI selten an der Theorie, sondern an Strukturen und Verantwortung.

• Intransparente „Black-Box“-Modelle
  Viele Unternehmen wissen nicht genau, welche Daten der Anbieter wofür verarbeitet, wo sie gespeichert werden und ob sie zu Trainingszwecken weiterverwendet werden. Ohne diese Infos wird jede Datenschutz-Folgenabschätzung zur Glaskugelübung.

• Unklare Rollen: Verantwortlicher vs. Auftragsverarbeiter
  Je nach KI-Szenario ist der Hersteller reiner Auftragsverarbeiter oder teilweise eigener Verantwortlicher. Das muss vertraglich sauber geklärt sein, inklusive Auftragsverarbeitungsvertrag und Unterauftragsnehmern.

• Datenminimierung vs. Modellqualität
  Technische Teams möchten viele Daten, um Modelle zu verbessern. Datenschutz verlangt Beschränkung und klare Löschregeln. Dieser Zielkonflikt braucht Governance: jemand entscheidet bewusst, welche Daten wirklich nötig sind.

• DSFA-Pflicht und fehlende Informationen
  Bei vielen KI-Anwendungen ist eine Datenschutz-Folgenabschätzung (DSFA) zwingend, etwa bei umfangreicher Profilbildung oder Bewertung persönlicher Aspekte. Die Aufsichtsbehörden betonen, dass Verantwortliche dafür auf fundierte Informationen der Anbieter angewiesen sind – die oft nicht vollständig vorliegen.

• Umgang mit Betroffenenrechten
  Auskunft, Löschung oder Widerspruch in komplexen KI-Architekturen technisch sauber umzusetzen, ist anspruchsvoll, vor allem wenn Trainingsdaten, Logs und Backups im Spiel sind.

EU AI Act als ergänzender Rechtsrahmen

Der EU AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der AI Act Risiken von KI insgesamt: Sicherheit, Diskriminierung, Transparenz und menschliche Aufsicht.

Unternehmen müssen KI-Systeme nach Risikokategorien einordnen: von verbotenen Praktiken bis hin zu Hochrisiko-KI mit strengen Pflichten, etwa Dokumentation, Risikoanalysen, Qualität des Trainingsdatensatzes, Human Oversight und Konformitätsbewertung. Für viele Organisationen bedeutet das: Inventarisierung aller KI-Systeme, Risikoanalyse und regelmäßige Überprüfung werden Pflicht.

Datenschutz und AI Act greifen ineinander: Hochrisiko-KI muss nicht nur DSGVO-konform sein, sondern auch AI-Act-Anforderungen wie Transparenzberichte, CE-Kennzeichnung und technische Dokumentation erfüllen. Für Sie als Verantwortlichen ergibt sich daraus ein gemeinsamer Governance-Rahmen statt zwei getrennte Baustellen.

Konkrete Handlungsempfehlungen für Unternehmen

Statt über „KI-Strategie“ abstrakt zu diskutieren, hilft eine nüchterne Architekturperspektive. Ein mögliches Vorgehen:

1. KI-Landkarte erstellen
   Erfassen Sie alle KI-Anwendungen im Unternehmen: eingesetzte Tools, Schnittstellen, Datentypen, Zwecke und beteiligte Dienstleister. Diese Transparenz ist Basis für jede Risikobewertung.

2. Zwecke und Rechtsgrundlagen pro Use Case festlegen
   Für jede Anwendung klar definieren: Zweck, betroffene Personengruppen, Datenarten, Rechtsgrundlage und geplante Speicherdauer. Alles, was sich nicht sauber begründen lässt, wird entweder angepasst oder gestrichen.

3. Datenschutz-Folgenabschätzung dort, wo das Risiko hoch ist
   Prüfen Sie systematisch, ob für einen Use Case eine DSFA erforderlich ist – bei Profiling, Scoring oder sensiblen Daten ist das oft der Fall. Grundlage sind strukturierte Infos vom Anbieter zur Funktionsweise und zu den Risiken des Systems.

4. Verträge und TOM mit Anbietern aktualisieren
   Schließen oder aktualisieren Sie Auftragsverarbeitungsverträge, klären Sie Unterauftragsverarbeiter, Datenübermittlungen in Drittländer und dokumentieren Sie technische und organisatorische Maßnahmen. Prüfen Sie, ob der Anbieter Optionen für Privacy by Design und by Default bietet.

5. Technische Architektur auf Datenschutz ausrichten

   • Pseudonymisierung und Anonymisierung, wo immer möglich

   • Strenge Rollen- und Rechtekonzepte für KI-Tools

   • Trennung von Produktivdaten und Trainingsdaten, definierte Löschpfade

   • Logging und Monitoring, um Zugriffe und Anomalien nachhalten zu können

6. Transparenz- und Informationskonzepte bauen
   Passen Sie Datenschutzhinweise, interne Richtlinien und Informationsblätter an, damit Betroffene verstehen, welche KI eingesetzt wird und welche Auswirkungen das hat. Stellen Sie intern Vorlagen bereit, wie automatisierte Entscheidungen erklärt werden können.

7. Kompetenz im Unternehmen aufbauen
   KI- und Datenschutzkompetenz lassen sich nicht vollständig outsourcen. Der AI Act verlangt, dass Mitarbeitende, die mit KI-Systemen arbeiten, angemessen geschult sind. Dazu gehören Grundlagen zu DSGVO, zu Risiken von KI sowie zur praktischen Nutzung der eingesetzten Systeme.

8. Governance etablieren statt Einzelfallreaktion
   Richten Sie ein kleines, verbindliches Gremium ein (IT, Fachbereich, Datenschutz, ggf. Legal), das neue KI-Use-Cases prüft, Risiken bewertet und Freigaben dokumentiert. So entsteht ein wiederholbares Muster statt Einzellösungen.