DSGVO und KI — was Datenschutz im KI-Zeitalter wirklich bedeutetGDPR and AI — what data protection really means in the age of AI
Wer KI einsetzt, verarbeitet Daten — oft ohne es zu merken. Was die DSGVO dabei fordert, welche Fallstricke lauern und was Organisationen jetzt konkret tun müssen.Anyone using AI processes data — often without realising it. What the GDPR requires, what pitfalls exist and what organisations need to do now.
„Dürfen wir das überhaupt?“
Diese Frage kommt in fast jedem Workshop, sobald es um den Einsatz von KI-Tools geht. Und die ehrliche Antwort lautet: Es kommt darauf an — und zwar auf mehr, als die meisten ahnen.
Was die DSGVO mit KI zu tun hat
Die Datenschutz-Grundverordnung gilt seit 2018. Auf KI zugeschnittene Regeln gibt es erst seit 2024 durch den EU AI Act. Aber das heißt nicht, dass vorher nichts galt.
Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden.
Das klingt abstrakt. Konkret bedeutet es: Wer ChatGPT nutzt und dabei Namen, E-Mail-Adressen, Gesundheitsdaten oder Informationen über Mitarbeitende eingibt, verarbeitet personenbezogene Daten — und unterliegt der DSGVO.
Die drei häufigsten Fehler beim KI-Einsatz
1. Personenbezogene oder sensible Daten ungeprüft in externe KI-Dienste eingeben Viele Nutzende tippen Namen von Klientinnen, Diagnosen oder interne Projektzahlen in ChatGPT oder ähnliche Tools. Ob das zulässig ist, hängt vom Dienst, vom Vertrag, von der Datenart und vom konkreten Setup ab. Ohne Prüfung von Rechtsgrundlage, Auftragsverarbeitung und Datenübermittlung wird daraus schnell ein Problem.
2. KI einsetzen, ohne Rollen und Transparenz sauber zu klären Wenn KI-Systeme genutzt werden, um Entscheidungen über Menschen zu treffen oder vorzubereiten — zum Beispiel in der Personalauswahl oder im Support — muss geklärt sein, wer verantwortlich ist, welche Informationen Betroffene erhalten und auf welcher Grundlage der Einsatz erfolgt.
3. Automatisierte Entscheidungen ohne menschliche Aufsicht Art. 22 DSGVO setzt enge Grenzen für Entscheidungen, die ausschließlich automatisiert getroffen werden und Personen erheblich betreffen. Das ist besonders relevant bei KI-gestützten Bewerbungsscreenings, Kreditprüfungen oder ähnlichen Verfahren.
„Die DSGVO ist kein Innovationsfeind. Sie ist der Versuch, technologischen Fortschritt mit menschlicher Würde zu verbinden.“ — Andrea Jelinek, ehemalige Vorsitzende des Europäischen Datenschutzausschusses
Was der EU AI Act zusätzlich fordert
Seit August 2024 tritt der EU AI Act schrittweise in Kraft. Er schichtet Anforderungen auf die DSGVO:
- Transparenzpflicht: In bestimmten Fällen muss offengelegt werden, dass Menschen mit KI interagieren oder KI-Inhalte sehen.
- Hochrisiko-KI: Bestimmte Systeme in Bildung, Personalwesen oder Gesundheit unterliegen strengen Prüfpflichten.
- Verbote: Social Scoring und biometrische Massenüberwachung im öffentlichen Raum sind untersagt.
Was Organisationen jetzt konkret tun sollten
Inventar aufnehmen: Welche KI-Tools werden eingesetzt? Von wem? Für was? Das ist der erste, oft übersprungene Schritt.
Datenkategorien prüfen: Werden dabei personenbezogene Daten verarbeitet? Wenn ja: welche, und auf welcher Rechtsgrundlage?
Verträge und Rollen prüfen: Wer externe KI-Dienste nutzt, muss klären, ob eine Auftragsverarbeitung vorliegt, welche Vertragsunterlagen gebraucht werden und wohin Daten übermittelt werden.
Schulungen durchführen: Datenschutz ist kein IT-Thema. Es ist ein Organisations- und Haltungsthema. Alle, die KI nutzen, müssen die Grundregeln kennen.
Die gute Nachricht: Wer die DSGVO ernstnimmt, baut damit Vertrauen — bei Klientinnen, bei Mitarbeitenden, bei Behörden. Das ist kein bürokratischer Selbstzweck. Es ist Professionalität.
Datenschutzfragen im Zusammenhang mit KI-Einführung? Ich helfe dabei, die richtigen Fragen zu stellen — und praxistaugliche Antworten zu finden.
Quellen
Weiterlesen: Über die Themen lässt sich das Feld vertiefen, im Glossar werden Fachbegriffe erklärt und in den Ressourcen finden Sie weiterführende Quellen.