Künstliche Intelligenz ist in deutschen Unternehmen angekommen. Chatbots beantworten Kundenanfragen, Algorithmen optimieren Lieferketten, KI-Tools generieren Marketingtexte und analysieren Kundendaten. Doch mit der steigenden Nutzung wächst auch die rechtliche Unsicherheit: Was darf ich mit KI? Welche Daten darf ich verarbeiten? Und wie passt das mit der DSGVO zusammen?
Die Antwort ist weniger kompliziert, als viele befürchten. Mit dem richtigen Rahmen können Sie KI-Systeme rechtssicher einsetzen, ohne auf Innovation zu verzichten. In diesem Beitrag erklären wir den regulatorischen Rahmen aus DSGVO und EU AI Act, zeigen konkrete Umsetzungsstrategien und geben Ihnen eine Checkliste für den datenschutzkonformen KI-Einsatz.
Der regulatorische Rahmen: DSGVO und EU AI Act
Die DSGVO als Fundament
Die DSGVO gilt seit 2018 und regelt die Verarbeitung personenbezogener Daten. Für KI-Systeme sind besonders diese Grundsätze relevant:
- Zweckbindung (Art. 5 Abs. 1 lit. b): Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden
- Datenminimierung (Art. 5 Abs. 1 lit. c): Nur so viele Daten wie nötig
- Transparenz (Art. 13/14): Betroffene müssen über die Verarbeitung informiert werden
- Automatisierte Einzelentscheidungen (Art. 22): Entscheidungen mit rechtlicher Wirkung dürfen nicht ausschließlich automatisiert getroffen werden
- Recht auf Erklärung: Betroffene können eine Erklärung automatisierter Entscheidungen verlangen
Praxisbeispiel: Ein KI-System, das Bewerbungen vorsortiert, fällt unter Art. 22 DSGVO. Es darf die Entscheidung nicht allein treffen -- ein Mensch muss die finale Entscheidung verantworten. Und jeder abgelehnte Bewerber hat das Recht, eine nachvollziehbare Erklärung zu erhalten.
Der EU AI Act: Neue Spielregeln ab 2026
Der EU AI Act trat im August 2024 in Kraft und wird stufenweise umgesetzt. Ab Februar 2025 gelten Verbote für inakzeptable KI-Systeme (Social Scoring, manipulative KI). Ab August 2025 müssen Anbieter von General Purpose AI Models (wie GPT, Claude, Gemini) Transparenzpflichten erfüllen. Ab August 2026 gelten die Regeln für Hochrisiko-KI-Systeme vollständig.
Die Risikoklassen des EU AI Act:
- Verbotene KI: Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Echtzeitüberwachung in öffentlichen Räumen
- Hochrisiko-KI: Bewerbungsscreening, Kreditwürdigkeitsprüfung, medizinische Diagnostik, Strafverfolgung
- Begrenztes Risiko: Chatbots (müssen als KI gekennzeichnet sein), Deepfakes (Kennzeichnungspflicht)
- Minimales Risiko: Spam-Filter, Produktempfehlungen, Textgenerierung -- kaum Regulierung
Die meisten Geschäftsanwendungen fallen in die Kategorien "begrenztes Risiko" oder "minimales Risiko". Aber: Auch diese unterliegen der DSGVO, wenn personenbezogene Daten verarbeitet werden.
Privacy by Design: Datenschutz von Anfang an
Privacy by Design ist kein Schlagwort, sondern eine gesetzliche Anforderung (Art. 25 DSGVO). Bei KI-Systemen bedeutet das konkret:
Datenverarbeitung minimieren
Fragen Sie sich bei jedem KI-Projekt: Welche Daten brauche ich wirklich? Kann ich mit anonymisierten oder pseudonymisierten Daten arbeiten? Je weniger personenbezogene Daten in das System fließen, desto geringer das Risiko.
Lokale vs. Cloud-Verarbeitung
Wenn möglich, verarbeiten Sie Daten lokal oder auf EU-Servern. Ein KI-Chatbot, der Kundendaten an US-Server sendet, erfordert deutlich mehr rechtliche Absicherung als ein System, das auf europäischer Infrastruktur läuft.
Pseudonymisierung einbauen
Bevor Daten in ein KI-Modell fließen, sollten sie pseudonymisiert werden. Namen, E-Mail-Adressen und andere direkte Identifikatoren werden durch Token ersetzt. Die KI arbeitet mit den pseudonymisierten Daten, die Re-Identifizierung ist nur bei Bedarf möglich.
Automatische Löschung
Definieren Sie Löschfristen für alle KI-verarbeiteten Daten. Chat-Verläufe nach 90 Tagen, Analysedaten nach 12 Monaten, Trainingsdaten nur so lange wie nötig.
Datenschutz-Folgenabschätzung (DSFA): Wann und wie?
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist verpflichtend, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Bei KI-Systemen ist das häufig der Fall.
Wann ist eine DSFA nötig?
- Systematische Bewertung von Personen (Scoring, Profiling)
- Automatisierte Entscheidungsfindung mit rechtlicher Wirkung
- Umfangreiche Verarbeitung besonderer Datenkategorien
- Systematische Überwachung öffentlich zugänglicher Bereiche
- Einsatz neuer Technologien (KI gilt generell als "neue Technologie")
Faustregel: Wenn Ihr KI-System personenbezogene Daten verarbeitet und Entscheidungen beeinflusst, die Menschen betreffen, führen Sie eine DSFA durch. Im Zweifelsfall lieber einmal zu viel als einmal zu wenig.
Aufbau einer DSFA für KI-Systeme
1. Beschreibung der Verarbeitung
Dokumentieren Sie genau: Welche Daten werden verarbeitet? Durch welches KI-Modell? Wo werden die Daten gespeichert? Wer hat Zugriff?
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit
Ist der KI-Einsatz für den verfolgten Zweck notwendig? Gibt es weniger datenintensive Alternativen?
3. Risikobewertung
Welche Risiken bestehen für Betroffene? Fehlentscheidungen, Diskriminierung, Datenlecks? Bewerten Sie Eintrittswahrscheinlichkeit und Schwere.
4. Gegenmaßnahmen
Welche technischen und organisatorischen Maßnahmen minimieren die identifizierten Risiken? Verschlüsselung, Zugriffskontrollen, regelmäßige Audits, menschliche Überprüfung?
EU-gehostete vs. US-gehostete KI-Anbieter
Die Wahl des KI-Anbieters hat direkte datenschutzrechtliche Konsequenzen:
US-Anbieter (OpenAI, Google, Anthropic)
Seit dem EU-US Data Privacy Framework (Juli 2023) ist der Datentransfer in die USA unter bestimmten Bedingungen wieder möglich. Allerdings: Das Framework könnte wie seine Vorgänger (Privacy Shield, Safe Harbor) vor dem EuGH scheitern. Die Rechtslage bleibt unsicher.
Praktische Empfehlung für US-Anbieter:
- Nutzen Sie die EU-Datenverarbeitungsoptionen, wenn verfügbar (Azure OpenAI EU, Google Cloud EU)
- Schließen Sie Standardvertragsklauseln (SCCs) ab
- Führen Sie ein Transfer Impact Assessment durch
- Minimieren Sie die übermittelten Daten auf das absolute Minimum
- Dokumentieren Sie Ihre Abwägung sorgfältig
EU-Anbieter und EU-gehostete Lösungen
Für datensensible Anwendungen bieten EU-gehostete Lösungen mehr Rechtssicherheit:
- Aleph Alpha: Deutsches KI-Unternehmen, EU-Hosting
- Mistral AI: Französisches KI-Unternehmen, EU-Hosting
- Open-Source-Modelle: Llama, Mixtral -- selbst gehostet auf EU-Servern
- Azure OpenAI Service (EU Region): Microsoft-gehostet, aber in EU-Rechenzentren
Minimale Datenverarbeitungsstrategien
Der effektivste Datenschutz ist der, der gar keine personenbezogenen Daten verarbeitet. Hier sind bewährte Strategien:
Anonymisierung vor der Verarbeitung
Entfernen Sie alle personenbezogenen Daten, bevor sie in das KI-System gelangen. Für viele Anwendungsfälle -- Trendanalysen, Marktforschung, Content-Generierung -- sind anonymisierte Daten völlig ausreichend.
Lokale Vorverarbeitung
Verarbeiten Sie sensible Daten lokal und senden Sie nur aggregierte oder anonymisierte Ergebnisse an externe KI-Dienste. Ein Beispiel: Statt Kundennamen und E-Mails an einen KI-Textgenerator zu senden, generieren Sie den Text mit Platzhaltern und füllen die persönlichen Daten lokal ein.
Differenzielle Privatsphäre
Bei der Analyse großer Datensätze kann differenzielle Privatsphäre (Differential Privacy) sicherstellen, dass keine Rückschlüsse auf Einzelpersonen möglich sind. Statistische Ergebnisse bleiben aussagekräftig, während die Privatsphäre gewahrt bleibt.
Checkliste: KI datenschutzkonform einsetzen
Nutzen Sie diese Checkliste als Ausgangspunkt für Ihren nächsten KI-Einsatz:
- Rechtsgrundlage identifiziert (Einwilligung, berechtigtes Interesse, Vertrag)?
- Datenschutz-Folgenabschätzung durchgeführt oder begründet, warum nicht nötig?
- Datenminimierung umgesetzt -- nur nötige Daten werden verarbeitet?
- Transparenzpflichten erfüllt -- Datenschutzerklärung aktualisiert?
- Art. 22 DSGVO berücksichtigt -- menschliche Überprüfung bei automatisierten Entscheidungen?
- Auftragsverarbeitungsvertrag mit KI-Anbieter geschlossen?
- Drittlandtransfer abgesichert (SCCs, Transfer Impact Assessment)?
- Löschkonzept definiert?
- KI-Kennzeichnung nach EU AI Act umgesetzt (bei Chatbots, generiertem Content)?
- Regelmäßige Überprüfung geplant?
Fazit: Rechtssicherheit ist machbar
DSGVO-konforme KI ist kein Widerspruch. Die regulatorischen Anforderungen sind klar, die Umsetzungsstrategien erprobt und die Tools verfügbar. Was zählt, ist ein systematischer Ansatz: Privacy by Design, Datenminimierung, transparente Kommunikation und regelmäßige Überprüfung.
Der EU AI Act bringt zusätzliche Anforderungen, aber auch Klarheit. Unternehmen, die jetzt in compliant KI-Prozesse investieren, vermeiden nicht nur Bußgelder -- sie bauen Vertrauen bei Kunden und Mitarbeitern auf.
Der wichtigste Rat: Starten Sie nicht mit der Technologie, sondern mit der Frage: Welche Daten brauche ich wirklich? Je weniger personenbezogene Daten in Ihr KI-System fließen, desto einfacher wird die Compliance. Und desto mehr können Sie sich auf das konzentrieren, was zählt: den Mehrwert, den KI für Ihr Geschäft bringt.
