DSGVO & Compliance

DSGVO und KI: Was ist realistisch, was ist riskant?

Praktische DSGVO-Compliance für KI-Projekte im Unternehmen. Ohne Panik, aber mit Substanz. Was Sie wirklich beachten müssen.

"Dürfen wir das überhaupt?" – diese Frage höre ich in fast jedem KI-Projekt. Die Angst vor DSGVO-Verstößen lähmt viele Unternehmen.

Die gute Nachricht: Die meisten KI-Anwendungen sind DSGVO-konform umsetzbar. Man muss nur wissen, worauf es ankommt.

Die wichtigsten DSGVO-Grundsätze für KI

1. Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Für KI im Unternehmen relevant:

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)

  • Gilt für viele interne Optimierungen
  • Erfordert Interessenabwägung
  • Dokumentation ist Pflicht

Vertragserfüllung (Art. 6 Abs. 1 lit. b)

  • Wenn KI zur Leistungserbringung nötig ist
  • Beispiel: Automatisierte Angebotserstellung

Einwilligung (Art. 6 Abs. 1 lit. a)

  • Für Marketing-Anwendungen oft nötig
  • Muss freiwillig, informiert, spezifisch sein
  • Kann jederzeit widerrufen werden

2. Datensparsamkeit

Nur die Daten verarbeiten, die wirklich nötig sind. Praktisch bedeutet das:

  • Keine vollständigen Kundendatensätze an LLMs senden
  • Anonymisierung oder Pseudonymisierung wo möglich
  • Daten nach Zweckerfüllung löschen

3. Transparenz

Betroffene müssen wissen, dass und wie ihre Daten verarbeitet werden:

  • Datenschutzerklärung aktualisieren
  • Bei automatisierten Entscheidungen: Hinweispflicht
  • Auskunftsrecht ermöglichen

Praktische Szenarien

Szenario 1: Interner Chatbot für Mitarbeiter

Use-Case: Mitarbeiter fragen einen Chatbot zu internen Prozessen, HR-Themen, IT-Support.

DSGVO-Bewertung: Unkritisch, wenn:

  • Keine personenbezogenen Daten in die Wissensbasis fließen
  • Chat-Logs nur für Qualitätsverbesserung genutzt werden
  • Mitarbeiter informiert sind

Empfehlung: Betriebsvereinbarung abschließen, Transparenz schaffen.

Szenario 2: Kundensupport-Automation

Use-Case: KI beantwortet Kundenanfragen automatisch oder unterstützt Agenten.

DSGVO-Bewertung: Machbar, aber mit Auflagen:

  • Kunden müssen wissen, dass KI antwortet
  • Personenbezogene Daten minimieren
  • Bei US-Anbietern: Auftragsverarbeitungsvertrag (AVV) prüfen

Empfehlung: Datenschutzerklärung anpassen, AVV mit Anbieter abschließen.

Szenario 3: Dokumentenanalyse mit externem LLM

Use-Case: Verträge, Rechnungen oder E-Mails werden von GPT-4 analysiert.

DSGVO-Bewertung: Hier wird es kritisch:

  • Personenbezogene Daten verlassen das Unternehmen
  • US-Anbieter = Drittlandtransfer
  • Sensible Daten (Gesundheit, Finanzen) erhöhen Risiko

Empfehlungen:

  1. Anonymisierung vor dem API-Call – Namen, Adressen, Kontonummern maskieren
  2. Europäische Anbieter nutzen – Azure OpenAI in EU-Region, Mistral, Aleph Alpha
  3. On-Premise-Modelle – Llama, Mixtral lokal betreiben
  4. AVV abschließen – OpenAI und Microsoft bieten DSGVO-konforme AVVs

Szenario 4: KI-gestützte Personalentscheidungen

Use-Case: Bewerbungen automatisch screenen, Performance-Vorhersagen erstellen.

DSGVO-Bewertung: Hochriskant, Art. 22 DSGVO greift:

  • Recht auf menschliche Überprüfung
  • Erklärungspflicht für die Entscheidungslogik
  • Diskriminierungsrisiken

Empfehlung: Nur als Unterstützung, nie als alleinige Entscheidungsgrundlage. Rechtliche Beratung einholen.

US-Anbieter: Das Drittland-Problem

Seit dem Schrems-II-Urteil ist der Datentransfer in die USA kompliziert. Das EU-US Data Privacy Framework (DPF) hilft, aber:

Was Sie prüfen müssen:

  1. Ist der Anbieter DPF-zertifiziert? (OpenAI: Ja, Microsoft: Ja)
  2. Gibt es einen AVV mit EU-Standardvertragsklauseln?
  3. Werden Daten in EU-Rechenzentren verarbeitet?

Praktische Lösung: Azure OpenAI in Europa

  • Rechenzentren in Schweden, Niederlande, Frankreich
  • Daten verlassen die EU nicht
  • Microsoft als Vertragspartner (einfacheres Procurement)

Checkliste für DSGVO-konforme KI-Projekte

  • Rechtsgrundlage dokumentiert?
  • Datensparsamkeit umgesetzt? (Nur nötige Daten)
  • AVV mit KI-Anbieter abgeschlossen?
  • Datenschutzerklärung aktualisiert?
  • Verarbeitungsverzeichnis ergänzt?
  • TOM (technisch-organisatorische Maßnahmen) dokumentiert?
  • Bei automatisierten Entscheidungen: Art. 22 DSGVO geprüft?
  • Datenschutz-Folgenabschätzung nötig? (bei hohem Risiko)

Fazit

DSGVO und KI schließen sich nicht aus. Mit der richtigen Architektur und sauberer Dokumentation sind die meisten Use-Cases umsetzbar.

Die Faustregel: Je weniger personenbezogene Daten an externe Systeme fließen, desto einfacher wird Compliance.

Unsicher, ob Ihr KI-Projekt DSGVO-konform ist? In der KI-Erstberatung klären wir die rechtlichen Rahmenbedingungen und finden pragmatische Lösungen.

Edward Abiakin

Über den Autor

Edward Abiakin

KI-Berater & Software Engineer

10 Jahre Erfahrung in Software & KI. Ich helfe Unternehmen, KI-Use-Cases zu finden, zu priorisieren und umzusetzen.

Auf LinkedIn vernetzen →

Sie wollen das umsetzen?

In der Erstberatung erstellen wir gemeinsam Ihren individuellen Plan.

Erstberatung buchen
Zurück zum Ratgeber