Ist der Einsatz von KI im Unternehmen DSGVO-konform?

Ja – KI ist datenschutzrechtlich nicht verboten, es kommt auf die Umsetzung an. Die DSGVO ist technikneutral: Sie verbietet keine Technologie, sondern regelt den Umgang mit personenbezogenen Daten. Die deutschen Datenschutzbehörden bestätigen in ihrer gemeinsamen Orientierungshilfe ausdrücklich, dass KI-Anwendungen datenschutzkonform eingesetzt werden können – wenn Rechtsgrundlage, Transparenz und Datensparsamkeit stimmen. In der Praxis ist das größte Problem nicht das Recht, sondern die Unsicherheit: Laut Bitkom nennen 48 Prozent der Unternehmen Datenschutzanforderungen als Hemmnis beim KI-Einsatz. Wer die Anforderungen früh klärt, statt das Thema aufzuschieben, nimmt diesem Hemmnis die Wirkung. Eine neutrale KI-Beratung hilft, Anforderungen und Aufwand realistisch einzuschätzen.

Wann gilt die DSGVO beim KI-Einsatz überhaupt?

Sobald personenbezogene Daten verarbeitet werden – und das passiert schneller, als viele denken. Relevant sind drei Stellen: die Eingaben (ein Prompt mit Kundennamen, weitergeleitete E-Mails, Bewerbungsunterlagen), die Daten, auf die ein KI-System zugreift (CRM, Dokumente, Postfächer), und die Ausgaben, wenn sie sich auf Personen beziehen. Keine Rolle spielt die DSGVO dagegen bei reinen Sachdaten: Maschinendaten, anonymisierte Statistiken oder allgemeine Texte ohne Personenbezug dürfen ohne datenschutzrechtliche Hürden verarbeitet werden. Faustregel: Wer vor der Einführung prüft, welche Datenarten ein Tool tatsächlich sieht, erkennt früh, ob die DSGVO greift – und kann den Anwendungsfall oft so zuschneiden, dass sensible Daten draußen bleiben.

Welche Anforderungen stellt die DSGVO an KI-Systeme?

Die Grundregeln sind dieselben wie bei jeder Datenverarbeitung – auf KI angewendet bedeuten sie konkret: Es braucht eine Rechtsgrundlage (z. B. Vertragserfüllung oder berechtigtes Interesse), die Verarbeitung muss einem klaren Zweck dienen, und es dürfen nur die dafür nötigen Daten verwendet werden (Datenminimierung). Betroffene müssen informiert werden und ihre Rechte auf Auskunft und Löschung behalten. Bei voraussichtlich hohem Risiko – etwa KI-gestützter Bewertung von Beschäftigten – ist eine Datenschutz-Folgenabschätzung Pflicht. Und für rein automatisierte Entscheidungen mit rechtlicher Wirkung gilt Artikel 22: Hier muss ein Mensch das letzte Wort haben. Die Orientierungshilfe der Datenschutzkonferenz übersetzt diese Pflichten in eine praxisnahe Checkliste für Auswahl und Betrieb von KI-Tools.

Dürfen Unternehmen ChatGPT & Co. DSGVO-konform nutzen?

Ja – aber nicht in der privaten Gratisversion mit Unternehmensdaten. Entscheidend sind vier Punkte: ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, die Zusicherung, dass Eingaben nicht zum Training der Modelle verwendet werden, möglichst Datenverarbeitung in der EU und eine interne Richtlinie, die festlegt, was eingegeben werden darf und was nicht. Business- und Enterprise-Versionen der gängigen Anbieter erfüllen die ersten Punkte in der Regel – kostenlose Privatkonten nicht. Riskant ist vor allem die sogenannte Schatten-KI: Mitarbeitende, die mangels offizieller Lösung private KI-Konten für Firmendaten nutzen. Ein offiziell bereitgestelltes, vertraglich abgesichertes Tool ist darum meist der wirksamste Datenschutz-Schritt. Worauf bei der Auswahl zu achten ist, zeigt unsere FAQ Welche KI-Tools lohnen sich für KMU?

Was gilt, wenn KI auf interne Dokumente zugreift (RAG)?

Für KI-Systeme, die per RAG auf eigene Dokumente und Datenbanken zugreifen, hat die Datenschutzkonferenz im Oktober 2025 eine eigene Orientierungshilfe veröffentlicht. Die Kernpunkte: Die KI darf einem Nutzer nur Informationen liefern, die dieser auch selbst einsehen dürfte – bestehende Zugriffsrechte müssen also in die Suche übernommen werden. Die Quelldaten sollten vor der Aufnahme in eine Vektordatenbank geprüft und von nicht benötigten personenbezogenen Daten bereinigt werden. Und es braucht ein Löschkonzept: Wird ein Dokument gelöscht, müssen auch die daraus erzeugten Suchindizes verschwinden. Richtig umgesetzt ist RAG datenschutzrechtlich oft die bessere Wahl – die Daten bleiben im eigenen System, statt in ein fremdes Modell trainiert zu werden.

Wie hängen EU AI Act und DSGVO zusammen?

Es sind zwei getrennte Regelwerke, die parallel gelten. Der EU AI Act regelt KI-Systeme selbst und stuft sie nach Risiko ein – von verbotenen Praktiken über Hochrisiko-Systeme bis zu KI mit minimalem Risiko, für die kaum Pflichten gelten. Die DSGVO regelt unabhängig davon den Umgang mit personenbezogenen Daten. Wichtig für die Praxis: Auch wenn ein KI-Tool nach dem AI Act unkritisch ist, bleibt die DSGVO voll anwendbar, sobald personenbezogene Daten im Spiel sind – und umgekehrt. Seit Februar 2025 verlangt der AI Act zudem von allen Unternehmen, die KI einsetzen, nachweisbare KI-Kompetenz der Mitarbeitenden (Artikel 4). Schulung ist damit keine Kür mehr, sondern Pflicht – und zahlt zugleich auf die DSGVO-Anforderung ein, Beschäftigte zum richtigen Umgang mit Daten anzuleiten.

Wie wird der KI-Einsatz konkret DSGVO-konform?

Bewährt hat sich ein Vorgehen in sechs Schritten: Erstens alle genutzten KI-Tools erfassen – auch die inoffiziellen. Zweitens mit jedem Anbieter einen AVV schließen und prüfen, wo die Daten verarbeitet werden. Drittens das Verarbeitungsverzeichnis ergänzen und bei riskanten Anwendungen eine Datenschutz-Folgenabschätzung durchführen. Viertens eine kurze, verständliche KI-Richtlinie aufstellen: Welche Tools sind erlaubt, welche Daten dürfen hinein? Fünftens die Mitarbeitenden schulen. Sechstens den Datenschutzbeauftragten früh einbinden statt am Ende. Der Aufwand ist für KMU überschaubar – meist wenige Tage – und einmal aufgesetzt, deckt das Gerüst auch künftige Tools ab. Wie die Einführung insgesamt abläuft, beschreibt unsere FAQ Wie führt man KI im Unternehmen ein?

Quellen: Die Anforderungen der deutschen Datenschutzbehörden sind in der Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ der Datenschutzkonferenz dokumentiert. Dass 48 Prozent der Unternehmen Datenschutzanforderungen als Hemmnis beim KI-Einsatz nennen, zeigt der Bitkom-Studienbericht „Künstliche Intelligenz in Deutschland“ (2025). Diese Seite gibt den Stand allgemein verfügbarer Informationen wieder und ersetzt keine Rechtsberatung im Einzelfall.

Unsicher, ob Ihr KI-Vorhaben datenschutzkonform ist?

In einem kostenlosen Erstgespräch ordnen wir Ihren Anwendungsfall ein: welche Daten betroffen sind, welche Anforderungen gelten und wie der Einsatz sauber aufgesetzt wird – verständlich und ohne Jurastudium.

Kostenlose Erstberatung vereinbaren