DSGVO und KI: Was Unternehmen vor dem ersten Schritt klären müssen

Warum DSGVO und KI kein Widerspruch sind - aber Vorbereitung brauchen

Viele mittelständische Unternehmen zögern bei der KI-Einführung aus Datenschutzgründen. Das ist verständlich - aber häufig übertrieben. DSGVO und KI schließen sich nicht aus. Sie erfordern aber, dass man vor dem ersten Schritt weiß, welche Daten wo verarbeitet werden und unter welchen rechtlichen Bedingungen das zulässig ist.

Hier sind fünf Fragen, die vor jeder KI-Implementierung beantwortet sein müssen.

1. Werden personenbezogene Daten verarbeitet?

Namen, E-Mail-Adressen, Kundennummern, Kommunikationsverläufe - sobald diese Daten in einem KI-System verarbeitet werden, greift die DSGVO vollständig. Das bedeutet: Rechtsgrundlage prüfen, Betroffene informieren, Verarbeitungsverzeichnis aktualisieren. Wer hier nachlässig ist, riskiert nicht nur Bußgelder - sondern auch Vertrauensverlust bei Kunden.

2. Gibt es einen Auftragsverarbeitungsvertrag (AVV)?

Wenn ein KI-Dienst Ihre Daten verarbeitet, ist ein AVV mit dem Anbieter Pflicht. Das gilt für Cloud-Dienste genauso wie für lokal betriebene Modelle, die über APIs externer Anbieter genutzt werden. Viele Unternehmen starten mit KI-Tools, ohne zu prüfen, ob der Anbieter überhaupt einen DSGVO-konformen AVV anbietet. Einige tun es nicht.

3. Wo werden die Daten verarbeitet - und gespeichert?

US-amerikanische KI-Dienste unterliegen dem Cloud Act. Das bedeutet: US-Behörden können unter bestimmten Umständen auf Daten zugreifen, auch wenn diese in Europa gespeichert sind. Für Kundendaten, Vertragsunterlagen oder interne Kommunikation ist das ein relevantes Risiko. Nicht jeder Anwendungsfall erfordert europäische Server - aber die Entscheidung muss bewusst getroffen werden.

4. Werden die Daten zum Training verwendet?

Viele KI-Dienste nutzen eingegebene Daten standardmäßig zum Training ihrer Modelle. Das ist für persönliche Notizen unkritisch - für Kundendaten, Angebote oder Verträge nicht. Wer seinen KI-Einsatz sauber aufstellt, prüft die Datenschutzrichtlinien und nutzt wo nötig Opt-out-Optionen oder Enterprise-Zugänge ohne Training-Nutzung.

5. Ist Ihre Datenschutzbeauftragte eingebunden?

Unternehmen mit mehr als 20 Mitarbeitenden in der Datenverarbeitung brauchen einen betrieblichen Datenschutzbeauftragten - und der sollte bei jeder KI-Einführung frühzeitig eingebunden sein. Nicht um zu bremsen, sondern um zu dokumentieren, was verarbeitet wird und warum. Das schützt Sie im Zweifel.

Was bedeutet das konkret für die KI-Einführung?

Die Lösung ist nicht, auf KI zu verzichten. Sie ist, DSGVO-konforme Entscheidungen zu treffen: europäische Dienstleister bevorzugen, AVV vor dem Start abschließen, Training-Nutzung deaktivieren, Verarbeitungsverzeichnis pflegen. Das klingt nach Mehraufwand - ist in der Praxis aber eine einmalige Strukturierungsarbeit, die den dauerhaften Betrieb rechtssicher macht.

KI Datenschutz ist kein Hindernis. Er ist ein Qualitätsmerkmal - für Ihr Unternehmen und gegenüber Ihren Kunden.