Wer KI datenschutzkonform einsetzen will, braucht mehr als guten Willen - er braucht ein System. Die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten, und künstliche Intelligenz macht die Einhaltung dieser Regeln komplexer. Gleichzeitig zeigt die Praxis: Datenschutz muss kein Innovationsblocker sein. Unternehmen, die ihre Datenflüsse sauber klassifizieren, Dienstleister sorgfältig bewerten und Mitarbeiter schulen, nutzen KI-Systeme produktiv und rechtskonform. Laut Bitkom-Erhebung 2024 nennen zwei Drittel der deutschen Unternehmen Datenschutzbedenken als größte Hürde beim KI-Einsatz. Dieser Leitfaden liefert Ihnen die wichtigsten Informationen, um diese Hürde systematisch abzubauen.
Welche DSGVO-Anforderungen gelten für KI-Systeme?
Die Datenschutz-Grundverordnung regelt nicht speziell den Einsatz künstlicher Intelligenz - aber sie regelt die Verarbeitung personenbezogener Daten. Sobald ein KI-System solche Daten verarbeitet, greifen die gleichen Anforderungen wie bei jeder anderen Verarbeitung. Das klingt simpel, wird in der Praxis aber schnell komplex: Viele KI-Lösungen verwenden Daten, die auf den ersten Blick nicht personenbezogen wirken, es aber durch Kombination oder Kontext werden.
Vier DSGVO-Grundsätze sind für den KI-Einsatz insbesondere relevant:
- Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten dürfen nur für den festgelegten Zweck verwendet werden. Ein Chatbot, der für Kundenservice trainiert wurde, darf die gesammelten Daten nicht für Marketing-Analysen nutzen.
- Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Nur die Daten erheben, die tatsächlich nötig sind. Datenminimierung gilt auch für KI-Trainingsdaten - kein “je mehr Daten, desto besser” ohne klaren Verarbeitungszweck.
- Transparenz (Art. 13, 14 DSGVO): Betroffene Personen müssen wissen, dass ihre Daten durch ein KI-System genutzt werden - und warum. Transparenz ist insbesondere bei automatisierten Prozessen ein zentraler Grundsatz im geltenden Recht.
- Automatisierte Einzelentscheidungen (Art. 22 DSGVO): Wenn eine KI eigenständig Entscheidungen trifft, die eine Person erheblich betreffen, gelten besondere Schutzrechte.
Zusätzlich greift seit August 2024 der EU AI Act, der KI-Systeme in Risikoklassen einteilt und eigene Pflichten für Anbieter und Betreiber definiert. Für Unternehmen bedeutet das: Neben der DSGVO und dem Bundesdatenschutzgesetz (BDSG) müssen sie klären, ob ihr KI-System als Hochrisiko-System eingestuft wird. Die Verordnung stellt neue Anforderungen an Transparenz, Dokumentation und Sicherheit. Eine umfassende Übersicht über Risikoklassen und Fristen liefert unser Artikel zum EU AI Act für Unternehmen.
Welche Datenarten darf eine KI verwenden?
Nicht alle Daten sind gleich sensibel, und nicht für alle Datenarten gelten die gleichen Regeln. Für den datenschutzkonformen KI-Einsatz ist es entscheidend, die genutzten Daten vor dem ersten Einsatz richtig zu klassifizieren. Viele Unternehmen unterschätzen diesen Schritt und geraten dadurch in rechtliche Schwierigkeiten, die sich mit einer sauberen Datenklassifizierung von Anfang an vermeiden ließen.
| Datenart | Beispiel | DSGVO-Relevanz | KI-Eignung |
|---|---|---|---|
| Anonymisierte Daten | Aggregierte Verkaufszahlen | Keine personenbezogenen Daten | Unbeschränkt nutzbar |
| Pseudonymisierte Daten | Kundennummern ohne Klarnamen | DSGVO gilt, aber reduziertes Risiko | Mit Rechtsgrundlage nutzbar |
| Personenbezogene Daten | Name, E-Mail, Adresse | DSGVO gilt vollständig | Nur mit Rechtsgrundlage und Risikoanalyse |
| Besondere Kategorien (Art. 9) | Gesundheitsdaten, Religionszugehörigkeit | Strenges Verarbeitungsverbot mit Ausnahmen | Nur in Ausnahmefällen |
Branchen wie Industrie, Gesundheit und Finanzwesen stehen vor besonderen Herausforderungen, weil sie regelmäßig mit sensiblen oder personenbezogenen Daten arbeiten.
Die Faustregel lautet: Je stärker Sie Daten anonymisieren oder aggregieren, desto weniger Datenschutz-Anforderungen greifen. Klären Sie deshalb vor dem KI-Einsatz, ob Sie Ihr Ziel auch mit anonymisierten Daten erreichen. Ein KI-gestütztes Controlling braucht keine Klarnamen, um Umsatzprognosen zu erstellen. Ein KI-Chatbot im Kundenservice hingegen verwendet zwangsläufig personenbezogene Daten - hier brauchen Sie eine saubere Rechtsgrundlage.
Rechtsgrundlagen für die KI-Datenverarbeitung
Die DSGVO nennt in Art. 6 sechs mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Für den KI-Einsatz im Unternehmen kommen praktisch drei in Frage:
- Einwilligung (Art. 6 Abs. 1 lit. a): Der Betroffene stimmt der Verarbeitung aktiv zu. Problematisch bei KI, weil die Einwilligung jederzeit widerrufbar ist und der Verarbeitungszweck genau beschrieben sein muss.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist für die Erfüllung eines Vertrags notwendig. Greift etwa, wenn ein KI-System Kundenanfragen bearbeitet, die unter einen bestehenden Servicevertrag fallen.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Das Unternehmen hat ein nachvollziehbares Interesse an der Verarbeitung und kann es gegen die Rechte der betroffenen Personen abwägen. In der Praxis die häufigste Grundlage für KI-Projekte - aber auch die, die am sorgfältigsten dokumentiert und begründet werden muss.
Ergänzend enthält das BDSG nationale Regelungen zum Schutz besonderer Datenkategorien und zum Beschäftigtendatenschutz.
Auftragsverarbeitung: Worauf Sie bei KI-Anbietern achten müssen
Wenn Sie eine externe KI-Lösung nutzen - etwa ChatGPT, Microsoft Copilot oder einen spezialisierten KI-Dienst - verwendet der Dienstleister Daten in Ihrem Auftrag. Die DSGVO verlangt dafür einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28. Ohne diesen Vertrag ist die Nutzung rechtswidrig, unabhängig davon, wie gut die Lösung funktioniert. Laut einer Analyse des Hamburgischen Beauftragten für Datenschutz fehlt dieser Vertrag bei einem erheblichen Teil der im Mittelstand genutzten KI-Dienste.
Ein Auftragsverarbeitungsvertrag für KI-Dienste muss mehr abdecken als ein Standard-AVV für Cloud-Dienste. Klären Sie diese Punkte, bevor Sie eine Lösung freigeben:
- Datenstandort: Wo werden die Daten gespeichert? Server in der EU oder im EWR sind die sicherste Option. Bei US-Dienstleistern klären Sie, ob ein Angemessenheitsbeschluss oder Standardvertragsklauseln vorliegen.
- Trainingsdaten-Nutzung: Verwendet der Anbieter Ihre Eingaben, um sein KI-Modell zu trainieren? Bei vielen Consumer-Versionen ist das der Fall. Enterprise-Versionen bieten hier bessere Kontrolle.
- Subunternehmer: Welche weiteren Dienstleister sind an der Verarbeitung beteiligt? Gerade bei Cloud-basierten KI-Diensten sind oft mehrere Subprozessoren im Spiel.
- Löschfristen: Wie lange speichert der Dienstleister Ihre Daten und Prompts? Können Sie die Löschung aktiv anstoßen?
- Technische und organisatorische Maßnahmen (TOM): Welche Sicherheitsmaßnahmen setzt der Dienstleister um - Verschlüsselung, Zugriffskontrollen, Protokollierung?
Einen detaillierten Vergleich gängiger KI-Lösungen nach DSGVO-Kriterien finden Sie in unserem Artikel zu DSGVO-konformen KI-Tools.
Braucht mein Unternehmen eine Datenschutz-Folgenabschätzung für KI?
Die Frage nach der Datenschutz-Folgenabschätzung (DSFA) kommt bei jedem KI-Projekt auf: Nach Art. 35 DSGVO ist sie Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Bei KI-Systemen trifft das häufiger zu als viele Unternehmen vermuten. Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe zu KI und Datenschutz 2024 klargestellt: Systeme, die automatisiert Profile erstellen, Entscheidungen über Personen treffen oder große Mengen personenbezogener Daten verwenden, lösen in der Regel die Pflicht zur Risikoanalyse aus.
Wann eine Risikoanalyse zwingend ist
Die deutschen Aufsichtsbehörden führen sogenannte Blacklists mit Verarbeitungsvorgängen, die immer eine solche Analyse erfordern. Für KI-Projekte gilt: Sobald zwei der folgenden Kriterien zutreffen, sollten Sie eine Risikoanalyse durchführen:
- Systematische Bewertung persönlicher Aspekte (Profiling)
- Automatisierte Entscheidungen mit rechtlicher Wirkung
- Umfangreiche Verarbeitung besonderer Datenkategorien
- Systematische Überwachung öffentlich zugänglicher Bereiche
- Einsatz innovativer Technologien (künstliche Intelligenz fällt regelmäßig darunter)
- Verarbeitung in großem Umfang
Eine solche Analyse ist in der Praxis kein Mammutprojekt. Sie dokumentieren das KI-System, beschreiben die Datenflüsse, bewerten die Risiken und definieren technische und organisatorische Gegenmaßnahmen. Viele Datenschutzbeauftragte nutzen dafür standardisierte Vorlagen, die Behörden zur Verfügung stellen. Der Aufwand liegt bei einem typischen KI-Projekt im Mittelstand bei zwei bis fünf Arbeitstagen. Wer die Risikoanalyse trotz Pflicht unterlässt, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes nach Art. 83 Abs. 4 DSGVO.
KI-Lösungen nach Datenschutz-Kriterien auswählen
Die Wahl der richtigen KI-Lösung entscheidet maßgeblich darüber, wie aufwendig der datenschutzkonforme Einsatz wird. Manche Hersteller machen es Unternehmen leicht, andere erfordern umfangreiche technische und organisatorische Zusatzmaßnahmen. Bewerten Sie vor jeder Auswahlentscheidung diese Kriterien systematisch - die folgende Checkliste hilft bei der Einordnung.
| Kriterium | Hohes Schutzniveau | Mittleres Schutzniveau | Geringes Schutzniveau |
|---|---|---|---|
| Serverstandort | EU/EWR | USA mit Standardvertragsklauseln | Drittland ohne Abkommen |
| Trainingsdaten | Keine Nutzung Ihrer Daten | Opt-out möglich | Daten fließen ins Training |
| AVV | DSGVO-konformer AVV verfügbar | AVV auf Anfrage | Kein AVV angeboten |
| Datenlöschung | Sofort nach Verarbeitung | Nach definierten Fristen | Unklar oder nicht möglich |
| Verschlüsselung | Ende-zu-Ende | Transportverschlüsselung | Keine Angaben |
| Zertifizierungen | ISO 27001, SOC 2 | Teilweise vorhanden | Keine |
Enterprise-Versionen von ChatGPT, Microsoft Copilot oder Claude bieten in der Regel ein deutlich höheres Datenschutzniveau als Consumer-Varianten. Achten Sie auf Zertifizierungen wie ISO 27001 - viele Hersteller zeigen das entsprechende Logo auf ihrer Website. Microsoft 365 Copilot nutzt Daten innerhalb der bestehenden Tenant-Grenzen. OpenAI bietet mit der ChatGPT Enterprise-Version und der API separate Konditionen, bei denen Eingabedaten nicht für das Modelltraining genutzt werden. Google Gemini bietet für Geschäftskunden ebenfalls Datenschutz-Optionen, die über die Consumer-Version hinausgehen. Auch lokale KI-Lösungen auf eigenen Servern können eine Alternative sein, erfordern aber mehr technisches Know-how bei Entwicklung und laufender Wartung.
Wie erstelle ich eine interne KI-Richtlinie für den Datenschutz?
Die Entwicklung einer internen KI-Richtlinie ist ein zentraler Schritt für den datenschutzkonformen KI-Einsatz im Unternehmen. Ohne verbindliche Vorgaben entscheidet jeder Mitarbeiter selbst, welche Daten er in welche Lösung eingibt. Das Ergebnis ist ein unkontrolliertes Risiko, das kein Datenschutzbeauftragter verantworten kann. Die Richtlinie muss nicht 50 Seiten umfassen - fünf Kernbereiche reichen für den Anfang.
Fünf Bausteine einer wirksamen KI-Richtlinie
- Freigegebene Anwendungen: Welche KI-Lösungen dürfen Mitarbeiter nutzen, für welche Zwecke? Erstellen Sie eine Positivliste statt einer Verbotsliste.
- Datenklassifizierung: Welche Daten dürfen in KI-Systeme eingegeben werden? Definieren Sie klare Kategorien - von “unbedenklich” (öffentlich verfügbare Informationen) bis “verboten” (personenbezogene Kundendaten, Geschäftsgeheimnisse).
- Freigabeprozess: Wer entscheidet über die Einführung neuer KI-Anwendungen? Der Datenschutzbeauftragte muss vor der Freigabe eingebunden werden.
- Protokollierung: Wie wird dokumentiert, welche KI-Systeme mit welchen Daten arbeiten? Das ist für den Datenschutz nach DSGVO ebenso relevant wie für den EU AI Act.
- Eskalation: An wen wenden sich Mitarbeiter bei Fragen oder Datenschutzvorfällen im Umgang mit KI?
Einen ausführlichen Leitfaden mit Muster-Vorlage finden Sie in unserem Artikel zur KI-Richtlinie für Unternehmen.
Mitarbeiterschulung: Datenschutzrisiken im KI-Alltag erkennen
Die beste Richtlinie nützt wenig, wenn Mitarbeiter sie nicht kennen oder nicht verstehen. Gerade beim KI-Einsatz ist Schulung keine optionale Ergänzung, sondern eine gesetzliche Anforderung. Art. 39 Abs. 1 lit. b DSGVO verpflichtet den Datenschutzbeauftragten zur Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter. Und die KI-Verordnung der EU ergänzt in Art. 4 eine eigene KI-Kompetenzverpflichtung für alle Betreiber von KI-Systemen.
Schulungen zum datenschutzkonformen Umgang mit KI sollten drei Schwerpunkte setzen:
- Daten erkennen: Mitarbeiter müssen einschätzen können, ob eine Information personenbezogen ist. “Unser Kunde aus München mit der Bestellung über 50.000 Euro” kann bereits identifizierbar sein, selbst ohne Klarnamen.
- Eingaben kontrollieren: Keine Kundennamen, E-Mail-Adressen oder Vertragsdaten in Consumer-KI-Dienste eingeben. Stattdessen anonymisieren oder auf freigegebene Enterprise-Lösungen ausweichen.
- Ergebnisse prüfen: KI-generierte Inhalte können verzerrte oder ungenaue Informationen liefern. Mitarbeiter müssen wissen, dass sie für die Richtigkeit der Ergebnisse verantwortlich bleiben.
Schulungen wirken am besten, wenn sie konkrete Szenarien aus dem Arbeitsalltag durchspielen. Ein Vertriebsmitarbeiter braucht andere Beispiele als die Buchhaltung oder die Personalabteilung. Planen Sie mindestens eine jährliche Auffrischung und eine Kurzschulung bei Einführung neuer KI-Anwendungen.
Häufige Fehler beim datenschutzkonformen KI-Einsatz
Selbst Unternehmen mit gutem Datenschutzbewusstsein machen bei der KI-Einführung wiederkehrende Fehler. Die fünf häufigsten lassen sich mit überschaubarem Aufwand vermeiden.
KI-Dienste ohne Auftragsverarbeitungsvertrag nutzen
Viele Teams starten mit der kostenlosen Version eines KI-Dienstes, weil die Einstiegshürde niedrig ist. Was sie dabei übersehen: Ohne AVV ist jede Nutzung mit personenbezogenen Daten ein DSGVO-Verstoß. Prüfen Sie vor dem ersten Prompt, ob ein Auftragsverarbeitungsvertrag vorliegt und ob er die KI-spezifischen Punkte abdeckt.
Datenschutzbeauftragten erst nachträglich einbinden
Der Datenschutzbeauftragte sollte nicht erst erfahren, dass KI-Lösungen im Einsatz sind, wenn ein Problem auftritt. Binden Sie ihn von Anfang an ein - idealerweise bereits in der Evaluierungsphase, spätestens vor dem Rollout.
Consumer- und Enterprise-Versionen gleichsetzen
ChatGPT Free und ChatGPT Enterprise unterscheiden sich fundamental im Datenschutz. Die Consumer-Version kann Eingaben für das Modelltraining nutzen, die Enterprise-Version nicht. Diese Unterscheidung ist für die DSGVO-Konformität und den Schutz personenbezogener Daten entscheidend und gilt analog für andere Hersteller wie Google Gemini oder Anthropic Claude.
Keine Dokumentation der KI-Nutzung
Die DSGVO verlangt Nachweisbarkeit. Wenn Ihr Unternehmen nicht dokumentieren kann, welche KI-Systeme welche Daten nutzen, haben Sie im Fall einer Prüfung durch die Aufsichtsbehörde ein Problem. Führen Sie ein KI-Verzeichnis als Teil Ihres Verarbeitungsverzeichnisses nach Art. 30 DSGVO. Tragen Sie jede KI-Lösung mit Dienstleister, Datenarten, Rechtsgrundlage und Löschfristen ein.
Betroffenenrechte nicht berücksichtigen
Personen, deren Daten durch KI verarbeitet werden, haben Auskunfts-, Berichtigungs- und Löschungsrechte nach Art. 15 bis 17 DSGVO. Stellen Sie sicher, dass Sie diese Anfragen auch dann innerhalb der gesetzlichen Frist von einem Monat beantworten können, wenn die Verarbeitung in einem externen KI-System stattfindet. Die Behörden prüfen zunehmend, ob Unternehmen die Rechte Betroffener bei KI-gestützten Prozessen wahren. Mehr zur rechtlichen Gesamteinordnung erfahren Sie in unserem Leitfaden zu KI Compliance im Mittelstand.
Datenschutz als Einführungssystem nutzen
KI datenschutzkonform einzusetzen ist kein Sonderprojekt, sondern ein strukturierter Prozess mit klaren Schritten. Wer Daten klassifiziert, Dienstleister bewertet, eine interne Richtlinie aufstellt und Mitarbeiter schult, schafft die Grundlage für einen KI-Einsatz, der rechtlich sicher und wirtschaftlich sinnvoll ist. Der Datenschutz wird dabei nicht zum Bremser, sondern zum Qualitätsfilter: Er zwingt Unternehmen, ihre KI-Projekte von Anfang an sauber aufzusetzen - im Einklang mit den Vorgaben von DSGVO und EU AI Act.
Der erste Schritt: Stellen Sie eine Übersicht aller KI-Lösungen zusammen, die in Ihrem Unternehmen bereits im Einsatz sind. Kontrollieren Sie für jede Lösung, ob ein AVV vorliegt und welche Daten genutzt werden. Diese Bestandsaufnahme zeigt Ihnen sofort, wo Handlungsbedarf besteht. Einen Link zu weiterführenden Informationen und unserer Datenschutz-Checkliste finden Sie auf unserer Website.
Sie haben Fragen zum datenschutzkonformen KI-Einsatz? Nehmen Sie Kontakt auf - wir beraten Sie unverbindlich. Abonnieren Sie auch unseren Newsletter für regelmäßige Updates zu Datenschutz und KI.
Häufige Fragen
Was bedeutet KI datenschutzkonform?
KI datenschutzkonform bedeutet, dass ein Unternehmen künstliche Intelligenz so einsetzt, dass alle Anforderungen der DSGVO und des EU AI Acts eingehalten werden. Dazu gehören insbesondere eine saubere Rechtsgrundlage für die Datenverarbeitung, ein Auftragsverarbeitungsvertrag mit dem Anbieter, transparente Information der Betroffenen und technische Schutzmaßnahmen für die Sicherheit personenbezogener Daten.
Welche DSGVO-Artikel sind beim KI-Einsatz besonders relevant?
Die wichtigsten Artikel sind Art. 5 (Grundsätze der Verarbeitung), Art. 6 (Rechtsgrundlagen), Art. 13 und 14 (Informationspflichten), Art. 22 (automatisierte Einzelentscheidungen), Art. 28 (Auftragsverarbeitung), Art. 30 (Verarbeitungsverzeichnis) und Art. 35 (Datenschutz-Folgenabschätzung). Je nach KI-Lösung können weitere Artikel greifen. Auch das BDSG enthält relevante Regelungen. Einen Link zur vollständigen Verordnung finden Sie auf der Internetseite der EU.
Dürfen Mitarbeiter ChatGPT am Arbeitsplatz nutzen?
Ja, aber nur unter bestimmten Voraussetzungen. Das Unternehmen muss eine zugelassene KI-Lösung mit Auftragsverarbeitungsvertrag zur Verfügung stellen - in der Regel eine Enterprise-Version. Mitarbeiter dürfen keine personenbezogenen Daten, Geschäftsgeheimnisse oder vertrauliche Kundeninformationen in Consumer-Versionen eingeben. Eine interne KI-Richtlinie mit klaren Regeln regelt, was erlaubt ist und was nicht. Bei Fragen zum Datenschutz sollten sich Mitarbeiter an den Datenschutzbeauftragten wenden.
Ist eine Datenschutz-Folgenabschätzung für jede KI-Anwendung Pflicht?
Nein, nicht für jede. Die Frage hängt vom konkreten Risiko ab: Eine DSFA ist nach Art. 35 DSGVO nur dann Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt. Bei KI-Systemen, die Profiling betreiben, automatisierte Entscheidungen treffen oder große Mengen personenbezogener Daten verwenden, ist eine DSFA in der Regel erforderlich. Bei rein internen Anwendungen mit anonymisierten Daten kann sie entfallen.
Was muss in einem Auftragsverarbeitungsvertrag für KI-Tools stehen?
Ein AVV für KI-Tools muss den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Datenverarbeitung, die Kategorien betroffener Personen und Datenarten, Weisungsrechte des Auftraggebers sowie technische und organisatorische Maßnahmen regeln. Zusätzlich sollte er klären, ob der Hersteller Eingabedaten für das Modelltraining nutzt und welche Subunternehmer beteiligt sind. OpenAI, Microsoft und andere Hersteller stellen entsprechende Verträge für ihre Enterprise-Versionen bereit.
Welche KI-Lösungen sind DSGVO-konform einsetzbar?
Grundsätzlich kann jede KI-Lösung DSGVO-konform eingesetzt werden, wenn die rechtlichen und technischen Rahmenbedingungen stimmen - ob in Industrie, Gesundheit oder Finanzbranche. Enterprise-Versionen von ChatGPT, Microsoft Copilot und Claude bieten in der Regel bessere Voraussetzungen als Consumer-Varianten - achten Sie auf Zertifizierungen und das entsprechende Logo des Herstellers. Lokale Open-Source-Lösungen auf eigenen Servern bieten das höchste Maß an Datenkontrolle, erfordern aber technisches Know-how.
Muss ich Kunden informieren, wenn ich KI einsetze?
Ja, wenn personenbezogene Daten der Kunden durch KI-Systeme genutzt werden. Die DSGVO verlangt in Art. 13 und 14 eine transparente Information über den Zweck und die Art der Verarbeitung. Das umfasst auch den Hinweis auf automatisierte Entscheidungsfindung nach Art. 22 - jede betroffene Person hat das Recht auf entsprechende Auskunft. Passen Sie Ihre Datenschutzerklärung entsprechend an und informieren Sie Kunden proaktiv über den KI-Einsatz.
Was passiert bei einem DSGVO-Verstoß durch KI-Nutzung?
DSGVO-Verstöße können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen. Daneben drohen Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO. Die Aufsichtsbehörden können außerdem Verarbeitungsvorgänge untersagen, was im schlimmsten Fall den Stopp einer laufenden KI-Lösung bedeutet. Ein frühzeitiger Kontakt zur zuständigen Aufsichtsbehörde kann im Ernstfall entscheidend sein.
Wie oft sollten Mitarbeiter zum Thema KI und Datenschutz geschult werden?
Mindestens einmal jährlich sollte eine Auffrischungsschulung stattfinden. Zusätzlich ist eine Kurzschulung bei der Einführung neuer KI-Anwendungen oder bei wesentlichen Änderungen an bestehenden Systemen sinnvoll. Art. 39 DSGVO und Art. 4 des EU AI Acts verpflichten Unternehmen, ihre Mitarbeiter im Umgang mit personenbezogenen Daten und KI-Systemen zu sensibilisieren. Abonnieren Sie unseren Newsletter für aktuelle Hinweise zu diesem Thema.
Reicht ein Verbot von KI-Diensten als Datenschutzstrategie?
Nein. Ein pauschales Verbot von KI-Lösungen führt in der Praxis dazu, dass Mitarbeiter auf eigene Faust Consumer-Versionen nutzen - sogenannte Schatten-KI. Die Risiken für den Datenschutz steigen dadurch erheblich. Stattdessen sollten Unternehmen sichere, freigegebene KI-Lösungen bereitstellen und klare Nutzungsregeln definieren. So behalten Datenschutzbeauftragte die Kontrolle und Mitarbeiter können produktiv mit KI arbeiten.
Sie möchten KI in Ihrem Unternehmen einsetzen? Sprechen Sie uns an - wir beraten Sie unverbindlich.