KI DSGVO-konform einsetzen: Leitfaden für den Mittelstand

KI DSGVO-konform einzusetzen ist für den deutschen Mittelstand zur zentralen Aufgabe geworden. Laut einer Bitkom-Studie nennen 85 Prozent der befragten Unternehmen Datenschutzanforderungen als größtes Hemmnis beim Einsatz generativer KI. Gleichzeitig verarbeiten immer mehr Betriebe personenbezogene Daten mit KI-Systemen, ohne ihre Compliance-Pflichten vollständig geklärt zu haben. Dieser Leitfaden zeigt, welche Anforderungen die Datenschutz-Grundverordnung an den KI-Einsatz stellt, wie Sie eine Datenschutz-Folgenabschätzung durchführen und welche technischen und organisatorischen Maßnahmen Ihr Unternehmen absichern.

Kennzahlen auf einen Blick

Kennzahl Wert
Datenschutz als KI-Hemmnis 85 % der Unternehmen
KI-Nutzung im Mittelstand (EU) 17 % der KMU, 55 % der Großunternehmen
DSGVO-Bußgelder 2024 (europaweit) 1,2 Mrd. Euro
Unternehmen ohne KI-Governance 63 %
Durchschnittliche Kosten einer Datenpanne 4,4 Mio. USD

Quellen: Bitkom 2023, Eurostat 2025, DLA Piper 2025, IBM/Ponemon 2025

Kennzahl	Wert
Datenschutz als KI-Hemmnis	85 % der Unternehmen
KI-Nutzung im Mittelstand (EU)	17 % der KMU, 55 % der Großunternehmen
DSGVO-Bußgelder 2024 (europaweit)	1,2 Mrd. Euro
Unternehmen ohne KI-Governance	63 %
Durchschnittliche Kosten einer Datenpanne	4,4 Mio. USD

Warum KI und DSGVO kein Widerspruch sind

Viele Entscheider gehen davon aus, dass Datenschutz und Künstliche Intelligenz sich gegenseitig ausschließen. Das stimmt nicht. Die DSGVO verbietet den Einsatz von KI nicht, sie definiert Spielregeln dafür. Wer KI DSGVO-konform betreiben will, muss diese Spielregeln kennen und einhalten. Das lohnt sich: Unternehmen, die frühzeitig in DSGVO-konforme KI-Prozesse investieren, vermeiden Bußgelder, die laut DLA Piper europaweit allein 2024 bei 1,2 Milliarden Euro lagen.

Diese DSGVO-Grundsätze betreffen KI direkt

Die Datenschutz-Grundverordnung formuliert sechs Grundsätze in Artikel 5, die bei jeder KI-Anwendung greifen. Drei davon sind für den praktischen KI-Einsatz besonders relevant:

Zweckbindung: Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Kundendaten aus dem CRM in ein KI-Training einzuspeisen, erfordert eine eigene Rechtsgrundlage.
Datenminimierung: KI-Systeme dürfen nur die Daten verarbeiten, die für den konkreten Zweck notwendig sind. Vor jeder Eingabe in ein KI-Tool gilt die Frage: Braucht das System diese Information wirklich?
Transparenz: Betroffene müssen wissen, dass ihre Daten durch eine KI verarbeitet werden. Die Transparenzpflicht nach Artikel 13 und 14 DSGVO verlangt nachvollziehbare Informationen über die zugrunde liegende Logik und die Tragweite der Verarbeitung.

Daneben verlangt Artikel 25 DSGVO Privacy by Design und Privacy by Default. Das bedeutet: KI-Systeme müssen von Anfang an datenschutzfreundlich konfiguriert sein. Die Standardeinstellungen müssen die datenschutzfreundlichste Variante abbilden, etwa Chat-Verläufe deaktivieren oder Training-Opt-out aktivieren.

Was der EU AI Act zusätzlich fordert

Seit August 2024 gilt neben der DSGVO der EU AI Act, die weltweit erste umfassende KI-Verordnung. Beide Regelwerke greifen parallel: Die DSGVO regelt den Umgang mit personenbezogenen Daten, der AI Act definiert Anforderungen an KI-Systeme selbst. Seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken und die Schulungspflicht nach Artikel 4: Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass seine Mitarbeiter über ausreichende KI-Kompetenz verfügen. Die vollen Hochrisiko-Anforderungen greifen ab August 2026 für neue Systeme und ab August 2027 für bestehende Systeme. Bußgelder beim AI Act reichen bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes.

Welche Rechtsgrundlage gilt für KI-Anwendungen?

Wer KI DSGVO-konform einsetzen möchte, braucht für jeden Anwendungsfall eine dokumentierte Rechtsgrundlage. Drei Optionen kommen in Frage: die Einwilligung nach Artikel 6 Absatz 1 lit. a, das berechtigte Interesse nach lit. f und die Vertragserfüllung nach lit. b. Welche greift, hängt vom konkreten Anwendungsfall ab. Ohne eine dokumentierte Rechtsgrundlage ist jede Verarbeitung personenbezogener Daten durch ein KI-System rechtswidrig.

Berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f

In der Praxis hat sich das berechtigte Interesse als häufigste Rechtsgrundlage für den KI-Einsatz im Unternehmenskontext durchgesetzt. Die Voraussetzung: Eine sorgfältige Interessenabwägung, die dokumentiert, warum das Unternehmensinteresse an der KI-Verarbeitung die Rechte der Betroffenen nicht überwiegt. Ein Beispiel: Ein Handelsunternehmen setzt KI zur Bedarfsprognose ein und verarbeitet dabei anonymisierte Bestellhistorien. Hier lässt sich ein berechtigtes Interesse gut begründen. Bei Mitarbeiter-Scoring oder Bewerberauswahl durch KI sieht die Abwägung dagegen anders aus.

Einwilligung nach Artikel 6 Absatz 1 lit. a

Die Einwilligung ist problematisch bei KI-Systemen. Sie muss freiwillig, informiert und jederzeit widerrufbar sein. Widerruft ein Betroffener seine Einwilligung, müssen seine Daten gelöscht werden. Ohne ein funktionierendes Löschkonzept für KI-verarbeitete Daten wird das schwierig: Bei trainierten KI-Modellen ist Machine Unlearning noch kein gelöstes Problem. Die Einwilligung eignet sich daher eher für klar abgegrenzte Anwendungen wie einen KI-Chatbot auf der Website, bei dem der Nutzer vor der Nutzung aktiv zustimmt.

Vertragserfüllung nach Artikel 6 Absatz 1 lit. b

Wenn die KI-Verarbeitung direkt zur Erfüllung eines Vertrags notwendig ist, kann diese Rechtsgrundlage greifen. Ein Beispiel: Ein Versicherungsunternehmen nutzt KI zur Schadensbearbeitung, die vertraglich vereinbart ist. Die Hürde ist hoch. Die Verarbeitung muss objektiv notwendig sein, nicht nur praktisch.

Braucht man eine Datenschutz-Folgenabschätzung für KI-Systeme?

Eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO ist bei den meisten KI-Anwendungen Pflicht, die personenbezogene Daten verarbeiten. Die Risikobewertung bildet das Herzstück dieser Analyse. Die Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden geht davon aus, dass KI-Systeme häufig ein hohes Risiko für die Rechte Betroffener erzeugen. Wer KI DSGVO-konform betreiben will, muss die DSFA vor der Inbetriebnahme abschließen, nicht danach.

So führen Sie eine DSFA in fünf Schritten durch

Der Prozess folgt einer klaren Struktur, die auch ohne eigene Rechtsabteilung umsetzbar ist:

Verarbeitung beschreiben: Welche Daten verarbeitet das KI-System, zu welchem Zweck, auf welcher Rechtsgrundlage?
Notwendigkeit und Verhältnismäßigkeit prüfen: Gibt es datenschutzfreundlichere Alternativen? Ist der Umfang der Datenverarbeitung angemessen?
Risiken identifizieren: Welche Gefahren bestehen für die Rechte der Betroffenen? Mögliche Diskriminierung, fehlerhafte automatisierte Entscheidungen, Datenlecks?
Schutzmaßnahmen definieren: Technische und organisatorische Maßnahmen festlegen, die die identifizierten Risiken minimieren.
Dokumentieren und prüfen: Ergebnisse schriftlich festhalten, den Datenschutzbeauftragten einbeziehen und bei besonders hohem Restrisiko die zuständige Aufsichtsbehörde konsultieren.

Typische Stolperfallen bei der DSFA

Viele Unternehmen behandeln die DSFA als bürokratische Pflichtübung nach der Implementierung. Das ist ein Fehler. Die DSFA gehört an den Anfang des Projekts, in die Designphase. Ein weiterer häufiger Fehler: Der Datenschutzbeauftragte wird erst zur Freigabe einbezogen, statt von Beginn an mitzuarbeiten. Laut Cisco Privacy Benchmark Study 2026 verfügen nur 23 Prozent der Unternehmen über ein dediziertes KI-Governance-Komitee, und nur 12 Prozent bezeichnen dieses als ausgereift.

KI DSGVO-konform nutzen: Checkliste für den Mittelstand

KI DSGVO-konform zu nutzen erfordert Maßnahmen auf drei Ebenen: vertraglich, technisch und organisatorisch. Die folgende Checkliste deckt die wichtigsten Punkte ab, die Unternehmen vor und während des KI-Einsatzes prüfen müssen. Checklisten sind bei Compliance-Themen ein bewährtes Instrument, weil sie sicherstellen, dass kein Schritt übersehen wird.

Rechtsgrundlage für jeden KI-Anwendungsfall dokumentieren
DSFA vor Inbetriebnahme durchführen (bei hohem Risiko)
Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter abschließen
Drittlandtransfer prüfen und absichern
Verarbeitungsverzeichnis um KI-Verarbeitungstätigkeiten erweitern
Datenschutzerklärung um KI-spezifische Angaben ergänzen
Interne KI-Richtlinie erstellen und durchsetzen
Mitarbeiterschulungen durchführen und dokumentieren

Auftragsverarbeitung und Drittlandtransfer prüfen

Bei externen KI-Anbietern wie ChatGPT, Claude oder Gemini ist ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zwingend. Prüfen Sie dabei einen kritischen Punkt: Nutzt der Anbieter Ihre Daten zum Training eigener Modelle? Falls ja, liegt kein Auftragsverarbeitungsverhältnis vor, sondern eine eigenständige Verarbeitung durch den Anbieter. Bei US-Anbietern kommt der Drittlandtransfer hinzu. Das EU-US Data Privacy Framework ermöglicht seit Juli 2023 die Datenübermittlung an zertifizierte US-Unternehmen, birgt aber ein Restrisiko: Der US-amerikanische CLOUD Act erlaubt Behördenzugriffe auch auf Daten in EU-Rechenzentren. Zusätzlich empfehlen Datenschützer Standardvertragsklauseln (SCC) als Absicherung.

Technische und organisatorische Maßnahmen (TOMs) festlegen

Artikel 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen. Für KI-Systeme bedeutet das konkret: End-to-End-Verschlüsselung für Daten in Transit und at Rest, Pseudonymisierung personenbezogener Daten vor der Eingabe in KI-Tools, Zugriffskontrollen mit Rollen- und Rechtekonzept, Audit-Logging aller KI-Interaktionen mit personenbezogenen Daten und Privacy-by-Default-Einstellungen aktivieren (Training-Opt-out, Chat-Verlauf aus). Die Eurostat-Erhebung 2025 zeigt: 49 Prozent der EU-Unternehmen, die KI nicht nutzen, nennen Datenschutzbedenken als Grund. Viele dieser Bedenken lassen sich durch die richtigen TOMs ausräumen.

KI-Richtlinie im Unternehmen einführen

Eine interne KI-Richtlinie regelt, welche Tools zugelassen sind, welche Daten eingegeben werden dürfen und wie die Qualitätskontrolle aussieht. Ohne eine solche Richtlinie entsteht Schatten-IT: Mitarbeiter nutzen private KI-Konten für berufliche Aufgaben. Das Unternehmen haftet trotzdem. Laut IBM fehlten bei 63 Prozent der Unternehmen KI-Governance-Richtlinien zur Verhinderung von Shadow AI. Bei 97 Prozent der Unternehmen mit KI-Sicherheitsvorfällen fehlten angemessene Zugriffskontrollen.

Ist ChatGPT DSGVO-konform einsetzbar?

ChatGPT und vergleichbare Large Language Models lassen sich unter bestimmten Voraussetzungen DSGVO-konform einsetzen. Entscheidend ist die gewählte Variante: Kostenlose Versionen sind für die geschäftliche Nutzung mit personenbezogenen Daten grundsätzlich nicht geeignet, weil kein Auftragsverarbeitungsvertrag verfügbar ist und Daten zum Modelltraining verwendet werden können. Erst Business- und Enterprise-Tarife bieten die nötige vertragliche Grundlage.

KI-Tool	AVV verfügbar	Training-Opt-out	EU-Datenresidenz	DSGVO-Eignung
ChatGPT Team/Enterprise	Ja	Standard: aus	Nein (USA)	Bedingt geeignet
Microsoft Copilot (M365)	Ja (M365-AVV)	Standard: aus	Ja (EU)	Gut geeignet
Google Gemini Workspace	Ja (Google Cloud)	Standard: aus	Wählbar	Bedingt geeignet
Claude for Work/API	Ja	Standard: aus	Nein (USA)	Bedingt geeignet
Lokale Modelle (Llama, Mistral)	Nicht nötig	Entfällt	Eigene Server	Sehr gut geeignet

Für Microsoft-365-Nutzer bietet Copilot den unkompliziertesten Einstieg: Der Auftragsverarbeitungsvertrag steht bereits über den bestehenden M365-Vertrag, und die Daten bleiben in der EU-Infrastruktur. Für besonders sensible Daten, etwa Gesundheitsdaten oder Bewerbungsunterlagen, sind lokale Open-Source-Modelle die sicherste Wahl. Tools wie Ollama oder Open WebUI ermöglichen den Betrieb leistungsfähiger Modelle auf eigener Hardware, ganz ohne Datenübertragung an Dritte. Bereits ein Arbeitsplatzrechner mit 16 GB RAM reicht für kleinere Modelle.

Wie Sie KI-Tools im Unternehmen strategisch auswählen und einführen, erfahren Sie in unserem Leitfaden zu KI für Unternehmen.

Worauf Sie bei Cloud-Diensten achten müssen

Prüfen Sie vor der Nutzung eines Cloud-KI-Dienstes diese vier Punkte: Erstens, ist ein AVV abgeschlossen und inhaltlich geprüft? Zweitens, ist das Training-Opt-out aktiviert? Drittens, wo werden die Daten verarbeitet - und welche Unterauftragnehmer sind beteiligt? Viertens, wie behandelt der Anbieter Löschanfragen nach Artikel 17 DSGVO? Kostenlose Versionen monetarisieren durch Datennutzung. Wer personenbezogene Daten in kostenlosen Cloud-Diensten eingibt, riskiert einen DSGVO-Verstoß. KI DSGVO-konform über Cloud-Anbieter einzusetzen funktioniert nur mit bezahlten Business-Tarifen und geprüftem AVV.

Welche Rolle spielen Betriebsrat und Datenschutzbeauftragter?

Wer KI DSGVO-konform einführen will, muss Datenschutzbeauftragten (DSB) und Betriebsrat frühzeitig einbinden. Das ist keine Empfehlung, sondern gesetzliche Pflicht. Der DSB muss in der Designphase mitarbeiten, die DSFA begleiten, Rechtsgrundlagen prüfen und den AVV bewerten. Der Betriebsrat hat weitreichende Mitbestimmungsrechte nach dem Betriebsverfassungsgesetz.

Wann der Betriebsrat zustimmen muss

Seit der BetrVG-Novelle 2021 ist KI ausdrücklich in Paragraph 90 Absatz 1 Nr. 3 genannt. Der Arbeitgeber muss den Betriebsrat über die Planung von KI-Systemen rechtzeitig und umfassend informieren. Paragraph 87 Absatz 1 Nr. 6 BetrVG greift, sobald ein KI-System dazu geeignet ist, Verhalten oder Leistung von Mitarbeitern zu überwachen - etwa durch Produktivitäts-Tracking oder Sentiment-Analyse. Das betrifft auch automatisierte Entscheidungen im Personalbereich. Bei KI-gestütztem Recruiting kommt Paragraph 95 BetrVG hinzu. Der Betriebsrat darf bei KI-Themen ohne vorherige Zustimmung des Arbeitgebers einen Sachverständigen hinzuziehen, das regelt Paragraph 80 Absatz 3 BetrVG.

So gelingt die Betriebsvereinbarung für KI

Eine Betriebsvereinbarung zum KI-Einsatz schafft Rechtssicherheit und Akzeptanz in der Belegschaft. Sie regelt: welche KI-Tools zugelassen sind, welche Daten verarbeitet werden dürfen, wie Mitarbeiter geschult werden und welches Monitoring stattfindet. Bitkom hat dazu den Leitfaden “KI und Mitbestimmung - Eckpfeiler einer Betriebsvereinbarung” veröffentlicht. Die Empfehlung: Binden Sie den Betriebsrat in der Planungsphase ein, nicht erst bei der Einführung. Transparenz reduziert Widerstände und beschleunigt die Umsetzung.

Bußgelder vermeiden: Häufige DSGVO-Verstöße beim KI-Einsatz

Die niederländische Datenschutzbehörde verhängte 2024 ein Bußgeld von 30,5 Millionen Euro gegen Clearview AI wegen illegaler biometrischer Datensammlung durch KI-Gesichtserkennung. Die italienische Aufsichtsbehörde belegte OpenAI mit 15 Millionen Euro wegen intransparenter Datenverarbeitung bei ChatGPT. Seit Geltung der DSGVO summieren sich die europäischen Bußgelder laut DLA Piper auf 5,88 Milliarden Euro. Deutschland meldete 2024 insgesamt 27.829 Datenpannen, Platz zwei in der EU.

Die fünf häufigsten Fehler und wie Sie sie vermeiden

Fehler	Risiko	Gegenmaßnahme
Kein AVV mit KI-Anbieter	Bußgeld bis 4 % des Jahresumsatzes	AVV vor erster Nutzung abschließen und inhaltlich prüfen
DSFA erst nach Implementierung	Verstoß gegen Art. 35 DSGVO	DSFA in die Designphase einplanen
Mitarbeiter nutzen Gratis-KI-Tools	Unkontrollierter Datenabfluss	KI-Richtlinie einführen, zugelassene Tools definieren
Datenschutzerklärung nicht aktualisiert	Abmahnrisiko nach Art. 13/14 DSGVO	KI-Einsatz in Datenschutzerklärung aufnehmen
Keine Mitarbeiterschulungen	Verstoß gegen Art. 4 AI Act (seit Feb. 2025)	Schulungen dokumentieren und jährlich auffrischen

Ein mittelständischer Handwerksbetrieb mit 40 Mitarbeitern kann diese fünf Punkte innerhalb weniger Wochen abarbeiten. Die Kosten dafür liegen deutlich unter den Risiken: Ein einzelner DSGVO-Verstoß kann Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen. KI DSGVO-konform aufzusetzen ist günstiger als ein Bußgeldverfahren.

Wer den KI-Einsatz im Mittelstand breiter planen möchte, findet in unserem Artikel zu KI im Mittelstand einen Fahrplan mit Stufenmodell und Förderprogrammen.

KI DSGVO-konform einzusetzen erfordert keine eigene Rechtsabteilung und kein Millionenbudget. Es erfordert einen strukturierten Prozess: Rechtsgrundlage dokumentieren, DSFA durchführen, AVV abschließen, TOMs festlegen, Mitarbeiter schulen. Wer KI DSGVO-konform betreibt, nutzt Künstliche Intelligenz rechtssicher und verschafft sich einen Vorsprung gegenüber Wettbewerbern, die aus Angst vor Datenschutz-Risiken gar nicht erst starten.

Sie möchten KI in Ihrem Unternehmen einsetzen? Sprechen Sie uns an - wir beraten Sie unverbindlich.

Häufige Fragen

Was passiert bei einem DSGVO-Verstoß beim KI-Einsatz?

Bei einem DSGVO-Verstoß im Zusammenhang mit KI drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Zusätzlich können Betroffene Schadensersatz fordern. Die Aufsichtsbehörden können außerdem die Verarbeitung untersagen, was den KI-Betrieb vollständig zum Erliegen bringt.

Ist Microsoft Copilot DSGVO-konform?

Microsoft Copilot im Rahmen von Microsoft 365 gilt als vergleichsweise gut geeignet für den DSGVO-konformen Einsatz. Der Auftragsverarbeitungsvertrag ist über den bestehenden M365-Vertrag abgedeckt, die Datenverarbeitung erfolgt in EU-Rechenzentren und das Training-Opt-out ist standardmäßig aktiviert. Unternehmen sollten dennoch eine Datenschutz-Folgenabschätzung durchführen.

Muss der Betriebsrat bei der Einführung von KI zustimmen?

Ja, in den meisten Fällen. Seit der BetrVG-Novelle 2021 ist KI ausdrücklich in Paragraph 90 BetrVG genannt. Paragraph 87 Absatz 1 Nr. 6 BetrVG greift, sobald ein KI-System dazu geeignet ist, Verhalten oder Leistung von Mitarbeitern zu überwachen. Der Betriebsrat darf bei KI-Themen ohne vorherige Zustimmung des Arbeitgebers einen Sachverständigen hinzuziehen.

Welche KI-Tools sind für den Mittelstand DSGVO-konform?

Lokale Open-Source-Modelle wie Llama oder Mistral bieten die höchste DSGVO-Konformität, weil keine Daten an Dritte übertragen werden. Bei Cloud-Diensten eignen sich Microsoft Copilot (M365), ChatGPT Enterprise und Google Gemini Workspace unter der Voraussetzung, dass ein Auftragsverarbeitungsvertrag abgeschlossen und das Training-Opt-out aktiviert ist. Kostenlose KI-Versionen sind für den geschäftlichen Einsatz mit personenbezogenen Daten nicht geeignet.

Was ist der Unterschied zwischen DSGVO und EU AI Act?

Die DSGVO regelt den Umgang mit personenbezogenen Daten, der EU AI Act definiert Anforderungen an KI-Systeme selbst. Beide Regelwerke gelten parallel und unabhängig voneinander. Der AI Act klassifiziert KI-Systeme nach Risikoklassen und verlangt bei Hochrisiko-Systemen eine Konformitätsbewertung, während die DSGVO eine Datenschutz-Folgenabschätzung fordert.

Brauche ich einen Datenschutzbeauftragten für den KI-Einsatz?

Unternehmen, die nach DSGVO einen Datenschutzbeauftragten bestellt haben, müssen diesen in die Planung und Einführung von KI-Systemen einbeziehen. In Deutschland ist ein DSB für die meisten Unternehmen ab 20 Mitarbeitern Pflicht, die regelmäßig personenbezogene Daten verarbeiten. Der DSB begleitet die Datenschutz-Folgenabschätzung, prüft Rechtsgrundlagen und bewertet Auftragsverarbeitungsverträge.

Können lokale KI-Modelle DSGVO-Probleme lösen?

Lokale KI-Modelle beseitigen das Problem des Drittlandtransfers und der Auftragsverarbeitung, weil keine Daten das Unternehmen verlassen. Die DSGVO-Grundsätze wie Zweckbindung, Datenminimierung und Transparenzpflicht gelten aber auch bei lokalen Modellen. Unternehmen müssen weiterhin dokumentieren, welche Daten sie verarbeiten, und eine DSFA durchführen, wenn personenbezogene Daten im Spiel sind.

Was kostet eine Datenschutz-Folgenabschätzung für KI-Systeme?

Die Kosten variieren je nach Komplexität des KI-Systems und der verarbeiteten Daten. Für einen einzelnen KI-Anwendungsfall im Mittelstand liegt der Aufwand erfahrungsgemäß bei 2.000 bis 8.000 Euro, wenn ein externer Datenschutzberater hinzugezogen wird. Unternehmen mit eigenem Datenschutzbeauftragten können die DSFA intern durchführen und sparen die externen Kosten.

Gilt die DSGVO auch für KI-Training mit personenbezogenen Daten?

Ja, das KI-Training mit personenbezogenen Daten unterliegt vollständig der DSGVO. Die Zweckbindung ist besonders kritisch: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne weiteres für KI-Training verwendet werden. Unternehmen müssen prüfen, ob die ursprüngliche Rechtsgrundlage das Training abdeckt oder ob eine neue Rechtsgrundlage erforderlich ist.

Welche Rechte haben Betroffene bei automatisierten Entscheidungen durch KI?

Artikel 22 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche oder erhebliche Auswirkungen hat. Betroffene haben das Recht auf menschliche Intervention, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Das EuGH-SCHUFA-Urteil hat die Reichweite dieses Artikels deutlich verschärft.

Sie möchten KI in Ihrem Unternehmen einsetzen? Sprechen Sie uns an - wir beraten Sie unverbindlich.