10. März 2025KI, DSGVO, Datenschutz, Recht

DSGVO und KI – Was Unternehmen wissen müssen

Generative KI und Datenschutz schließen sich nicht aus. Ein Überblick über die wichtigsten Regeln und praktische Tipps.

Viele Unternehmen zögern beim KI-Einsatz aus Angst vor Datenschutzverstößen. Dabei ist der DSGVO-konforme Einsatz generativer KI durchaus möglich – wenn man einige Grundregeln beachtet.

Die wichtigsten Fragen

Darf ich Kundendaten in KI-Tools eingeben?

Grundsätzlich: Nein, zumindest nicht in kostenlose, cloudbasierte Tools wie die freie Version von ChatGPT. Diese Tools verwenden eingegebene Daten potenziell zum Training. Für personenbezogene Daten ist das problematisch.

Die Lösung: Nutzen Sie Enterprise-Versionen (z. B. ChatGPT Enterprise, Microsoft Copilot mit Datenschutzvereinbarung) oder On-Premise-Modelle, die lokal laufen.

Muss ich eine Datenschutz-Folgenabschätzung machen?

Wenn KI-Tools personenbezogene Daten verarbeiten, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO in vielen Fällen erforderlich. Das klingt aufwendig, ist aber bei standardisierten Anwendungen überschaubar.

Was ist mit dem AI Act der EU?

Der EU AI Act tritt schrittweise in Kraft und klassifiziert KI-Systeme nach Risikostufen. Für die meisten Büroanwendungen (Texterstellung, Übersetzung, Datenanalyse) gelten minimale Anforderungen. Hochrisiko-Anwendungen (z. B. automatisierte Personalentscheidungen) unterliegen strengeren Regeln.

Praktische Tipps für Unternehmen

  1. Inventar erstellen: Welche KI-Tools werden bereits genutzt? Oft ist die Schatten-IT größer als gedacht
  2. Nutzungsrichtlinie formulieren: Klare Regeln, welche Daten in welche Tools eingegeben werden dürfen
  3. Auftragsverarbeitungsvertrag prüfen: Bei Cloud-Tools einen AVV mit dem Anbieter abschließen
  4. Mitarbeiter schulen: Nicht nur technisch, sondern auch zum Thema Datenschutz
  5. Anonymisieren: Wenn möglich, personenbezogene Daten vor der KI-Verarbeitung anonymisieren

DSGVO-konforme KI-Tools

Einige Anbieter haben sich explizit auf den europäischen Markt ausgerichtet:

  • Microsoft Copilot (mit EU Data Boundary)
  • DeepL (Server in der EU)
  • Aleph Alpha (deutsches KI-Unternehmen)
  • Mistral AI (französisches KI-Unternehmen)

Fazit

DSGVO und KI schließen sich nicht aus. Mit der richtigen Tool-Auswahl, klaren Richtlinien und geschulten Mitarbeitern können Unternehmen generative KI datenschutzkonform einsetzen. Der Schlüssel liegt in der bewussten Entscheidung: Welche Daten gehen in welches Tool?

KI im Handwerk – Der praktische Einstieg für kleine BetriebeKI-Strategie in 5 Schritten – So starten Unternehmen richtig

KI in Ihrem Unternehmen einführen?

Die KI-Kampagne unterstützt Sie mit Strategie, Praxis-Tipps und einer aktiven Community.

Kontakt aufnehmenUse Cases ansehen