DSGVO & Künstliche Intelligenz
Die EU verschärft die Regeln. Unternehmen, die jetzt nicht handeln, riskieren Bußgelder bis zu 35 Millionen Euro. Gleichzeitig verschenken sie enormes Potenzial, wenn sie KI aus Angst vor der DSGVO gar nicht erst einsetzen. Es gibt einen dritten Weg: KI-Lösungen, die von Grund auf datenschutzkonform gebaut sind.
Risikobewertung
Viele Unternehmen setzen KI bereits ein, ohne die datenschutzrechtlichen Konsequenzen vollständig zu überblicken. Diese fünf Risiken sehen wir in der Praxis am häufigsten.
Jede Verarbeitung personenbezogener Daten durch KI braucht eine Rechtsgrundlage: Einwilligung, Vertragserfüllung oder berechtigtes Interesse. In der Praxis fehlt diese häufig, weil Mitarbeiter KI-Tools eigenständig mit Kundendaten füttern, ohne dass die Rechtsabteilung involviert wurde. Das Ergebnis: Jede einzelne Verarbeitung ist ein Datenschutzverstoß.
Ein Beispiel: Ein HR-Team nutzt ChatGPT, um Bewerbungsunterlagen zusammenzufassen und Kandidatenprofile zu erstellen. Dabei werden Namen, Geburtsdaten, Qualifikationen und Gehaltsvorstellungen an OpenAI-Server in den USA übertragen – ohne Einwilligung der Bewerber, ohne AVV, ohne dokumentierte Rechtsgrundlage. Nach einer Beschwerde eines abgelehnten Bewerbers bei der Landesdatenschutzbehörde droht ein Bußgeldverfahren.
KI-Systeme, die personenbezogene Daten verarbeiten, erfordern in den meisten Fällen eine Datenschutz-Folgenabschätzung (DSFA). Die deutschen Aufsichtsbehörden haben KI-basiertes Profiling und automatisierte Entscheidungsfindung explizit in ihre Positivlisten aufgenommen. Wer keine DSFA durchführt, verstößt bereits vor dem ersten produktiven Einsatz gegen die DSGVO.
ChatGPT, Google Gemini, Microsoft Copilot: Die populärsten KI-Tools verarbeiten Daten auf US-Servern. Seit dem Schrems-II-Urteil des EuGH ist der Transfer personenbezogener Daten in die USA nur mit zusätzlichen Schutzmaßnahmen zulässig. Das EU-US Data Privacy Framework bietet eine Grundlage, deckt aber nicht alle Szenarien ab. Aufsichtsbehörden prüfen zunehmend schärfer.
Ein Beispiel: Ein mittelständisches Unternehmen integriert Microsoft Copilot in sein CRM-System, um Kundenanfragen automatisch zu beantworten. Die KI verarbeitet dabei Kundennamen, E-Mail-Adressen, Bestellhistorien und Support-Tickets – Daten, die über Microsoft-Server in den USA geroutet werden. Ohne eine sorgfältige Prüfung der Standardvertragsklauseln und ein Transfer Impact Assessment ist dieser Datenfluss nach Art. 44 ff. DSGVO unzulässig.
Betroffene haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet. Setzt Ihr Unternehmen KI in HR-Prozessen, Kreditvergabe oder Kundenscoring ein, müssen Sie die Logik erklären können und menschliche Überprüfung sicherstellen.
KI-Systeme verarbeiten häufig große Datenmengen und sind attraktive Angriffsziele. Art. 32 DSGVO verlangt dem Risiko angemessene Sicherheitsmaßnahmen: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen und regelmäßige Überprüfung. Viele Unternehmen behandeln KI-Tools wie jede andere Software und vernachlässigen die besonderen Anforderungen an die Datensicherheit.
Unser Ansatz
DSGVO-Konformität ist keine nachträgliche Checkliste. Sie muss von Anfang an in die Architektur eingebaut sein. Genau das tun wir, wenn wir Geschäftsprozesse automatisieren.
Jedes KI-Projekt beginnt mit einer Datenschutz-Architektur. Wir minimieren die Verarbeitung personenbezogener Daten auf das Notwendige, anonymisieren wo möglich und implementieren Zugriffskontrollen von Tag eins. Datenschutz ist kein Feature, sondern die Grundlage.
Ihre Daten verlassen nie den deutschen Rechtsraum. Wir betreiben KI-Modelle auf KI auf lokalen Servern in deutschen Rechenzentren. Keine Datenübertragung an OpenAI, Google oder Microsoft. Das eliminiert das Drittlandtransfer-Problem vollständig.
Wir setzen Open-Source-Modelle wie Llama und Mistral ein, die lokal betrieben werden. Ihre Kundendaten fließen nie an US-Dienste. Für nicht-sensible Aufgaben wie Texterstellung ohne Personenbezug können Cloud-APIs optional ergänzt werden – strikt getrennt von Ihren Geschäftsdaten.
Jedes KI-Projekt, das personenbezogene Daten verarbeitet, erhält eine dokumentierte Datenschutz-Folgenabschätzung. Wir identifizieren Risiken, definieren Abhilfemaßnahmen und erstellen die Dokumentation, die Ihre Aufsichtsbehörde sehen will – bevor das System live geht.
Alle Daten werden sowohl bei der Übertragung (TLS 1.3) als auch im Ruhezustand (AES-256) verschlüsselt. Wo möglich, pseudonymisieren wir personenbezogene Daten, bevor sie das KI-Modell erreichen. Löschkonzepte mit automatischen Aufbewahrungsfristen stellen sicher, dass Daten nicht länger als nötig gespeichert werden.
DSGVO-konforme KI muss in Ihre bestehende IT-Landschaft passen, ohne neue Datenschutzlücken zu öffnen. Unsere System-Integration verbindet KI-Modelle mit Ihren Bestandssystemen über sichere, überwachte Schnittstellen – mit vollständigem Audit-Trail jeder Datenverarbeitung.
Jede KI-Interaktion wird lückenlos protokolliert: Wer hat wann welche Daten an das Modell übergeben, welche Ausgabe wurde erzeugt und wie wurde sie weiterverarbeitet? Unser Audit-Trail-System erstellt revisionssichere Protokolle, die den Anforderungen der Aufsichtsbehörden nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) vollständig genügen. Bei einer Prüfung können Sie jede einzelne KI-Verarbeitung nachvollziehbar belegen – inklusive Rechtsgrundlage, Zweckbindung und Löschfristen. Diese Dokumentation ist auch für den EU AI Act essenziell, der bei Hochrisiko-Systemen eine umfassende technische Dokumentation und Aufzeichnungspflicht vorschreibt.
Regulierung
Neben der DSGVO tritt der EU AI Act schrittweise in Kraft. Ab 2026 gelten neue Pflichten für alle Unternehmen, die KI-Systeme einsetzen oder entwickeln. Die Verordnung klassifiziert KI-Anwendungen nach Risikoklassen.
Spamfilter, KI-gestützte Empfehlungen, Textgenerierung. Keine besonderen Pflichten, aber Transparenzgebot.
Chatbots, Deepfakes, KI-generierte Inhalte. Kennzeichnungspflicht: Nutzer müssen wissen, dass sie mit KI interagieren.
KI in HR, Kreditscoring, Bewerbermanagement, kritische Infrastruktur. Umfangreiche Dokumentations-, Test- und Überwachungspflichten.
Social Scoring, Echtzeit-Biometrie im öffentlichen Raum, manipulative KI. In der EU verboten.
Was Mittelständler konkret tun müssen: Wenn Sie KI-Systeme der Hochrisiko-Kategorie einsetzen – etwa im Bewerbermanagement oder bei automatisierter Bonitätsprüfung – sind Sie ab 2026 verpflichtet, ein Risikomanagementsystem einzuführen, technische Dokumentation zu erstellen, die Datenqualität sicherzustellen und eine menschliche Aufsicht zu gewährleisten.
Die Bußgelder des EU AI Act gehen über die DSGVO hinaus: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für Verstöße bei verbotenen Praktiken. Für Hochrisiko-Verstöße drohen bis zu 15 Millionen Euro oder 3 % des Umsatzes.
Wir unterstützen Sie bei der Risikoklassifizierung Ihrer KI-Anwendungen, erstellen die erforderliche Dokumentation und implementieren die technischen Maßnahmen, die der AI Act verlangt – integriert in unsere Prozessautomation-Projekte.
Der Zeitplan des EU AI Act – diese Fristen müssen Sie kennen: Die Verordnung (EU) 2024/1689 ist am 1. August 2024 in Kraft getreten und wird stufenweise wirksam. Ab Februar 2025 gelten die Verbote für KI-Systeme mit inakzeptablem Risiko – darunter Social Scoring, manipulative Techniken und Echtzeit-Biometrie im öffentlichen Raum. Ab August 2025 greifen die allgemeinen Pflichten, insbesondere die Vorschriften für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie die Regeln zur KI-Kompetenz nach Art. 4. Ab August 2026 werden die Pflichten für Hochrisiko-KI-Systeme vollständig anwendbar: Risikomanagementsysteme, technische Dokumentation, Datenqualitätsanforderungen, menschliche Aufsicht und die Registrierung in der EU-Datenbank. Unternehmen, die Hochrisiko-KI einsetzen – etwa im Personalwesen, bei der Kreditvergabe oder in der kritischen Infrastruktur – sollten die verbleibende Zeit nutzen, um ihre Systeme und Prozesse rechtzeitig anzupassen.
Häufige Fragen
Antworten auf die Fragen, die uns Geschäftsführer und IT-Leiter am häufigsten stellen.
Ja, aber nur unter bestimmten Voraussetzungen. Sie benötigen eine Rechtsgrundlage nach Art. 6 DSGVO – in der Regel eine Einwilligung, ein berechtigtes Interesse oder die Erfüllung eines Vertrags. Entscheidend ist, dass die Daten nicht unkontrolliert an Drittanbieter fließen. Wenn Sie KI-Modelle auf eigenen Servern in Deutschland betreiben, behalten Sie die volle Kontrolle über die Datenverarbeitung. Der Einsatz von US-Cloud-Diensten wie der OpenAI API mit echten Kundendaten ist datenschutzrechtlich problematisch, da ein Drittlandtransfer nach Schrems II nur mit zusätzlichen Schutzmaßnahmen zulässig ist.
DSGVO-konform sind KI-Tools, die Daten ausschließlich in der EU verarbeiten und keine personenbezogenen Daten an US-Server übertragen. Dazu gehören selbst gehostete Open-Source-Modelle (z. B. Llama, Mistral), KI-Lösungen auf deutschen Cloud-Servern sowie Tools mit nachweisbarer Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO. Entscheidend ist nicht das Tool selbst, sondern wie es konfiguriert und betrieben wird. Auch ein grundsätzlich DSGVO-konformes Tool wird zum Problem, wenn es falsch eingerichtet ist.
Bußgelder nach der DSGVO können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Mit dem EU AI Act kommen zusätzliche Sanktionen von bis zu 35 Millionen Euro hinzu. In der Praxis liegen die Bußgelder deutscher Aufsichtsbehörden häufig im sechsstelligen Bereich. Hinzu kommen Reputationsschäden, Abmahnkosten und mögliche Schadensersatzforderungen betroffener Personen nach Art. 82 DSGVO. Der wirtschaftliche Gesamtschaden eines Datenschutzverstoßes übersteigt das Bußgeld oft um ein Vielfaches.
In den meisten Fällen ja. Art. 35 DSGVO schreibt eine Datenschutz-Folgenabschätzung (DSFA) vor, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. KI-Systeme, die personenbezogene Daten verarbeiten, Profiling durchführen oder automatisierte Entscheidungen treffen, fallen fast immer in diese Kategorie. Die deutschen Aufsichtsbehörden haben in ihrer Positivliste explizit KI-basierte Verarbeitungen aufgeführt, die eine DSFA erfordern. Wir empfehlen, die DSFA als festen Bestandteil jedes KI-Projekts einzuplanen – sie schützt nicht nur vor Bußgeldern, sondern deckt auch technische Schwachstellen frühzeitig auf.
ChatGPT verarbeitet alle Eingaben auf Servern von OpenAI in den USA. Jede Eingabe, die personenbezogene Daten enthält, stellt einen Drittlandtransfer dar. DSGVO-konforme KI-Lösungen laufen dagegen auf Servern in Deutschland oder der EU. Die Daten verlassen nie den europäischen Rechtsraum. Zudem können Sie bei selbst gehosteten Modellen genau kontrollieren, welche Daten verarbeitet werden, wie lange sie gespeichert bleiben und wer Zugriff hat – Anforderungen, die bei ChatGPT nicht erfüllt werden können. Die Leistungsfähigkeit moderner Open-Source-Modelle steht ChatGPT für die meisten Geschäftsanwendungen nicht mehr nach.