Beratungstermin

KI und Datenschutz im Unternehmen: Künstliche Intelligenz DSGVO-konform nutzen

Künstliche Intelligenz ist in vielen Unternehmen längst im Alltag angekommen – von Text- und Bildgeneratoren über Analyse-Tools bis hin zu automatisierten Entscheidungen. Mit jedem Einsatz von KI werden jedoch auch personenbezogene Daten verarbeitet oder zumindest berührt. Damit stellt sich die Frage: Wie lässt sich KI im Unternehmen nutzen, ohne gegen die Datenschutz-Grundverordnung (DSGVO) zu verstoßen? Diese Seite zeigt, welche datenschutzrechtlichen Grundlagen beim Einsatz von KI im Unternehmen zu beachten sind, welche zusätzlichen Anforderungen sich aus dem EU AI Act ergeben und wie Unternehmen praktische Leitplanken für eine verantwortungsvolle KI-Nutzung einführen können. MProtect365 unterstützt dabei mit externer Datenschutzexpertise und einer eigenen Datenschutz-Management-Software.

Was bedeutet der Einsatz von KI für den Datenschutz im Unternehmen?

Sobald KI-Systeme mit personenbezogenen Daten arbeiten, gelten die Vorgaben der DSGVO. Das betrifft zum Beispiel:

  • Kundendaten in Support- oder Analyse-Tools
  • Bewerberdaten in HR-Systemen
  • Nutzungsdaten aus Websites, Apps oder Plattformen

Für Unternehmen bedeutet das: Auch bei KI-gestützten Prozessen müssen Prinzipien wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Integrität eingehalten und nachweisbar umgesetzt werden (Art. 5 DSGVO). Der Einsatz von KI ändert nichts daran, dass das Unternehmen Verantwortlicher im Sinne der DSGVO bleibt. Es muss also sicherstellen, dass verwendete KI-Systeme in ein bestehendes Datenschutzmanagement eingebettet sind – inklusive Rechtsgrundlagen, Verträgen mit Dienstleistern, technischen und organisatorischen Maßnahmen und Dokumentation.

Rechtlicher Rahmen: DSGVO und EU AI Act in Kürze

DSGVO-Grundprinzipien beim Einsatz von KI

Für KI-Anwendungen gelten die gleichen Grundprinzipien wie für andere Verarbeitungstätigkeiten auch. Wichtig sind insbesondere:

  • Rechtmäßigkeit und Transparenz: Unternehmen müssen eine tragfähige Rechtsgrundlage für die Verarbeitung haben und Betroffene verständlich informieren, wie und zu welchen Zwecken KI eingesetzt wird.
  • Datenminimierung: Es sollen nur die Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Eine pauschale Weitergabe großer Datenmengen an externe KI-Dienste ist kritisch zu prüfen.
  • Richtigkeitsgebot: Ergebnisse von KI-Systemen müssen – soweit möglich – auf sachlich zutreffenden Daten basieren. Gerade bei generativen Modellen weisen Aufsichtsbehörden auf Risiken unzutreffender oder erfundener Inhalte hin.
  • Rechenschaftspflicht: Unternehmen müssen ihre Entscheidungen zum Einsatz von KI, gewählte Rechtsgrundlagen und getroffene Schutzmaßnahmen nachvollziehbar dokumentieren.

Bei bestimmten Konstellationen, etwa wenn ein KI-System voraussichtlich ein hohes Risiko für Rechte und Freiheiten von Personen mit sich bringt, kann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein.

EU AI Act und Risikoklassen für KI-Systeme

Mit dem EU AI Act entsteht zusätzlich zur DSGVO ein spezieller Rechtsrahmen für KI in Europa. Die Verordnung arbeitet mit einem risikobasierten Ansatz und unterscheidet unter anderem zwischen unzulässigen, hochriskanten, begrenzt riskanten und gering riskanten KI-Systemen.

  • Für hochrisikoreiche KI-Systeme gelten umfangreiche Anforderungen an Datenqualität, Dokumentation, Transparenz, Risikomanagement und menschliche Aufsicht. Anbieter solcher Systeme müssen diese Anforderungen erfüllen, bevor sie Systeme in den Markt bringen.
  • Unternehmen, die KI-Systeme nutzen (Deployers), sind ebenfalls adressiert und müssen u. a. eigene Pflichten beachten, etwa zur Überwachung, Dokumentation und zum Umgang mit Risiken.

Die Pflichten aus EU AI Act und DSGVO greifen ineinander. Der AI Act regelt primär Anforderungen an das KI-System und seine Anbieter, während die DSGVO die Verarbeitung personenbezogener Daten im Unternehmen adressiert. Für Verantwortliche lohnt sich daher ein integrierter Blick auf beide Rechtsrahmen.

Typische KI-Einsatzszenarien im Unternehmen und ihre Datenschutzrisiken

Text-, Bild- oder Codegeneratoren werden häufig genutzt, um E-Mails zu formulieren, Zusammenfassungen zu erstellen oder Inhalte vorzubereiten. Werden dabei Kundendaten, interne Dokumente oder personenbezogene Informationen in externe KI-Dienste eingegeben, können diese Daten an Dritte übermittelt und ggf. zur Modellverbesserung verwendet werden. Aufsichtsbehörden haben mehrfach auf die datenschutzrechtlichen Risiken bei der Nutzung generativer KI-Tools hingewiesen. Unternehmen sollten deshalb genau festlegen, welche Daten in solche Tools eingegeben werden dürfen und welche nicht.

Chatbots, Empfehlungssysteme und Analyse-Tools verarbeiten oft große Mengen an Kundendaten. Hier stellen sich Fragen nach:

  • Rechtsgrundlagen für Profiling oder personalisierte Ansprache,
  • Informationspflichten gegenüber Nutzern,
  • und möglichen Auswirkungen automatisierter Entscheidungen.

Dabei müssen sowohl DSGVO-Vorgaben als auch künftige Anforderungen aus dem EU AI Act berücksichtigt werden.

KI-gestützte Systeme können Bewerbungen vorsortieren, Profile bewerten oder Einschätzungen zu Eignung und Performance geben. Hier sind besondere datenschutzrechtliche und arbeitsrechtliche Anforderungen zu beachten, z. B. hinsichtlich Transparenz, Fairness und möglicher Diskriminierungsrisiken. In solchen Fällen ist eine sorgfältige Prüfung des Systems und seiner Einsatzbedingungen erforderlich; eine DSFA kann angezeigt sein.

Schatten-KI: Wenn Mitarbeitende KI-Tools ohne Freigabe nutzen

„Schatten-KI“ bezeichnet die Nutzung von KI-Tools durch Mitarbeitende ohne Freigabe oder Kontrolle durch IT, Datenschutz oder Compliance – etwa, wenn Inhalte spontan über frei wählbare Online-Dienste erstellt oder analysiert werden.

Die Risiken:

  • Weitergabe vertraulicher oder personenbezogener Daten an nicht geprüfte Anbieter
  • Unklare Speicher- und Nutzungsbedingungen für eingegebene Daten
  • fehlende Transparenz, wo und zu welchen Zwecken Daten weiterverarbeitet werden

Unternehmen sollten daher klare Richtlinien für die Nutzung von KI-Tools definieren, zugelassene Anwendungen bereitstellen und Mitarbeitende gezielt zu Risiken und zulässigem Verhalten schulen.

Datenschutzkonforme Einführung von KI im Unternehmen

Am Anfang steht eine systematische Bestandsaufnahme: Wo wird KI bereits eingesetzt, wo ist der Einsatz geplant und welche personenbezogenen Daten sind betroffen? Für jede Anwendung sollten die Zwecke klar beschrieben und mit der Unternehmensstrategie abgeglichen werden.

Für jede KI-gestützte Verarbeitung ist eine Rechtsgrundlage nach DSGVO erforderlich, etwa Einwilligung, Vertragserfüllung oder berechtigte Interessen. Welche Grundlage im Einzelfall passt, hängt von Einsatzszenario, Datenarten und Betroffenenkreis ab und ist sorgfältig zu prüfen. Parallel gilt es, Datenminimierung konsequent umzusetzen: Nur die Daten sollten in KI-Prozesse einfließen, die für den Zweck notwendig sind. Sensible Daten sind besonders zu schützen; unnötige Datenübermittlungen an externe Dienste sollten vermieden werden.

Datenschutzkonformer KI-Einsatz benötigt passende technische und organisatorische Maßnahmen, zum Beispiel:

  • Zugriffsbeschränkungen und Rollenmodelle
  • Pseudonymisierung oder Anonymisierung, soweit möglich
  • Protokollierung relevanter Verarbeitungsschritte
  • Vereinbarungen mit Dienstleistern, inklusive Auftragsverarbeitung

Welche Maßnahmen im Einzelnen erforderlich sind, hängt von der Art des KI-Systems, den verarbeiteten Daten und den Risiken für Betroffene ab.

KI-Anwendungen sollten im Verzeichnis von Verarbeitungstätigkeiten erfasst und mit den relevanten Informationen zu Zweck, Rechtsgrundlage, Kategorien von Daten und Empfängern beschrieben werden. Bei hohen Risiken – etwa bei umfangreichem Profiling, Bewertung von Personen oder sensiblen Daten – ist eine Datenschutz-Folgenabschätzung zu prüfen. Sie dokumentiert, welche Risiken für Betroffene bestehen und welche Maßnahmen zu deren Reduzierung ergriffen werden.

Rolle des Datenschutzbeauftragten beim Einsatz von KI

Der Datenschutzbeauftragte begleitet KI-Projekte aus datenschutzrechtlicher Sicht und unterstützt das Unternehmen dabei, die Vorgaben der DSGVO einzuhalten. Typische Aufgaben sind:

  • Beratung zu Rechtsgrundlagen, Informationspflichten und Betroffenenrechten,
  • Mitwirkung an Datenschutz-Folgenabschätzungen,
  • Überprüfung von Verträgen mit KI-Anbietern und Dienstleistern,
  • Sensibilisierung von Führungskräften und Mitarbeitenden,
  • und laufende Überwachung der Umsetzung beschlossener Maßnahmen.

Gerade bei komplexen KI-Einsatzszenarien kann ein externer Datenschutzbeauftragter mit spezieller Erfahrung im Bereich KI und Datenschutz eine wichtige Rolle spielen.

Wie MProtect365 Unternehmen bei KI und Datenschutz unterstützt

MProtect365 verbindet die Rolle des externen Datenschutzbeauftragten mit einem strukturierten Datenschutzmanagement und eigener Software. Ziel ist es, KI-Projekte so zu gestalten, dass sie im Rahmen der gesetzlichen Vorgaben umgesetzt und nachvollziehbar dokumentiert werden.

Beratung zu KI-Governance und Richtlinien

Unternehmen erhalten Unterstützung bei der Entwicklung von Leitlinien für den Einsatz von KI, etwa zu:

  • zulässigen Anwendungsfeldern,
  • Rollen und Verantwortlichkeiten,
  • Anforderungen an Auswahl und Prüfung von KI-Diensten,
  • Umgang mit Schatten-KI im Unternehmen.

Dabei werden Vorgaben der DSGVO, Entwicklungen auf Ebene der Aufsichtsbehörden und der EU AI Act berücksichtigt.

Datenschutz-Management-Software als Grundlage

Mit der Datenschutz-Software von MProtect365 lassen sich KI-Anwendungen in das bestehende Datenschutzmanagement integrieren. Verantwortliche können:

  • KI-Verarbeitungstätigkeiten im Verzeichnis abbilden,
  • technische und organisatorische Maßnahmen dokumentieren,
  • Verträge und Vereinbarungen mit Anbietern von KI-Diensten verwalten,
  • und Prüf- und Freigabeprozesse transparent nachvollziehen.

So entsteht ein strukturiertes Fundament, auf dem der Einsatz von KI in der Organisation nachvollziehbar gesteuert werden kann.

Schulungen zu KI-Nutzung und Schatten-KI

MProtect365 bietet praxisorientierte Schulungen für Mitarbeitende und Führungskräfte. Inhalte können u. a. sein:

  • Grundlagen von KI und Datenschutz,
  • zulässige und unzulässige Eingaben in KI-Tools,
  • Risiken von Schatten-KI,
  • sowie konkrete Handlungsanweisungen für den Arbeitsalltag.

Damit wird das Bewusstsein für Risiken und Pflichten geschärft, ohne den produktiven Einsatz von KI grundsätzlich in Frage zu stellen.

Häufige Fragen zu KI und Datenschutz im Unternehmen

Der Einsatz von KI im Unternehmen ist nicht per se unzulässig. Entscheidend ist, dass die Verarbeitung personenbezogener Daten den Vorgaben der DSGVO entspricht. Dazu gehören eine tragfähige Rechtsgrundlage, transparente Informationen für Betroffene, geeignete Sicherheitsmaßnahmen und eine nachvollziehbare Dokumentation. Je nach Einsatzszenario können zusätzliche Anforderungen gelten, etwa eine Datenschutz-Folgenabschätzung oder weitergehende Informationspflichten.

Der EU AI Act schafft einen spezifischen Rechtsrahmen für KI-Systeme und arbeitet mit einem risikobasierten Ansatz. Für Anbieter und Nutzer von hochriskanten KI-Systemen gelten künftig zusätzliche Pflichten, etwa zu Risikomanagement, Überwachung und Dokumentation. Für Unternehmen, die KI einsetzen, ist wichtig zu prüfen, in welche Risikokategorie ihre Systeme fallen und welche Anforderungen sich daraus ergeben. Die Vorgaben des EU AI Act bestehen parallel zu den Pflichten aus der DSGVO.

Ohne klare Regelungen besteht das Risiko, dass Mitarbeitende externe KI-Dienste eigenständig nutzen und dabei personenbezogene oder vertrauliche Daten eingeben. Dieses Phänomen wird häufig als Schatten-KI bezeichnet. Unternehmen sollten festlegen, welche Tools zugelassen sind, welche Daten eingegeben werden dürfen und welche Schutzmaßnahmen einzuhalten sind. Schulungen und interne Richtlinien sind dafür ein wichtiger Baustein.

Nicht jede KI-Anwendung erfordert automatisch eine Datenschutz-Folgenabschätzung. Eine DSFA ist insbesondere dann angezeigt, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen besteht, etwa bei umfangreichem Profiling, Bewertung von Personen oder sensiblen Daten. KI-Systeme können solche Konstellationen begünstigen, weshalb Verantwortliche im Einzelfall prüfen sollten, ob eine DSFA erforderlich ist und welche Maßnahmen zur Risikoreduzierung angemessen sind.

Unternehmen sollten sorgfältig abwägen, welche Daten in externe generative KI-Tools eingegeben werden. Vertrauliche Informationen, Geschäftsgeheimnisse oder sensible personenbezogene Daten sind in der Regel ungeeignet, wenn nicht sichergestellt ist, dass der Dienst strenge Datenschutzanforderungen erfüllt und vertraglich abgesichert ist. Hilfreich sind interne Vorgaben, die klar regeln, welche Datentypen zulässig sind und welche tabu sind.

Cookie Extension Logo