Wissen · Recht & Compliance
DSGVO und KI: Datenschutzkonform arbeiten – Leitfaden für Unternehmen
KI und Datenschutz sind kein Widerspruch. Wer die DSGVO-Anforderungen systematisch adressiert, kann KI rechtssicher einsetzen – ohne Innovation zu blockieren. Dieser Leitfaden zeigt die sechs konkreten Schritte für Unternehmen.
KI-Systeme verarbeiten Daten – und sobald personenbezogene Daten im Spiel sind, greift die DSGVO. Viele Unternehmen zögern beim KI-Einsatz aus Sorge vor Datenschutzverstößen. Das muss nicht sein: Wer die sechs zentralen Anforderungen systematisch adressiert, kann KI rechtssicher nutzen.
Dieser Leitfaden richtet sich an Datenschutzbeauftragte, Compliance-Verantwortliche und IT-Leiter im Mittelstand. Er zeigt die konkreten Schritte: vom Verarbeitungsverzeichnis über die Rechtsgrundlage bis zum Auftragsverarbeitungsvertrag mit KI-Anbietern.
Stand: Mai 2026. Dieser Text stellt keine Rechtsberatung dar und ersetzt keine anwaltliche Prüfung. Für eine verbindliche rechtliche Einordnung konsultieren Sie bitte einen Rechtsanwalt.
1. Verarbeitungsverzeichnis um KI-Systeme erweitern (Art. 30 DSGVO)
Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. KI-Systeme sind darin explizit zu erfassen – mit Angaben zu Zweck, Datenkategorien, betroffenen Personen, Empfängern, Drittlandtransfers, Speicherfristen und technischen Maßnahmen.
- Zweck der Verarbeitung: Wofür wird das KI-System eingesetzt? (z. B. automatisierte Rechnungsprüfung, KI-gestützte Kundenklassifizierung)
- Kategorien personenbezogener Daten: Welche Daten werden verarbeitet? (Stammdaten, Kommunikationsdaten, biometrische Daten)
- Kategorien betroffener Personen: Kunden, Mitarbeiter, Bewerber, Lieferanten?
- Empfänger: Intern, Cloud-Anbieter, Subprozessoren?
- Übermittlung in Drittländer: Erfolgt eine Datenübertragung außerhalb des EWR?
- Speicherfristen und Löschkonzept: Wie lange werden die Daten vorgehalten?
- Technische und organisatorische Maßnahmen: Verschlüsselung, Zugriffskontrollen, Pseudonymisierung
Praxistipp: Führen Sie eine separate KI-Übersichtstabelle, die auf Ihr Verarbeitungsverzeichnis verweist. So behalten Sie den Überblick, wenn neue KI-Tools hinzukommen – und das passiert im Mittelstand inzwischen monatlich.
2. Rechtsgrundlage für jede KI-Datenverarbeitung bestimmen (Art. 6 DSGVO)
Jede Verarbeitung personenbezogener Daten durch ein KI-System benötigt eine Rechtsgrundlage nach Art. 6 DSGVO. Die häufigsten Anwendungsfälle im Überblick:
| KI-Anwendung | Typische Rechtsgrundlage | Hinweis |
|---|---|---|
| KI-gestützte Rechnungsverarbeitung | Art. 6 (1) (b) – Vertragserfüllung | Direkt mit der Verarbeitung verbunden |
| KI-Chat im Kundenportal | Art. 6 (1) (b) oder (f) – Vertragserfüllung oder berechtigtes Interesse | Abgrenzung prüfen, dokumentieren |
| KI-Analyse von Mitarbeiterdaten | § 26 BDSG + Art. 6 (1) (a) oder (f) | Beschäftigtendatenschutz beachten |
| KI für Personalauswahl (Bewerberdaten) | § 26 BDSG + Art. 6 (1) (b) | Automatisierte Entscheidungen prüfen (Art. 22) |
| KI-Kundenklassifizierung für Marketing | Art. 6 (1) (f) – berechtigtes Interesse | Widerspruchsrecht nach Art. 21 sicherstellen |
| Biometrische Daten / Gesichtserkennung | Art. 9 DSGVO – besondere Kategorien | Verbot mit Erlaubnisvorbehalt – selten ohne explizite Einwilligung zulässig |
Besonderheit bei generativer KI: Wenn ein Large Language Model personenbezogene Daten in Prompts oder Kontextdaten verarbeitet, reicht die Berufung auf berechtigtes Interesse allein nicht automatisch aus. Die Datenschutzkonferenz (DSK) empfiehlt, die Interessenabwägung besonders sorgfältig zu dokumentieren – insbesondere, wenn Prompts für das Modelltraining verwendet werden könnten.
3. Betroffenenrechte sicherstellen (Art. 12–22 DSGVO)
KI-Systeme machen Betroffenenrechte nicht obsolet – im Gegenteil. Unternehmen müssen sicherstellen, dass sie Auskunft, Berichtigung, Löschung und Widerspruch auch bei KI-gestützten Prozessen erfüllen können.
Auskunftsrecht (Art. 15 DSGVO)
Betroffene können Auskunft darüber verlangen, ob und wie ihre Daten durch ein KI-System verarbeitet werden. Problem: Viele KI-Systeme sind Black Boxes. Stellen Sie sicher, dass technisch nachvollziehbar ist, welche Daten in ein KI-System eingeflossen sind – zum Beispiel durch Logging der verarbeiteten Datensätze, Prompt-Protokolle und klare Systemgrenzen.
Recht auf Berichtigung (Art. 16 DSGVO)
Bei klassischen Fachanwendungen ist Berichtigung meist klar. Bei generativer KI wird es schwieriger: Personenbezug kann auch durch Querbezüge entstehen, und falsche Informationen können über Kontexte oder Wissensstände reproduziert werden. Unternehmen brauchen daher Prozesse, um fehlerhafte Datengrundlagen zu korrigieren und betroffene Workflows nachzuschärfen.
Recht auf Löschung (Art. 17 DSGVO)
Wo personenbezogene Daten in Trainingsdaten, Anhängen oder Prompt-Verläufen enthalten sind, wird Löschung zum technischen Thema. Prüfen Sie bei Cloud-KI-Diensten vertraglich, wie der Anbieter Löschung umsetzt, wie lange Logs gespeichert werden und ob Inhalte für Modellverbesserung genutzt werden.
Widerspruch und automatisierte Entscheidungen (Art. 21 und 22 DSGVO)
Wenn KI-gestützte Profile, Scores oder Handlungsempfehlungen rechtliche oder ähnlich erhebliche Auswirkungen auf Personen haben, wird Art. 22 DSGVO relevant. Unternehmen dürfen Entscheidungen mit erheblicher Wirkung nicht blind an ein Modell delegieren. Es braucht menschliche Prüfung, dokumentierte Eingriffsmöglichkeiten und nachvollziehbare Kriterien.
4. Datenschutz-Folgenabschätzung (DSFA) frühzeitig prüfen (Art. 35 DSGVO)
Eine Datenschutz-Folgenabschätzung ist immer dann zu prüfen, wenn ein KI-System voraussichtlich ein hohes Risiko für die Rechte und Freiheiten Betroffener mit sich bringt. Das betrifft zum Beispiel sensible Daten, systematische Bewertungen, umfangreiches Profiling oder neue Technologien mit schwer überschaubaren Auswirkungen.
- Prüfen Sie den Anwendungsfall früh: Nicht erst vor Go-live, sondern schon in Auswahl- und Pilotphase.
- Beschreiben Sie die Verarbeitung konkret: Datenquellen, Logik, Empfänger, Risiken und Schutzmaßnahmen.
- Bewerten Sie Eintrittswahrscheinlichkeit und Schwere: Besonders bei Mitarbeiter-, Kunden- oder Bewerberdaten.
- Dokumentieren Sie Alternativen: Warum ist die KI-Lösung erforderlich und verhältnismäßig?
- Binden Sie Datenschutz und Fachbereich ein: DSFA ist kein IT-Solo-Dokument.
Praxistipp: Wer bereits unter dem EU AI Act in Richtung Risikoklassifizierung, Zuständigkeiten und Dokumentation arbeitet, kann viele Informationen für die DSFA wiederverwenden – aber die DSGVO-Prüfung bleibt eigenständig.
5. Auftragsverarbeitungsverträge und Anbietersteuerung sauber aufsetzen
Viele KI-Vorhaben scheitern nicht an der Idee, sondern an unklaren Anbieterbeziehungen. Sobald ein externer Dienstleister personenbezogene Daten im Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) zu prüfen. Zusätzlich müssen Unternehmen verstehen, welche Unterauftragsverarbeiter eingebunden sind und ob Daten in Drittländer fließen.
- AVV / DPA vorhanden? Nicht nur Marketingversprechen, sondern belastbare Vertragsunterlagen.
- Trainiert der Anbieter mit Eingaben? Wenn ja, ist das rechtlich und organisatorisch gesondert zu bewerten.
- Drittlandtransfer geklärt? Etwa über Standardvertragsklauseln und zusätzliche Schutzmaßnahmen.
- Subprozessoren transparent? Unternehmen müssen wissen, wer technisch beteiligt ist.
- Lösch- und Aufbewahrungsfristen dokumentiert? Besonders bei Logs, Uploads und Chat-Historien.
Gerade bei LLM-Tools lohnt sich ein strenger Beschaffungsprozess. Wer vor dem Rollout nicht prüft, ob ein Dienst mit Prompts trainiert, sensible Anhänge speichert oder in unklare Regionen repliziert, handelt fahrlässig.
6. Privacy by Design im KI-Betrieb verankern
Datenschutzkonformer KI-Einsatz ist kein Einmaldokument, sondern Betriebsdisziplin. Entscheidend ist, dass Datenminimierung, Zweckbindung und Zugriffskontrolle schon in die Lösung eingebaut werden.
- Daten minimieren: Nur die Informationen in Prompts, Uploads oder Datensätzen nutzen, die wirklich erforderlich sind.
- Pseudonymisieren: Personenbezug so früh wie möglich reduzieren, besonders in Test- und Trainingsumgebungen.
- Zweckbindung sichern: KI-Tools nicht schleichend für andere Anwendungsfälle öffnen, ohne die Rechtsgrundlage neu zu prüfen.
- Zugriffe beschränken: Rollen, Berechtigungen und Logging sauber aufsetzen.
- Löschkonzept definieren: Für Inputdaten, Outputs, Anhänge, Logs und Exportdateien.
DSGVO und EU AI Act: Was zusammengehört – und was nicht
Die DSGVO gilt parallel zum EU AI Act. Der AI Act regelt die Sicherheit, Risikoklassen und Betreiberpflichten von KI-Systemen. Die DSGVO regelt den Umgang mit personenbezogenen Daten. Wer nur eines von beidem prüft, arbeitet unvollständig.
| Frage | DSGVO | EU AI Act |
|---|---|---|
| Werden personenbezogene Daten verarbeitet? | Zentrale Ausgangsfrage | Nicht der Hauptfokus |
| Gibt es eine Rechtsgrundlage? | Pflichtprüfung nach Art. 6 / 9 DSGVO | Nicht geregelt |
| Sind Risiko- und Dokumentationspflichten einzuhalten? | Ja, etwa über DSFA und Rechenschaftspflicht | Ja, je nach Risikoklasse und Rolle |
| Geht es um Transparenz, menschliche Aufsicht und Governance? | Teilweise, vor allem bei Betroffenenrechten | Ausdrücklich geregelt |
Für den Mittelstand heißt das praktisch: Die Datenschutzprüfung darf nicht als Nachklapp behandelt werden. Sie gehört von Anfang an in Auswahl, Aufbau und Betrieb jeder KI-Lösung.
Fazit: Datenschutz wird zum Steuerungsinstrument, nicht zum Bremsklotz
Unternehmen, die KI datenschutzkonform einsetzen wollen, brauchen keine Perfektion auf dem Papier, sondern saubere Prozesse: Verzeichnis, Rechtsgrundlage, Betroffenenrechte, DSFA, AVV und technische Leitplanken. Genau diese Punkte trennen belastbare KI-Anwendungen von riskanten Schnellschüssen.
Wer diese sechs Schritte konsequent umsetzt, reduziert nicht nur Datenschutzrisiken, sondern schafft intern auch Vertrauen in den KI-Einsatz – bei Geschäftsführung, Fachbereichen und Betriebsrat.
Passende Vertiefungen im Themencluster
Datenschutz ist nur ein Teil der rechtssicheren KI-Nutzung. Diese drei Vertiefungen helfen, Governance, Schulungspflichten und Verantwortlichkeiten im Zusammenhang zu betrachten:
- EU AI Act: Was Unternehmen jetzt wissen müssen – welche regulatorischen Pflichten über den Datenschutz hinaus gelten
- KI-Kompetenzpflicht nach Art. 4 KI-VO – wie Sie Mitarbeitende, Verantwortliche und Prozesse organisatorisch absichern
- Haftung bei KI-Fehlern – welche Risiken trotz Datenschutz- und Governance-Maßnahmen beim Unternehmen verbleiben
Wenn Sie das Thema ganzheitlich strukturieren wollen, finden Sie hier den zentralen Einstieg: KI-Governance im Mittelstand.
KI-Datenschutz im konkreten Einsatzfall einordnen
Wenn Sie prüfen wollen, welche DSGVO-Pflichten für Ihren KI-Anwendungsfall konkret greifen, strukturieren wir die Lage mit Ihnen: Datenflüsse, Anbieterrolle, Risiken, Dokumentationsbedarf und sinnvolle nächste Schritte.