KI und Datenschutz: Was Unternehmen beim Einsatz von KI beachten müssen

Künstliche Intelligenz ist in Unternehmen längst kein Zukunftsthema mehr. Ob Chatbots im Support, Assistenzsysteme im Wissensmanagement, Automatisierung in Backoffice-Prozessen oder KI-gestützte Auswertungen: Der praktische Nutzen ist in vielen Bereichen sichtbar. Gleichzeitig taucht bei fast jedem KI-Projekt dieselbe Frage auf: Ist das überhaupt mit Datenschutz und DSGVO vereinbar?

Genau an diesem Punkt entsteht oft ein falscher Gegensatz. Denn KI und Datenschutz schließen sich nicht grundsätzlich aus. Die eigentliche Herausforderung liegt woanders: Unternehmen müssen verstehen, welche personenbezogenen Daten verarbeitet werden, zu welchem Zweck diese Verarbeitung erfolgt, welche Rechtsgrundlage nach der DSGVO greift und wie viel Kontrolle sie über Datenflüsse, Zugriffe und Ausgaben behalten. Gerade in gewachsenen IT-Landschaften, in denen Dateninseln, Sicherheitslücken und fehlende Schnittstellen ohnehin schon Druck erzeugen, wird der KI-Einsatz schnell auch zu einer Governance-Frage. Steigende Datenmengen, heterogene Infrastrukturen und der Wunsch nach mehr Kontrolle über Prozesse und Informationen bilden häufig den Hintergrund, vor dem KI überhaupt erst relevant wird.

Was Datenschutz beim Einsatz von KI bedeutet

Datenschutz bei KI beginnt nicht erst dort, wo ein Unternehmen ein eigenes Modell trainiert. Bereits die Nutzung bestehender Tools kann datenschutzrechtlich relevant sein. Das gilt etwa dann, wenn Mitarbeitende personenbezogene Daten in einen KI-Chat eingeben, wenn Kundenanfragen automatisch analysiert werden oder wenn Systeme auf interne Wissensbestände zugreifen, in denen Personenbezug enthalten ist.

Entscheidend ist deshalb nicht nur das Modell selbst, sondern die gesamte Verarbeitung. Dazu gehören Datenquellen, Eingaben, Speicherorte, Schnittstellen, Ausgaben, Protokollierung und die mögliche Weiterverwendung von Daten. Die EDPB macht in ihrer Stellungnahme zu KI-Modellen deutlich, dass Datenschutzfragen sowohl die Entwicklung als auch den Einsatz von KI-Modellen betreffen und dass Verantwortliche die Rechtmäßigkeit ihrer jeweiligen Verarbeitung personenbezogener Daten nachweisen müssen.

Für Unternehmen heißt das in der Praxis: Wer KI einführen will, sollte nicht nur auf Funktionsumfang und Effizienz schauen, sondern immer auch auf die Datenlogik hinter dem System.

Gerade dabei helfen Orientierungshilfen von Aufsichtsbehörden und europäischen Gremien: Nicht jede KI-Anwendung ist automatisch kritisch, aber jede Verarbeitung personenbezogener Daten sollte strukturiert geprüft werden.

Widerspricht KI dem Datenschutz?

Die kurze Antwort lautet: nein. KI widerspricht dem Datenschutz nicht automatisch. Die DSGVO ist kein Innovationsverbot, sondern ein Regelwerk, das den Umgang mit personenbezogenen Daten strukturiert. Problematisch wird es erst dann, wenn Unternehmen KI einsetzen, ohne Zweck, Datenbasis, Zuständigkeiten oder Schutzmaßnahmen sauber zu klären.

Gerade in der Praxis werden Datenschutz und KI oft als unvereinbar wahrgenommen, weil viele Unternehmen Kontrollverlust befürchten. Moderne Automatisierung kann jedoch nicht nur Prozesse beschleunigen, sondern auch mehr Transparenz und Kontrolle schaffen, wenn sie mit verifizierten Datenquellen, klaren Strukturen und nachvollziehbaren Abläufen umgesetzt wird. Auch regulatorische Orientierungshilfen gehen deshalb nicht in Richtung pauschaler Verbote, sondern in Richtung nachvollziehbarer, kontrollierter und risikobewusster Datenverarbeitung.

Der entscheidende Punkt ist also nicht, ob KI genutzt wird, sondern wie sie genutzt wird.

Welche DSGVO-Grundsätze bei KI besonders wichtig sind

Sobald KI personenbezogene Daten verarbeitet, gelten die bekannten Datenschutzgrundsätze der DSGVO weiter. Für Unternehmen sind dabei vor allem fünf Punkte wichtig.

Welche Daten bei KI besonders kritisch sind

In vielen Unternehmen entsteht das Risiko nicht durch revolutionäre KI-Projekte, sondern durch alltägliche Nutzung. Schon Freitext-Eingaben in Chatbots, E-Mail-Inhalte, CRM-Daten, Supportfälle, Bewerbungsunterlagen oder interne Notizen können personenbezogene Daten enthalten. Hinzu kommen sensible Daten, etwa Gesundheitsinformationen, Leistungsdaten oder besonders vertrauliche Geschäfts- und Personaldaten.

Gerade generative KI erhöht die Wahrscheinlichkeit, dass personenbezogene Daten eher nebenbei in Prompts oder Dokumentenuploads landen. Deshalb sollten Unternehmen früh definieren, welche Datenarten in welchen Tools zulässig sind und welche nicht. Ohne solche Leitplanken wird Datenschutz schnell vom Randthema zum realen Betriebsrisiko.

Dabei ist nicht von Bedeutung, ob es sich um den Chatbot eines herkömmlichen Providers handelt oder um ein firmeneigenes RAG-System.

Eine gute Orientierungshilfe für die Praxis lautet deshalb: Sobald unstrukturierte Eingaben möglich sind, sollte immer mitgedacht werden, dass dort auch personenbezogene Daten verarbeitet werden können.

Auf welcher Rechtsgrundlage darf KI Daten verarbeiten?

Welche Rechtsgrundlage greift, hängt stark vom konkreten Einsatzszenario ab. In manchen Fällen kommt eine Einwilligung in Betracht, in anderen ein Vertrag oder vorvertragliche Maßnahmen. In der Unternehmenspraxis spielt aber häufig auch das berechtigte Interesse eine Rolle.

Die EDPB macht dazu klar, dass die Prüfung nicht schematisch erfolgen darf. Bei berechtigtem Interesse braucht es eine nachvollziehbare Abwägung: Es muss ein legitimes Interesse vorliegen, die Verarbeitung muss erforderlich sein und die Rechte und Freiheiten der betroffenen Personen dürfen nicht überwiegen. Dabei spielen unter anderem vernünftige Erwartungen der Betroffenen, das Risiko der Verarbeitung personenbezogener Daten und geeignete Schutzmaßnahmen eine wichtige Rolle.

Für Unternehmen bedeutet das: Eine KI-Anwendung ist nicht schon deshalb zulässig, weil sie nützlich ist. Der Nutzen muss rechtlich eingeordnet und gegen mögliche Risiken abgewogen werden. Gerade unter der DSGVO reicht technische Machbarkeit allein nicht aus.

Was Unternehmen bei KI-Tools und Anbietern prüfen sollten

Vor dem Einsatz eines KI-Tools sollte nicht nur die Funktionalität bewertet werden. Mindestens ebenso wichtig ist die Frage, wo Daten verarbeitet werden, wer darauf zugreifen kann und ob Eingaben oder Outputs weiterverwendet werden. Genau hier entstehen in der Praxis die entscheidenden Unterschiede zwischen unkritischen und problematischen Setups.

Wichtige Prüfsteine sind zum Beispiel:

• Verarbeitet der Anbieter Daten innerhalb oder außerhalb der EU?
• Werden Eingaben gespeichert?
• Fließen sie in Trainings- oder Verbesserungsprozesse ein?
• Gibt es eine saubere vertragliche Grundlage?
• Sind Rollen als Verantwortlicher oder Auftragsverarbeiter nachvollziehbar geregelt?
• Welche technischen und organisatorischen Maßnahmen sind dokumentiert?

Die EDPB weist außerdem darauf hin, dass ein Unternehmen beim Einsatz eines Modells nicht blind darauf vertrauen darf, dass bereits alles datenschutzkonform entwickelt wurde. Verantwortliche müssen prüfen, aus welchen Quellen Daten stammen und ob Hinweise auf eine rechtswidrige Verarbeitung personenbezogener Daten bestehen.

Gerade für B2B-Anwendungen ist das ein wichtiger Punkt: Wer KI produktiv einsetzt, sollte Anbietertransparenz nicht als „nice to have“, sondern als Teil des Auswahlprozesses behandeln. Eine belastbare Orientierungshilfe besteht hier darin, Anbieter nicht nur nach Features, sondern auch nach DSGVO-Standards, Datenflüssen und vertraglicher Einordnung zu bewerten.

Wann es sinnvoll sein kann, KI lokal zu betreiben

Ein besonders spannender Aspekt im Zusammenhang mit KI und Datenschutz ist der lokale oder selbst gehostete Betrieb. Für viele Unternehmen ist das nicht nur eine technische, sondern auch eine organisatorische und rechtliche Frage.

KI lokal zu betreiben kann vor allem dann sinnvoll sein, wenn sensible Informationen verarbeitet werden, strenge Governance-Vorgaben gelten oder Datenflüsse möglichst eng kontrolliert werden sollen. Das betrifft zum Beispiel interne Wissenssysteme, Assistenten mit Zugriff auf vertrauliche Dokumente oder Automatisierungen, die personenbezogene Daten nur in einem klar definierten internen Rahmen verarbeiten sollen.

Wichtig ist dabei aber: Lokal oder self-hosted bedeutet nicht automatisch DSGVO-konform. Auch hier braucht es Rechtsgrundlagen, Rollenklärung, Berechtigungskonzepte, Löschregeln und technische Schutzmaßnahmen. Der Vorteil liegt eher darin, dass Unternehmen bei lokaler KI mehr Einfluss auf Speicherorte, Zugriffe, Schnittstellen und Datenflüsse haben. Moderne KI ist gerade dort stark, wo verifizierte Datenquellen, Echtzeitzugriff und mehr Kontrolle über Prozesse und Informationen zusammenkommen.

Welche technischen und organisatorischen Maßnahmen wichtig sind

Datenschutzkonformer KI-Einsatz entscheidet sich nicht nur auf Papier, sondern im Betrieb. Unternehmen sollten deshalb früh festlegen, welche technischen und organisatorischen Maßnahmen den Einsatz absichern.

Dazu gehören unter anderem abgestufte Rollen- und Rechtekonzepte, Zugriffsbeschränkungen, Logging und Monitoring, Filter für sensible Daten, klare Nutzungsrichtlinien für Mitarbeitende, Lösch- und Speicherregeln sowie Verfahren zur Pseudonymisierung oder Datenreduktion dort, wo dies sinnvoll ist. Auch Datenminimierung sollte hier nicht nur als abstrakter Grundsatz der DSGVO, sondern als operative Maßnahme verstanden werden.

Besonders wichtig ist, dass Datenschutz nicht erst nach der Einführung aufgesetzt wird. Wer KI sauber integrieren will, sollte bereits vor dem Rollout definieren, welche Daten in das System dürfen, welche Outputs erlaubt sind und wie Verstöße oder Fehlverhalten erkannt werden. Genau hier helfen Orientierungshilfen aus Aufsicht und Praxis, um die Verarbeitung personenbezogener Daten früh sauber einzugrenzen.

Wann eine Datenschutz-Folgenabschätzung geprüft werden sollte

Nicht jede KI-Anwendung erfordert automatisch eine Datenschutz-Folgenabschätzung. Trotzdem ist die DSFA bei KI besonders relevant, weil hier häufig neue Technologien, Bewertungsvorgänge, größere Datenmengen oder sensible Auswirkungen auf Betroffene zusammenkommen.

Die DSK-Muss-Liste macht deutlich, dass eine DSFA insbesondere dann zu prüfen ist, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Als relevante Kriterien nennt sie unter anderem die innovative Nutzung neuer Technologien, Scoring beziehungsweise Bewertung, das Zusammenführen von Datensätzen sowie automatisierte Entscheidungen mit rechtlicher oder ähnlich bedeutsamer Wirkung.

Für Unternehmen ist deshalb ein pragmatischer Grundsatz hilfreich: Je stärker eine KI Personen bewertet, überwacht, einstuft oder sensible personenbezogene Daten verarbeitet, desto früher sollte eine DSFA in den Blick genommen werden. Auch das ist letztlich eine wichtige Orientierungshilfe für die Praxis.

Was bei automatisierten Entscheidungen nach Art. 22 DSGVO wichtig ist

Ein besonders sensibler Bereich entsteht dort, wo KI nicht nur unterstützt, sondern Entscheidungen faktisch oder vollständig automatisiert. Das betrifft etwa Bewerbungsverfahren, Bonitätsbewertungen, Leistungsprofile oder andere Konstellationen, in denen eine Entscheidung rechtliche oder ähnlich erhebliche Folgen für Personen hat.

Hier ist es wichtig, zwischen reiner Entscheidungsunterstützung und echter vollautomatisierter Entscheidung zu unterscheiden. Je stärker menschliche Prüfung nur noch pro forma stattfindet oder ganz entfällt, desto sensibler wird der Einsatz. Gerade aus Sicht der DSGVO ist dieser Unterschied entscheidend, weil die Verarbeitung personenbezogener Daten hier direkt in Entscheidungen mit spürbaren Auswirkungen münden kann.

Viele Unternehmen denken bei KI zunächst an Effizienz, die rechtliche Tragweite einzelner Entscheidungen wird dabei aber oft unterschätzt.

KI und Datenschutz in Unternehmen: ein pragmatischer Weg in sechs Schritten

Wer KI datenschutzkonform einführen will, muss nicht mit einem riesigen Transformationsprojekt starten. Oft ist es sinnvoller, den Anwendungsfall klein, kontrolliert und nachvollziehbar aufzusetzen.

Ein pragmatischer Ablauf kann so aussehen:

Unternehmen sollten nicht unkontrolliert groß starten, sondern in einem begrenzten Rahmen testen, lernen und dann gezielt skalieren. Der PoC ermöglicht hier einen risikoärmeren und praxisnahen Einstieg. Als Orientierungshilfe lässt sich festhalten: Je klarer Zweck, Datenbasis und Grenzen der Verarbeitung definiert sind, desto besser lässt sich KI auch unter der DSGVO steuern.

Fazit: Datenschutz ist kein Hindernis für KI, sondern eine Voraussetzung für ihren sinnvollen Einsatz

Unternehmen müssen sich heute nicht mehr zwischen Innovation und Datenschutz entscheiden. Sie müssen vielmehr lernen, beides gemeinsam zu gestalten. KI kann Prozesse beschleunigen, Informationen zugänglicher machen und Teams entlasten. Gleichzeitig steigt mit jedem produktiven Einsatz die Verantwortung, die Verarbeitung personenbezogener Daten sauber einzugrenzen, Rechtsgrundlagen nach der DSGVO zu klären und Kontrolle über Systeme, Schnittstellen und Ausgaben zu behalten.

Gerade für Unternehmen mit gewachsenen IT-Strukturen ist das eine Chance. Denn dort, wo heute Dateninseln, unklare Prozesse oder Sicherheitsbedenken den Alltag prägen, kann ein gut aufgesetzter KI-Einsatz auch dazu beitragen, Strukturen zu modernisieren und Transparenz zu erhöhen. Moderne KI-gestützte Systeme sollen nicht zu weniger Kontrolle führen, sondern zu mehr Übersicht, verifizierten Datenquellen und besser gesteuerten Prozessen. Lesen Sie gerne hierzu auch das Whitepaper von unserem Partner Boston Server & Storage Solutions.