Einleitung
Die Nutzung Künstlicher Intelligenz (KI) boomt – sei es in der Texterstellung, beim Kundensupport oder in der Datenanalyse. Auch kleine und mittelständische Unternehmen setzen zunehmend auf smarte Systeme, um Prozesse zu optimieren. Was dabei jedoch oft übersehen wird: Der Einsatz kann erhebliche datenschutzrechtliche Risiken bergen.
In diesem Artikel beleuchte ich, welche Herausforderungen sich aus Sicht des Datenschutzes ergeben und welche konkreten Schritte Unternehmen gehen sollten, um rechtssicher zu agieren.
Was gilt als „KI“ im Sinne des Datenschutzes?
Die DSGVO spricht zwar nicht ausdrücklich von „Künstlicher Intelligenz“, doch viele KI-Anwendungen verarbeiten personenbezogene Daten – und genau dann greift das Datenschutzrecht. Ob ChatGPT, automatisierte Bewerberanalyse oder Kundenklassifizierung per Algorithmus: Immer wenn ein System selbstständig Entscheidungen trifft oder Vorschläge macht, kann das datenschutzrechtlich relevant sein.
Typische Datenschutz-Fallstricke beim Einsatz
1. Intransparente Datenverarbeitung
KI-Systeme, insbesondere sogenannte „Blackbox“-Modelle, lassen oft nicht erkennen, wie genau eine Entscheidung zustande kommt. Das steht im Widerspruch zum Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a DSGVO.
2. Fehlende Zweckbindung
Künstliche Intelligenz wird gern zur „Datenveredelung“ eingesetzt – etwa, um aus vorhandenen Daten neue Muster zu erkennen. Das kann problematisch sein, wenn Daten zu einem anderen als dem ursprünglichen Zweck genutzt werden (Zweckbindungsprinzip).
3. Profiling und automatisierte Entscheidungen
Sobald die Systeme Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung treffen (z. B. Ablehnung eines Kredits, Bewerbungsabsage), gelten die strengen Anforderungen von Art. 22 DSGVO.
4. Fehlende Datenschutz-Folgenabschätzung (DSFA)
Viele KI-Anwendungen erfordern eine DSFA, insbesondere wenn sie ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen (z. B. bei Scoring oder Überwachungssystemen).
5. Unklare Rollenverteilung (Verantwortlicher / Auftragsverarbeiter)
Beim Einsatz externer KI-Dienste (z. B. über APIs oder Cloudlösungen) ist häufig nicht klar, ob der Anbieter als Auftragsverarbeiter oder Mitverantwortlicher einzustufen ist – mit entsprechenden vertraglichen Pflichten.
Konkrete Beispiele aus dem Unternehmensalltag
Texterstellung mit KI (z. B. ChatGPT): Wird der KI personenbezogenes Material (z. B. E-Mails von Kunden) zur Bearbeitung übermittelt, muss geprüft werden, ob eine Auftragsverarbeitung vorliegt und ob die Datenverarbeitung notwendig und rechtmäßig ist.
Bewerbermanagement: Automatisierte Vorfilterung von Bewerbungen durch KI kann eine Datenschutz-Folgenabschätzung erfordern. Zudem müssen Bewerbende klar informiert werden.
Kundenkommunikation via Chatbot: Werden personenbezogene Daten über einen KI-gestützten Chatbot verarbeitet, gelten dieselben Transparenz- und Informationspflichten wie bei menschlicher Kommunikation – gegebenenfalls auch Auftragsverarbeitungsverträge mit dem Anbieter.
Handlungsempfehlungen für Unternehmen
✅ 1. Einsatz prüfen und dokumentieren
Machen Sie eine interne Bestandsaufnahme: Welche KI-Systeme werden verwendet oder sind geplant? Welche Daten werden verarbeitet? Gibt es eine Rechtsgrundlage?
✅ 2. Datenschutz-Folgenabschätzung (DSFA) durchführen
Bei Anwendungen mit hohem Risiko (z. B. Profiling, Überwachung, Scoring) ist eine DSFA Pflicht. Nutzen Sie hierfür anerkannte Vorlagen und dokumentieren Sie den Entscheidungsprozess.
✅ 3. Transparenz sicherstellen
Informieren Sie betroffene Personen verständlich über den Einsatz von KI – etwa in Ihrer Datenschutzerklärung, im Bewerbungsprozess oder in Kundenportalen.
✅ 4. Verträge prüfen
Klare vertragliche Regelungen mit externen Dienstleistern (z. B. über Auftragsverarbeitung) sind unerlässlich. Achten Sie darauf, wer die datenschutzrechtliche Verantwortung trägt. Zu dem Thema Gemeinsame Verantwortlichkeit und Auftragsverarbeiter haben wir hier bereits einen Blog-Post verfasst.
✅ 5. Mitarbeitende schulen
Sensibilisieren Sie Ihre Teams für den datenschutzkonformen Umgang mit KI. Gerade im Marketing, HR oder Kundenservice kann leicht unbeabsichtigt gegen Datenschutzgrundsätze verstoßen werden.
Ausblick: DSGVO & AI Act – Was kommt auf Unternehmen zu?
Mit dem AI Act (EU-Verordnung zu Künstlicher Intelligenz) kommt ein neues Regelwerk auf Unternehmen zu. Die Verordnung wird voraussichtlich 2025 in Kraft treten und verfolgt einen risikobasierten Ansatz – je höher das Risiko für Grundrechte, desto strenger die Anforderungen.
Wichtig: Die Vorschriften des AI Act ergänzen, aber ersetzen nicht die DSGVO. Unternehmen müssen also künftig beide Regelwerke im Blick behalten. Eine gute Übersicht über die Gesetz findet sich auf dieser Webseite.
Fazit
Künstliche Intelligenz bietet viele Chancen – aber auch datenschutzrechtliche Herausforderungen. Unternehmen sollten den Einsatz von KI bewusst gestalten, Risiken frühzeitig erkennen und Maßnahmen ergreifen, um rechtskonform zu handeln. Nur so kann die Innovation auch nachhaltig und vertrauensvoll genutzt werden.
Wenn Sie Fragen zur datenschutzkonformen Einführung oder Nutzung von KI-Systemen haben, berate ich Sie gerne persönlich.
