DSGVO und KI: 6 Anforderungen, die Unternehmen kennen müssen
ChatGPT im Büro einsetzen? Einen KI-Chatbot auf die Website stellen? Kundendaten mit KI auswerten? Immer mehr Unternehmen nutzen Künstliche Intelligenz im Alltag — doch die wenigsten wissen, welche rechtlichen Anforderungen dabei gelten.
1. Rechtsgrundlage für die KI-Verarbeitung (Art. 6 DSGVO)
Die fundamentalste Frage: Auf welcher Rechtsgrundlage verarbeiten Sie personenbezogene Daten? Relevant sind Einwilligung (Art. 6 Abs. 1 lit. a), Vertragserfüllung (Art. 6 Abs. 1 lit. b) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Ohne dokumentierte Rechtsgrundlage ist jede KI-Verarbeitung rechtswidrig.
2. Informationspflichten (Art. 13/14 DSGVO)
Wenn Sie KI einsetzen, die personenbezogene Daten verarbeitet, müssen Ihre Nutzer das wissen. Aktualisieren Sie Ihre Datenschutzerklärung, kennzeichnen Sie KI-Chatbots als solche und benennen Sie Datenempfänger.
3. Automatisierte Einzelentscheidungen (Art. 22 DSGVO)
Jede Person hat das Recht, nicht einer ausschliesslich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Die Lösung: Human-in-the-Loop — bei allen KI-gestützten Entscheidungen, die Personen betreffen, muss ein Mensch die finale Entscheidung treffen.
4. Datenschutz-Folgenabschätzung (DSFA/DPIA)
KI-Anwendungen fallen häufig in die Kategorie „hohes Risiko“ nach Art. 35 DSGVO und erfordern eine DSFA. Erstellen Sie die DSFA, bevor Sie die KI-Anwendung in Betrieb nehmen.
5. Auftragsverarbeitung (AVV mit KI-Anbietern)
Wenn Sie einen externen KI-Dienst nutzen, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Ohne AVV ist die Datenübermittlung rechtswidrig. Die sicherste Lösung: KI-Anbieter, die Daten ausschliesslich in der EU verarbeiten.
6. EU AI Act: Die neue KI-Verordnung
| Risikostufe | Beispiele | Anforderungen |
|---|---|---|
| Verboten | Social Scoring, manipulative KI | Einsatz verboten |
| Hochrisiko | KI in Personalentscheidungen, Kreditbewertung | Risikomanagement, Dokumentation, menschliche Aufsicht |
| Begrenztes Risiko | Chatbots, Deepfakes | Transparenzpflichten |
| Minimales Risiko | Spam-Filter, Autokorrektur | Keine besonderen Anforderungen |
Vergleich: US-Cloud-KI vs. EU-gehostete KI
| Kriterium | US-Cloud-KI | EU-gehostete KI |
|---|---|---|
| Datentransfer in Drittland | Ja — DPF erforderlich | Nein |
| Risiko Schrems III | Hoch | Keines |
| US CLOUD Act Zugriff | Ja | Nein |
| DSGVO-Konformität | Möglich, aber mit Restrisiko | Volle Konformität |
Fazit: DSGVO-konforme KI ist kein Widerspruch
Wer auf EU-gehostete Lösungen setzt, eliminiert das grösste Risiko von Anfang an. Die meisten Unternehmen nutzen bereits KI — oft ohne sich der datenschutzrechtlichen Implikationen bewusst zu sein. Jetzt ist der richtige Zeitpunkt, die eigene KI-Nutzung auf den Prüfstand zu stellen.
Sie möchten KI DSGVO-konform einsetzen? MantheyAI unterstützt Sie bei der Auswahl und dem datenschutzkonformen Betrieb — komplett gehostet in Deutschland. Kostenloses Erstgespräch vereinbaren.
Sie haben Fragen oder möchten mehr erfahren?
