KI-Glossar

KI & DSGVO

Sobald KI personenbezogene Daten verarbeitet, greift die DSGVO. Entscheidend sind Hosting-Ort, Auftragsverarbeitungsvertrag und ob die Daten zum Training genutzt werden.

Sobald KI personenbezogene Daten verarbeitet — E-Mails, Kundennamen, Supportanfragen — greift die DSGVO. Drei Punkte sind dann ausschlaggebend: Wo wird das Modell betrieben (EU-Hosting bevorzugt), gibt es einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, und werden die Daten zum Modelltraining verwendet (oft unerwünscht).

Anbieter wie Mistral oder selbst gehostete Open-Source-Modelle erleichtern DSGVO-Konformität, weil sie in der EU laufen und klare Verträge bieten. US-Modelle (OpenAI, Anthropic) lassen sich nutzen, wenn keine personenbezogenen Daten übermittelt werden oder ein Enterprise-Vertrag mit EU-Datenresidenz besteht. Mit dem EU AI Act kommen zusätzliche Pflichten je nach Risikoklasse der Anwendung — Compliance gehört von Anfang an in das Projekt, nicht nachträglich.

In der Praxis bedeutet DSGVO-Konformität bei KI fünf konkrete Anforderungen. Erstens: eine dokumentierte Rechtsgrundlage für die Verarbeitung (Vertragserfüllung, berechtigtes Interesse oder explizite Einwilligung). Zweitens: ein AVV mit jedem KI-Anbieter, der personenbezogene Daten verarbeitet, idealerweise mit EU-Datenresidenz und „no training". Drittens: Datenminimierung — keine Daten, die für die Aufgabe nicht zwingend notwendig sind, an das Modell übergeben. Viertens: Logging und Auditfähigkeit für Anfragen nach Betroffenenrechten (Auskunft, Löschung). Fünftens: Information der Betroffenen in der Datenschutzerklärung, dass KI-Systeme zur Verarbeitung eingesetzt werden.

Der EU AI Act, seit 2024 in Kraft, ergänzt diese Pflichten je nach Risikoklasse der Anwendung. Klassische KMU-Anwendungen wie Mail-Triage oder Dokumentenextraktion gelten als „minimales Risiko" und unterliegen kaum zusätzlichen Pflichten. Sobald jedoch automatisierte Entscheidungen mit rechtlicher Wirkung getroffen werden (Kreditentscheidung, Mietzusage, Personalauswahl), springt die Anwendung in die „Hochrisiko"-Klasse mit umfangreichen Dokumentations-, Transparenz- und Aufsichtsanforderungen.

Auf einen Blick

Verantwortungs-Rolle: Sie sind Verantwortlicher, KI-Anbieter ist Auftragsverarbeiter
AVV-Pflicht: Für jeden Drittanbieter, der personenbezogene Daten sieht
EU AI Act: Seit 2024 in Kraft, Stufung in Risiko-Klassen
Datenminimierung: Pseudonymisierung vor dem LLM-Call als bewährter Standard

Beispiel aus der Praxis

Ein Praxis-Tool für Terminanfragen läuft auf einer eigenen n8n-Instanz in Frankfurt, nutzt Mistral mit EU-AVV und protokolliert ausschließlich pseudonymisierte Daten. So bleibt der Workflow rechtssicher, auch wenn täglich hunderte Patientenanfragen durchlaufen.

Wann einsetzen — und wann nicht

Sinnvoll bei

Jede produktive KI-Anwendung mit Kunden-, Mitarbeiter- oder Personen-Daten
Vor Tool-Auswahl: DSGVO-Tauglichkeit als Filterkriterium prüfen
Bei jedem neuen Anwendungsfall: AI-Act-Risikoklasse einschätzen

Eher nicht bei

Anwendungen ohne personenbezogene Daten — DSGVO greift nicht, der AI Act eventuell trotzdem
Reine interne Recherche- oder Generierungs-Aufgaben mit anonymen Inhalten

Häufige Fehler

Personenbezogene Daten in der ChatGPT-Web-UI eingeben — kein AVV, Training auf den Daten möglich
AVV einmal abschließen und nie aktualisieren — Anbieter ändern Vertragsbedingungen
Datenschutzerklärung nicht erweitern — Nutzer müssen wissen, dass KI mitwirkt

Häufige Fragen

Darf ich ChatGPT für berufliche Aufgaben nutzen?

Ja, aber differenziert. Persönliche Inhalte ohne Personenbezug (Texte schreiben, Code generieren, Brainstorming): unproblematisch. Sobald Kundennamen, Mailadressen, Vertragsdetails oder ähnliches eingegeben werden: Wechsel auf ChatGPT Enterprise/Team-Plan mit AVV oder auf einen EU-Anbieter mit Datenschutz-Zusicherung.

Was bedeutet „no training" bei KI-Anbietern?

Eine vertragliche Zusicherung, dass eingegebene Daten nicht zum Training der Modelle verwendet werden. Bei OpenAI standardmäßig in API und Enterprise; bei der Web-UI muss „no training" aktiv konfiguriert werden. Bei der Anthropic API ist „no training" Standard, bei Claude.ai über Settings.

Greift die DSGVO auch bei selbst gehosteten Open-Source-Modellen?

Ja, weil Sie selbst zum Verarbeiter werden. Vorteil: Sie kontrollieren Hosting, Datenfluss und Logging vollständig. Pflicht: technisch-organisatorische Maßnahmen (Verschlüsselung, Zugriffskontrolle, Backup) müssen dem Schutzbedarf der Daten entsprechen.

Müssen Mitarbeiter über KI-Einsatz informiert werden?

Je nach Anwendungsfall ja. Bei automatischer Bewertung von Mitarbeiterleistung, Bewerbungs-Screening oder Verhaltens-Monitoring greifen Mitbestimmungspflichten und Transparenzanforderungen. Bei reinen Hilfs-Tools (Mail-Triage, Textgenerierung) genügt typischerweise eine allgemeine Information.

Was ändert der EU AI Act gegenüber der DSGVO?

Die DSGVO regelt Datenverarbeitung, der AI Act regelt KI-Systeme als solche. Beide gelten parallel. Für Minimal-Risk-Anwendungen ändert sich wenig. Für Hochrisiko-Anwendungen (z.B. Personal-Entscheidungen) kommen Dokumentations-, Transparenz- und Audit-Pflichten neu dazu.

In der Praxis

In der Praxis: DSGVO-bewusster Mieter-Chatbot mit Quellen-Belegen

Mieter-Portal mit KI-Chatbot für Standardfragen

Ein eigenes Portal für Ihre Mieter beantwortet Standardfragen via KI-Chatbot rund um die Uhr — auf Basis Ihrer Hausordnung, FAQs und Ansprechpartner. Komplexes wird als Ticket eskaliert.

6–10 h/Woche ZeitersparnisProjekt Setup: 20–30 Tage

Eigene Analyse starten

Konkrete Frage zu diesem Thema?

Im Kennenlerngespräch übersetzen wir den richtigen Begriff in einen umsetzbaren Workflow für Ihr Unternehmen.

Kennenlerngespräch vereinbaren →

← Zurück zum Glossar