Leitfaden · KI & Datenschutz · Governance & Compliance

Wer KI einsetzt, verarbeitet zwangsläufig Daten. Warum Datenschutz und KI kein Widerspruch sind und wie Unternehmen beides sinnvoll vereinen.

KI und Datenschutz treffen aufeinander, sobald personenbezogene Informationen durch automatisierte Systeme verarbeitet werden. Das passiert heute in fast jedem Unternehmen: beim Einsatz von Sprachmodellen, bei der Automatisierung von HR-Prozessen, bei der Analyse von Kundendaten.

Die Herausforderung ist nicht, eines von beiden zu wählen. Die Herausforderung ist, beides ernstzunehmen. Dieser Artikel zeigt, worauf es beim Datenschutz im Umgang mit KI ankommt und wie Unternehmen eine rechtssichere, vertrauenswürdige KI-Nutzung aufbauen.

53 % der Gen Z wünschen sich strengere Regeln rund um Datenschutz und Privatsphäre bei KI Statista, 2024
60 % der Gen X/Y fordern strengere Datenschutzregeln im Umgang mit KI-Systemen Statista, 2024
5 % der deutschen Unternehmen nutzen KI bereits aktiv für den Datenschutz, 24 % planen den Einsatz Statista, 2024

Warum KI und Datenschutz zusammengehören

KI-Systeme brauchen Daten. Für das Training, für den Betrieb, für die Verbesserung. Dabei entstehen Risiken, die klassische Software nicht kennt: Eingaben in Sprachmodelle können personenbezogene Daten enthalten, die im System verbleiben oder unbeabsichtigt in Antworten auftauchen. Oft fehlt Transparenz darüber, welche Daten wie und warum verarbeitet werden.

Das Recht auf informationelle Selbstbestimmung ist im Grundgesetz verankert. Durch KI kann es gefährdet werden, wenn Systeme intransparent entscheiden und Betroffene keine Möglichkeit haben, nachzuvollziehen, was mit ihren Daten passiert.

„Datenschutz ist kein Hindernis für KI. Er ist die Grundlage dafür, dass KI dauerhaft Vertrauen genießt."

Die DSGVO-Grundsätze im KI-Kontext

Wer KI einsetzt, muss die Grundsätze der DSGVO einhalten. Für den praktischen KI-Einsatz bedeutet das konkret:

  • Rechtmäßigkeit: Es braucht eine gesetzliche Grundlage oder Einwilligung. Faire, nachvollziehbare Verarbeitung ist Pflicht.
  • Zweckbindung: Daten dürfen nur für festgelegte, legitime Zwecke genutzt werden. Ein Sprachmodell, das für Kundenservice trainiert wurde, darf nicht für HR-Entscheidungen eingesetzt werden.
  • Transparenz: Betroffene müssen umfassend informiert werden, auch darüber, dass KI im Einsatz ist.
  • Datenminimierung: So viel wie nötig, so wenig wie möglich. Jede Datenmenge ist auch ein Risiko.
  • Richtigkeit: Daten müssen korrekt und aktuell gehalten werden. Veraltete Trainingsdaten können zu falschen oder diskriminierenden Ergebnissen führen.
  • Speicherbegrenzung: Nur so lange speichern, wie es der Zweck erfordert.
  • Rechenschaftspflicht: Die Einhaltung muss nachgewiesen werden können, nicht nur behauptet.

KI und Datenschutz: Die zwei Phasen der Datenverarbeitung

Beim Einsatz von KI gibt es zwei Phasen, die beide datenschutzrechtlich relevant sind.

Training: Modelle lernen aus Trainingsdaten. Wenn diese personenbezogene Informationen enthalten, muss das rechtmäßig geschehen. Besonders bei zugekauften oder öffentlich gecrawlten Datensätzen entstehen hier oft unbemerkte Risiken.

Nutzung: Während des Betriebs verarbeitet das System neue Eingaben, zum Beispiel Nutzerfragen oder Kundendaten. Was Mitarbeitende in ein Sprachmodell eingeben, kann je nach Anbieter gespeichert, analysiert oder für das weitere Training genutzt werden. Klare interne Regeln sind hier unverzichtbar.

Was der EU AI Act zusätzlich regelt

Mit dem EU AI Act kommt eine weitere Regulierungsebene hinzu, die eng mit dem Datenschutz verknüpft ist. Der risikobasierte Ansatz der Verordnung bedeutet: Je sensibler die Daten und je weitreichender die Entscheidungen eines KI-Systems, desto strenger die Anforderungen.

Hochrisiko-Systeme, etwa in der Personalauswahl oder Kreditvergabe, müssen umfassend dokumentiert, überwacht und mit menschlicher Aufsicht betrieben werden. Und Artikel 4 verpflichtet alle Unternehmen, bei Mitarbeitenden ein angemessenes Maß an KI-Kompetenz sicherzustellen, ausdrücklich auch im Hinblick auf einen datenschutzkonformen Umgang mit KI-Systemen.

Einen vollständigen Überblick über den EU AI Act und seine Anforderungen gibt es hier: EU AI Act: Was die neuen KI-Regelungen für Unternehmen bedeuten.

Drei Ebenen der KI-Transparenz

Transparenz im KI-Kontext hat mehrere Dimensionen, die Unternehmen kennen sollten.

Implementierung: Welche technischen Details, Parameter und Algorithmen stecken hinter dem System? White-Box-Modelle sind besser erklärbar, Black-Box-Modelle schwerer nachzuvollziehen, aber oft leistungsfähiger.

Spezifikationen: Welchen Zweck verfolgt das System? Mit welchen Trainingsdaten wurde es entwickelt? Wie wurde das Modell trainiert? Diese Informationen sollten dokumentiert und auf Anfrage verfügbar sein.

Interpretierbarkeit: Können Entscheidungswege verständlich gemacht werden? Das ist besonders wichtig, wenn KI-Outputs direkte Auswirkungen auf Menschen haben, etwa bei Bewerbungsfiltern oder Kreditentscheidungen.

Was Unternehmen konkret tun können

  • Passendes Tool wählen: Transparenz und DSGVO-Konformität des Anbieters prüfen. Sitzt der Anbieter in der EU oder hat er eine Vertretung nach Art. 27 DSGVO?
  • Klare interne Regeln definieren: Was darf in KI-Systeme eingegeben werden? Was nicht? Welche Daten sind grundsätzlich ausgeschlossen?
  • Zuständigkeiten klären: Wer ist verantwortlich für KI-Systeme und deren datenschutzkonforme Nutzung?
  • Mitarbeitende schulen: Ohne KI-Kompetenz entstehen Datenschutzrisiken nicht durch bösen Willen, sondern durch Unwissen. Was darf eingegeben werden? Was nicht? Wann ist menschliche Prüfung notwendig?
  • Regelmäßig überprüfen: Datenschutzanforderungen und KI-Systeme entwickeln sich weiter. Eine einmalige Prüfung reicht nicht.

KI-kompetent und datenschutzkonform: ada Shift

ada Shift ist ein zwölfwöchiges KI-Transformationsprogramm für Unternehmen im Mittelstand. Teilnehmende bauen KI-Kompetenz auf, die sowohl im Arbeitsalltag hält als auch die Anforderungen des EU AI Act und der DSGVO berücksichtigt. Praxisnah, branchenübergreifend, mit echten Projekten aus der eigenen Organisation.

Mehr zu ada Shift Beratungsgespräch buchen

FAQ: KI & Datenschutz

Ist ChatGPT datenschutzkonform?

Das hängt davon ab, wie es genutzt wird. Solange keine sensiblen Unternehmens- oder personenbezogenen Daten eingegeben werden und die Nutzungsbedingungen des Anbieters mit der DSGVO vereinbar sind, ist der Einsatz grundsätzlich möglich. Für den Unternehmenseinsatz empfehlen sich Versionen mit Datenverarbeitungsverträgen.

Welche Daten sollte man bei KI nicht eingeben?

Keine sensiblen oder personenbezogenen Daten wie Namen, Adressen, Bankdaten oder Gesundheitsinformationen. Auch keine vertraulichen Unternehmensinfos wie Geschäftsstrategien, Kundenlisten oder interne Finanzdaten sollten in öffentliche KI-Systeme eingegeben werden.

Kann KI auf persönliche Daten zugreifen?

Ja, wenn solche Daten eingegeben oder in Trainingsdaten enthalten sind. Deshalb sind klare interne Regeln wichtig: Was darf eingegeben werden? Welche Systeme sind für welche Zwecke freigegeben?

Was ist der Unterschied zwischen DSGVO und EU AI Act im Datenschutzkontext?

Die DSGVO regelt den Schutz personenbezogener Daten. Der EU AI Act regelt den Einsatz von KI-Systemen und deren Auswirkungen auf Menschen. Beide Regelwerke ergänzen sich: Wer KI mit personenbezogenen Daten betreibt, muss beide einhalten.

Was sind die größten Datenschutzrisiken beim KI-Einsatz?

Die häufigsten Risiken sind unbeabsichtigte Weitergabe personenbezogener Daten über Eingaben in Sprachmodelle, mangelnde Transparenz über Datenverarbeitung, fehlende Zweckbindung beim Einsatz von Trainingsdaten und unklare Zuständigkeiten im Unternehmen.

Wie können Unternehmen KI und Datenschutz vereinen?

Mit vier Schritten: passendes Tool wählen, klare interne Regeln definieren, Zuständigkeiten festlegen und Mitarbeitende schulen. KI-Kompetenz ist die Grundlage für einen datenschutzkonformen Umgang mit KI, nicht nur eine rechtliche Anforderung.

Quellen

  • Statista (2024): Einstellungen zu Datenschutz bei KI nach Generationen in Deutschland. statista.com
  • Statista (2024): KI-Einsatz beim Datenschutz in Unternehmen in Deutschland. statista.com
  • Europäisches Parlament (2024): EU AI Act. Verordnung (EU) 2024/1689. eur-lex.europa.eu
  • Bundesbeauftragte für den Datenschutz (2024): KI und Datenschutz. bfdi.bund.de