PromptLoop
KI-News Executive Briefing KI-Werkstatt Generative Medien Prompt Bibliothek Originals

Datenschutz und KI (DSGVO)

Was ist Datenschutz und KI (DSGVO)?

Datenschutz und KI (DSGVO) beschreibt die Einhaltung der Datenschutz-Grundverordnung bei der Entwicklung und dem Betrieb von KI- und Machine-Learning-Systemen, die personenbezogene Daten verarbeiten. Die zentralen Bausteine stammen direkt aus dem Verordnungstext: Privacy by Design (Art. 25 DSGVO) verpflichtet Entwickler, Datenschutz von Anfang an in Systemarchitektur und Prozesse einzubauen — nicht als Nachgedanke. Flankiert wird das durch Datenminimierung, Pseudonymisierung, Verschlüsselung und strikte Zweckbindung. Technisch-organisatorische Maßnahmen (TOM, Art. 32 DSGVO) — von Zugriffskontrollen bis zu regelmäßigen Risikoanalysen — schließen den Kreis. Seit dem Inkrafttreten des EU AI Act (Verordnung (EU) 2024/1689) kommt eine zweite Regulierungsebene hinzu: KI-Systeme werden nach Risikoklassen eingestuft (niedrig, hoch, verboten), was direkte Auswirkungen darauf hat, welche DSGVO-Pflichten wann greifen. Hochrisiko-KI — etwa in der Personalauswahl oder Kreditvergabe — erfordert zwingend eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO), Dokumentationspflichten und menschliche Aufsicht. Das Konzept grenzt sich klar von reiner Datensicherheit ab: Datensicherheit ist technisch, DSGVO-Konformität bei KI ist rechtlich-technisch — beide sind notwendig, aber nicht dasselbe.

Wie funktioniert Datenschutz und KI (DSGVO)?

In der Praxis entfaltet sich die DSGVO-Konformität über den gesamten KI-Lebenszyklus. Beim Training müssen Datensätze vor dem Einlesen anonymisiert oder pseudonymisiert werden — rohe personenbezogene Daten dürfen nur mit klarer Rechtsgrundlage (Einwilligung, berechtigtes Interesse oder Vertragserfüllung) verarbeitet werden. Der laufende politische Prozess rund um den sogenannten Digitalen Omnibus adressiert genau diesen Punkt: Die Sammelreform, die sich Stand 2026 in Verhandlungen befindet, soll „berechtigtes Interesse" explizit als Rechtsgrundlage für KI-Training anerkennen und Betroffenenrechte präzisieren, ohne den Kernschutz der DSGVO aufzuweichen. Bei der Inferenz — also dem laufenden Betrieb — greift Art. 22 DSGVO, sobald automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung für Betroffene getroffen werden: Recht auf menschliche Überprüfung, Widerspruch und verständliche Erklärung. Externe KI-Anbieter — etwa Cloud-Dienste oder SaaS-Chatbot-Plattformen — werden datenschutzrechtlich zu Auftragsverarbeitern (Art. 28 DSGVO), was einen schriftlichen Auftragsverarbeitungsvertrag (AVV) voraussetzt. Fehlt dieser, ist die gesamte Verarbeitung rechtswidrig — unabhängig davon, wie gut die eigene Technik ist. Europäische Aufsichtsbehörden wie der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) koordinieren die Auslegung über Ländergrenzen hinweg und prägen damit, wie Unternehmen konkret umsetzen müssen.

Datenschutz und KI (DSGVO) in der Praxis

Drei Szenarien zeigen, wie ernst die Materie ist. Erstens: KI-gestützte Helpdesk-Systeme und Chatbots im Kundenservice — wie sie etwa von Anbietern wie OMQ.ai betrieben werden — verarbeiten typischerweise Namen, E-Mail-Adressen und Anfrageinhalte. Hier braucht es einen sauberen AVV mit dem Anbieter, eine Datenschutzerklärung, die den KI-Einsatz offenlegt, und eine technische Konfiguration, die keine Daten länger als nötig speichert. Zweitens: HR-KI für Bewerbungsscreening fällt als Hochrisiko-KI direkt unter den AI Act und erzwingt eine DSFA, bevor das System produktiv geht. Drittens: Unternehmen, die eigene ML-Modelle auf Kundendaten trainieren, müssen sicherstellen, dass die Trainingsdaten entweder vollständig anonymisiert sind — echte Anonymisierung, nicht nur Pseudonymisierung — oder eine tragfähige Rechtsgrundlage vorliegt. Beratungsunternehmen wie Proliance AI und die IDD GmbH haben sich auf genau diese Schnittmenge spezialisiert und helfen, TOM-Konzepte KI-spezifisch auszugestalten.

Vorteile und Grenzen

Der offensichtliche Vorteil einer konsequenten DSGVO-Konformität bei KI ist nicht nur die Vermeidung von Bußgeldern — es ist ein echter Wettbewerbsvorteil. Unternehmen, die Privacy by Design von Anfang an einbauen, bauen schneller Nutzervertrauen auf und haben weniger technische Schulden beim Skalieren. Die Kombination aus DSGVO und AI Act schafft außerdem ein globales Differenzierungsmerkmal: „Made in EU" steht zunehmend für vertrauenswürdige KI. Die Grenzen sind aber real: Gerade für kleinere Teams ist die Komplexität aus zwei sich überschneidenden Regelwerken — DSGVO und AI Act — operativ aufwendig. Wann ist eine DSFA Pflicht? Welche Rechtsgrundlage gilt für welchen Trainingsschritt? Diese Fragen brauchen juristisches Know-how, das intern oft fehlt. Hinzu kommt, dass echte Anonymisierung technisch anspruchsvoll ist — viele Systeme, die sich als anonymisiert bezeichnen, sind es bei näherer Prüfung nicht. Und solange der Digitale Omnibus noch nicht verabschiedet ist, bleibt die Rechtslage rund um KI-Training in einigen Punkten interpretationsbedürftig.

❓ Häufig gestellte Fragen

Wann brauche ich eine Datenschutz-Folgenabschätzung (DSFA) für KI?
Eine DSFA nach Art. 35 DSGVO ist Pflicht, wenn dein KI-System ein hohes Risiko für Betroffene darstellt — insbesondere bei Hochrisiko-KI im Sinne des EU AI Act, etwa bei automatisierter Personalauswahl, Kreditscoring oder biometrischer Erkennung. Auch umfangreiches Profiling oder die systematische Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten) lösen die Pflicht aus.
Was gilt bei automatisierten Entscheidungen durch KI laut DSGVO?
Art. 22 DSGVO regelt automatisierte Einzelentscheidungen: Sobald eine KI eine Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung für eine Person trifft — zum Beispiel eine Kreditablehnung oder Jobabsage — haben Betroffene das Recht auf menschliche Überprüfung, auf Widerspruch und auf eine verständliche Erklärung der Entscheidungslogik. Rein automatisierte Entscheidungen ohne menschliche Beteiligung sind grundsätzlich verboten, sofern keine Ausnahme greift.
Brauche ich einen Auftragsverarbeitungsvertrag (AVV), wenn ich einen externen KI-Dienst nutze?
Ja, immer. Wer personenbezogene Daten über einen externen KI-Anbieter — etwa eine Cloud-KI-Plattform oder einen SaaS-Chatbot — verarbeitet, macht diesen Anbieter zum Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ohne schriftlichen AVV ist die gesamte Datenverarbeitung rechtswidrig. Der AVV muss technische und organisatorische Maßnahmen, Unterauftragnehmer und Löschfristen regeln.

Stand: 20. März 2026

📬 KI-News direkt ins Postfach