Zum Hauptinhalt springen

Diese Website wurde vollständig mit KI erstellt

Alle ArtikelKI-Beratung

DSGVO und KI: Was Unternehmen 2026 beim KI-Einsatz beachten müssen

von Dennis Meyer·1. Februar 2026·7 min Lesezeit
DSGVO und KI: Was Unternehmen 2026 beim KI-Einsatz beachten müssen
KI-generiert

Viele Unternehmen setzen KI-Tools ein, ohne sich Gedanken über datenschutzrechtliche Anforderungen zu machen. ChatGPT für Texte, ein Chatbot auf der Website, automatisierte E-Mail-Verarbeitung - der Einstieg ist einfach, die Fragen zur DSGVO kommen oft erst später. Manchmal erst dann, wenn ein Datenschutzbeauftragter oder ein Kunde nachfragt.

Das ist kein Grund zur Panik. DSGVO und KI schließen sich nicht aus. Wer strukturiert vorgeht, kann KI-Technologie rechtskonform einsetzen - ohne wochenlange Rechtsgutachten und ohne auf leistungsfähige Tools verzichten zu müssen.

Wann ist die DSGVO beim KI-Einsatz relevant?

Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden. Das klingt abstrakt, ist in der Praxis aber sehr konkret.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen: Name, E-Mail-Adresse, IP-Adresse, Gesprächsprotokoll mit einem Kunden, Bewerbungsunterlagen, Mitarbeiterdaten.

DSGVO-relevant sind KI-Anwendungen unter anderem dann, wenn:

  • Ein KI-Chatbot Kundengespräche führt und dabei Namen, Anliegen oder Bestelldaten verarbeitet
  • E-Mail-Automatisierungen den Posteingang analysieren und Kundenanfragen lesen
  • KI-Tools zur Bewerbersichtung eingesetzt werden
  • Mitarbeiterdaten in KI-Systeme fließen (z. B. für HR-Analytics)
  • Nutzerverhalten auf der Website durch KI ausgewertet wird

Nicht DSGVO-relevant (oder weniger kritisch) ist der KI-Einsatz dann, wenn ausschließlich interne Dokumente ohne Personenbezug verarbeitet werden - etwa technische Handbücher, Produktdokumentationen oder interne Richtlinien ohne Mitarbeiterdaten.

Die wichtigsten DSGVO-Pflichten beim KI-Einsatz

Auftragsverarbeitungsvertrag (AVV)

Wer KI-Dienste von externen Anbietern nutzt und dabei personenbezogene Daten verarbeitet, ist in der Regel zur Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet. Der Anbieter verarbeitet Daten im Auftrag des Unternehmens - dafür ist ein schriftlicher AVV notwendig.

Die gute Nachricht: Die meisten großen KI-Anbieter stellen AVVs bereit. Die wichtigste Variable ist der Serverstandort:

Anbieter Serverstandort AVV verfügbar Empfehlung DSGVO-kritische Daten
OpenAI (ChatGPT/API) USA Ja Bedingt (SCCs notwendig)
Anthropic (Claude) USA Ja Bedingt (SCCs notwendig)
Google Gemini API USA / EU-Option Ja EU-Region wählbar
Mistral AI EU (Frankreich) Ja Gut geeignet
Azure OpenAI (EU-Region) EU (Deutschland/NL) Ja Gut geeignet
Lokale Modelle (Ollama) Eigener Server Nicht nötig Optimal

Rechtsgrundlage für die Datenverarbeitung

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Die praxisrelevantesten im KI-Kontext:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): KI-Chatbot bearbeitet Support-Anfrage eines Kunden - die Verarbeitung ist zur Vertragserfüllung notwendig.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Interne Prozessoptimierung durch KI, wenn die Interessen des Unternehmens die Betroffeneninteressen überwiegen.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Wenn keine andere Grundlage greift, z. B. bei optionalen Chatbot-Funktionen.

Transparenzpflichten und Datenschutzhinweise

Wenn ein KI-Chatbot auf Ihrer Website Kundendaten verarbeitet, müssen Nutzer darüber informiert werden. Das bedeutet konkret:

  • Datenschutzerklärung anpassen: KI-Dienste, eingesetzte Anbieter und Zweck der Verarbeitung müssen genannt werden.
  • Chatbot-Hinweis: Nutzer sollten wissen, dass sie mit einem KI-System kommunizieren - nicht mit einem Menschen.
  • Cookie-Banner: Falls die KI-Integration Tracking-Technologien einsetzt, ist eine Einwilligung über den Cookie-Banner erforderlich.

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Nach Art. 30 DSGVO sind Unternehmen ab 250 Mitarbeitenden verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Kleinere Unternehmen sind davon formal ausgenommen - es sei denn, die Verarbeitung ist nicht nur gelegentlich oder besonders risikoreich.

Empfehlung: Tragen Sie jede neue KI-Anwendung ins VVT ein, unabhängig von der Unternehmensgröße. Das ist gute Datenschutzpraxis und schützt Sie im Fall einer Prüfung.

Serverstandort und Datentransfer in Drittländer

Der Serverstandort ist beim KI-Einsatz oft der kritischste Punkt. Wenn Daten auf US-amerikanischen Servern verarbeitet werden, liegt ein Drittlandtransfer vor - nach dem Schrems-II-Urteil des EuGH ist das ohne zusätzliche Schutzmaßnahmen problematisch.

Die akzeptierte Lösung sind EU-Standardvertragsklauseln (SCCs), die Anbieter wie OpenAI und Anthropic anbieten. Sie schaffen eine vertragliche Schutzebene, ersetzen aber nicht ein echtes EU-Datenschutzniveau - und werden von deutschen Datenschutzbehörden teils kritisch bewertet.

Für besonders sensible Daten - Gesundheitsdaten, Finanzdaten, Mitarbeiterdaten - empfehlen wir grundsätzlich:

  1. KI-Dienste mit EU-Serverstandort (Mistral AI, Azure OpenAI EU-Region)
  2. Oder: lokale KI-Modelle auf eigenen Servern (On-Premise)

DSGVO-konforme KI-Architekturen für Unternehmen

Cloud-KI mit AVV und EU-Servern

Für die meisten Anwendungsfälle ist eine Cloud-KI mit EU-Serverstandort und AVV eine praktikable, DSGVO-konforme Lösung. Empfehlenswerte Optionen:

  • Mistral AI: Europäisches Unternehmen, Server in Frankreich, starke Modelle, sehr DSGVO-freundlich
  • Azure OpenAI (EU-Region): OpenAI-Modelle auf Microsoft-Infrastruktur in der EU - für Unternehmen, die GPT-4-Qualität mit EU-Hosting kombinieren möchten
  • AWS Bedrock (Frankfurt): Diverse Modelle (Claude, Llama, Mistral) auf AWS-Infrastruktur in Deutschland

Lokale KI-Modelle (On-Premise)

Die datenschutzrechtlich sauberste Lösung: Das Sprachmodell läuft auf einem eigenen Server im Unternehmen oder Rechenzentrum. Personenbezogene Daten verlassen das Unternehmen zu keinem Zeitpunkt.

Die Umsetzung ist durch Tools wie Ollama heute auch für Unternehmen ohne großes IT-Team realistisch geworden. Modelle wie Llama 3, Mistral oder Phi-3 lassen sich auf einem dedizierten Server betreiben und über eine API ansprechen - genau wie Cloud-Modelle, aber vollständig intern.

Wann On-Premise sinnvoll ist: Gesundheitswesen, Rechtsberatung, Finanzdienstleister, Unternehmen mit besonders sensiblen Kundendaten oder strikten Compliance-Anforderungen.

Mehr zur technischen Umsetzung beschreibt unser Artikel zu KI-Chatbots und DSGVO-konformer Architektur.

Hybridansatz

Ein pragmatischer Mittelweg für viele Unternehmen: Nicht-sensible Anfragen (allgemeine FAQ, öffentliche Produktinformationen) werden über Cloud-Modelle verarbeitet. Anfragen mit personenbezogenen oder sensiblen Daten laufen über ein lokales Modell. Diese Architektur kombiniert Kosten- und Qualitätsvorteile der Cloud mit der Datensicherheit lokaler Verarbeitung.

DSGVO-Checkliste für KI-Projekte

Bevor Sie eine neue KI-Anwendung in Betrieb nehmen, sollten folgende Punkte geklärt sein:

1. Werden personenbezogene Daten verarbeitet? Wenn ja, gelten alle weiteren Punkte.

2. Rechtsgrundlage definiert? Welche Grundlage nach Art. 6 DSGVO greift - Vertrag, berechtigte Interessen oder Einwilligung?

3. AVV mit dem KI-Anbieter abgeschlossen? Prüfen, ob der Anbieter einen AVV bereitstellt und diesen unterzeichnen.

4. Serverstandort geprüft? EU-Hosting bevorzugen; bei US-Hosting: SCCs vorhanden und dokumentiert?

5. Datenschutzerklärung aktualisiert? Neue KI-Anwendung, Anbieter und Verarbeitungszweck ergänzen.

6. Verzeichnis der Verarbeitungstätigkeiten aktualisiert? Neue Verarbeitungstätigkeit eintragen.

7. Nutzer informiert? Bei Chatbots: Hinweis auf KI-Kommunikation; bei Tracking: Cookie-Consent.

8. Löschkonzept vorhanden? Wie lange werden Gesprächsdaten, Logs und Verarbeitungsprotokolle gespeichert?

9. Datenschutzfolgenabschätzung (DSFA) nötig? Bei automatisierten Entscheidungen oder Verarbeitung besonders sensibler Daten ist eine DSFA nach Art. 35 DSGVO Pflicht.

10. Interner Datenschutzbeauftragter informiert? Sofern vorhanden, frühzeitig einbinden - nicht erst kurz vor dem Go-Live.

Fazit

DSGVO-Compliance beim KI-Einsatz ist kein unüberwindbares Hindernis - es ist eine strukturierte Aufgabe. Wer die richtigen Anbieter wählt, AVVs abschließt und Transparenz gegenüber Nutzern herstellt, kann KI rechtskonform und wirksam einsetzen.

Der entscheidende erste Schritt ist eine ehrliche Bestandsaufnahme: Welche KI-Tools sind bereits im Einsatz, welche Daten fließen wohin, und welche Maßnahmen fehlen noch?

Wenn Sie KI DSGVO-konform in Ihrem Unternehmen einführen möchten, unterstützt Sie unsere KI-Beratung - von der Prozessanalyse über die Architekturentscheidung bis zur datenschutzkonformen Implementierung.

Artikel teilen:LinkedInXINGE-Mail

Interesse geweckt?

Vereinbaren Sie eine kostenlose Erstberatung – kein Verkaufsdruck, nur echte Einblicke.

Kostenlose Beratung anfragen

Weitere Artikel

KI-Beratung

KI-Chatbot vs. Live-Chat: Was lohnt sich für KMU?

16. März 2026

KI-Beratung

KI-Chatbot Kosten 2026: Was kostet ein Chatbot für KMU?

14. März 2026

KI-Beratung

KI für den Mittelstand: Der vollständige Leitfaden 2026

11. März 2026