KI Datenschutz: So meistern Sie die Balance zwischen Innovation und DSGVO-Compliance

Haben Sie und Ihre Mitarbeiter schon ChatGPT oder Microsofts Copilot Chat im Einsatz? Es laufen schon Automatisierungen und kurze Zusammenfassungen von Meetings mit Kunden werden erstellt? 

Künstliche Intelligenz (KI) beeinflusst mittlerweile so ziemlich alle Bereiche unserer Geschäftswelt und eröffnet enorme Potenziale zur Steigerung unserer Effizienz und zur Optimierung vieler Routinen und Prozesse. Doch der Einsatz von KI, insbesondere bei der Verarbeitung sensibler Daten wie die von Kunden und sonstigen Personen, stellt Unternehmen vor große Herausforderungen beim KI Datenschutz und der Einhaltung von Compliance-Vorgaben. 

Um hohe Bußgelder nach der DSGVO und Reputationsschäden zu vermeiden, ist eine sorgfältige Abwägung zwischen technischer Innovation und strengen Datenschutzregeln unerlässlich. Vor allem aber das Wissen, an welchen Stellen man hier überhaupt ansetzen muss – und genau darüber möchten wir Sie in diesem Blogpost kurz informieren.

KI und Daten? Wie funktioniert das mit dem KI Datenschutz überhaupt?

Künstliche Intelligenz ist im Kern eine hochwirksame IT-Software zur Mustererkennung und ihr Treibstoff sind Daten. Und zwar riesige Mengen davon! Man kann sich den Prozess wie das menschliche Lernen vorstellen: So wie ein Kind lernt, ein Tier zu erkennen, indem es viele verschiedene Bilder von Katzen und Hunden sieht, wird ein KI-Modell mit einem Datensatz „trainiert“. Durch die Analyse dieser Daten lernt die KI, Muster, Zusammenhänge und Merkmale zu identifizieren, um darauf basierend Vorhersagen zu treffen, Entscheidungen zu treffen oder sogar neue Inhalte zu generieren. Ohne Daten, sagt man auch oft, keine KI.

Die Art der verarbeiteten Daten ist dabei sehr vielfältig und entscheidend für die Datenschutz-Bewertung. Grundsätzlich unterscheidet man:

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wie Namen, Adressen, Online-Kennungen oder biometrische Daten. Ihre Verarbeitung unterliegt den strengen Regeln der DSGVO.
• Nicht-personenbezogene Daten: Anonymisierte oder technische Daten, die keinen Rückschluss auf eine Person zulassen, wie zum Beispiel Maschinendaten in der Produktion, Wetteraufzeichnungen oder aggregierte Verkehrsstatistiken.
• Strukturierte und unstrukturierte Daten: Künstliche Intelligenz kann sowohl sauber in Tabellen organisierte Daten (z. B. Verkaufszahlen) als auch unstrukturierte Informationen wie Texte aus E-Mails, Bilder, Sprachaufzeichnungen oder Social-Media-Posts verarbeiten. Gerade moderne generative KI-Systeme sind darauf spezialisiert, aus diesem Chaos an Informationen Muster zu extrahieren.

Gerade hier zeigt sich, warum Künstliche Intelligenz und Datenschutz in Unternehmen gemeinsam gedacht werden müssen. Je nach Art und Quelle der Daten greifen unterschiedliche KI-Datenschutzpflichten.

DSGVO und AI Act: Zwei Begriffe, die Sie kennen müssen

Vermutlich befinden Sie sich, genauso wie wir, in der EU und darin dann auch nochmal in einem der deutschsprachigen Länder. In der digitalen Landschaft Europas sind die Datenschutz-Grundverordnung (DSGVO) und der neue EU AI Act (EU KI-Verordnung) die zentralen rechtlichen Pfeiler in Sachen KI Datenschutz sowie KI Compliance, die jedes Unternehmen heutzutage kennen muss. 

Die DSGVO: Das Fundament für den Schutz personenbezogener Daten

Die DSGVO bildet dabei das etablierte Fundament: Sie regelt seit 2018 umfassend und branchenübergreifend, wie Organisationen mit personenbezogenen Daten umzugehen haben. DSGVO fokussiert sich auf den Schutz der Privatsphäre des Einzelnen, ganz gleich, welche Technologie zum Einsatz kommt.

Hier drei Beispiele aus dem Alltag für die Anwendung der DSGVO, die Sie bestimmt kennen:

• Einwilligung für Cookies: Das klassische Cookie-Banner beim Besuch einer Website, bei dem Sie aktiv zustimmen müssen. Bevor das Unternehmen hinter dieser Website, auf der Sie aktuell sind, nun nicht-essenzielle Daten über Ihr Surfverhalten sammeln darf, ist eine direkte und sehr sichtbare Zustimmung Ihrerseits nötig und letztlich die Folge der DSGVO.
• Anmeldung zum Newsletter: Das Double-Opt-In-Verfahren, bei dem Sie Ihre E-Mail-Adresse nach der Anmeldung in einer zweiten E-Mail bestätigen müssen, stellt sicher, dass Ihre Einwilligung zum Erhalt von Werbung nachweisbar, freiwillig und eindeutig war.
• Recht auf Auskunft: Jede Person hat das Recht, von einem Unternehmen zu erfahren, welche personenbezogenen Daten über sie gespeichert sind. Sie können genau nachfragen, woher diese gesammelten Informationen über Sie stammen und zu welchem Zweck das Unternehmen diese verarbeitet. Jedes Unternehmen muss Ihnen zu jedem Zeitpunkt eine Kopie dieser Daten aushändigen können – so die DSGVO.

Link zur offiziellen Webseite der DSGVO: https://dsgvo-gesetz.de/

Der EU AI Act: Ein risikobasierter Rahmen für sichere KI-Systeme

Der EU AI Act ist hingegen um einiges neuer und jünger als die DSGVO. Letztendlich is der EU AI Act eine Antwort auf die Herausforderungen im Berufsleben, die Künstliche Intelligenz mit sich bringt. Er wurde geschaffen, weil KI-Systeme spezifische Risiken bergen, die über den reinen Datenschutz hinausgehen. Was sind solche zusätzlichen Risiken? Zum einen die Gefahr von Diskriminierung durch voreingenommene Algorithmen, KI-Systeme, die uns in die Irre führen durch Falschinformationen oder die mangelnde Transparenz von „Blackbox“-Modellen. 

Man kann es sich so vorstellen: Die DSGVO legt die allgemeinen Regeln für den Umgang mit dem „Treibstoff“ (den Daten) fest, während der EU AI Act den sicheren und vertrauenswürdigen Betrieb des „Motors“ (des KI-Systems) gewährleistet. 

Einfach kann man daher sagen: Sobald eine KI personenbezogene Daten verarbeitet, greifen beide Regelwerke Hand in Hand.

Der risikobasierte Ansatz des EU AI Acts: Welche KI ist nun gefährlich?

Die Frage, welche KI als „gefährlich“ gilt, beantwortet der EU AI Act nicht mit einem pauschalen Urteil oder mal eben in einem Satz. Vielmehr finden Sie auf über 100 Seiten einen Kategorisierungsansatz, wir sprechen auch hier oft von einem risikobasierten Ansatz. Anstatt jede Anwendung gleich streng oder locker zu bewerten, klassifiziert die Verordnung KI-Systeme in vier klar definierte Risikostufen ein. Ziel ist es, Innovation in unkritischen Bereichen nicht zu bremsen, aber dort strenge Regeln aufzustellen, wo KI die Grundrechte, die Gesundheit oder die Sicherheit von Menschen gefährden könnte.

• Unannehmbares Risiko (Verboten): Als fundamental gefährlich und daher strikt verboten gelten Praktiken, die unseren gesellschaftlichen Werten widersprechen. Hierzu zählen staatliches Social Scoring, das das Verhalten von Bürgern bewertet, oder KI-Systeme, die unterschwellige Techniken nutzen, um Menschen zu schädlichem Verhalten zu manipulieren.
• Hohes Risiko (Streng reguliert): In dieser Kategorie landen KI-Systeme, deren Ausfall oder fehlerhafte Anwendung schwerwiegende Folgen haben kann. Dies betrifft zum Beispiel KI in der medizinischen Diagnostik, bei der Kreditvergabe, in Bewerbungsverfahren zur Personalauswahl oder zur Steuerung kritischer Infrastrukturen wie Wasser- und Stromnetzen.
• Begrenztes Risiko (Transparenzpflicht): Hier geht es vor allem um das „Risiko“ der Täuschung. KI-Anwendungen wie Chatbots oder Systeme zur Erstellung von Deepfakes müssen klar offenlegen, dass der Nutzer mit einer Maschine interagiert oder dass die Inhalte künstlich erzeugt wurden.
• Minimales Risiko (Weitgehend frei): Die große Mehrheit der heutigen KI-Anwendungen fällt in diese Kategorie, etwa KI-gestützte Spamfilter oder Empfehlungsalgorithmen in Online-Shops. Diese gelten als unbedenklich und sind von den strengen Regeln des AI Acts ausgenommen.

Die „Gefahr“ einer KI bemisst sich also nicht an der Technologie selbst, sondern an ihrem konkreten Einsatzzweck. Genau diese differenzierte Betrachtung ist das Herzstück des neuen EU AI Acts.

Link zur offiziellen Website: https://artificialintelligenceact.eu/de/

Beispiele für KI-Systeme in kleinen und mittelständischen Unternehmen

Der Einsatz von Künstlicher Intelligenz ist längst kein Privileg von Großkonzernen mehr. Nie war es leichter mit KI zu starten als jetzt. Denn für ein Login in Tools wie z.B. ChatGPT oder Microsofts Copilot Chat benötigen Sie eigentlich nur zwei Dinge: eine E-Mail und ein Passwort.

Gerade für den deutschen Mittelstand bieten pragmatische und oft cloudbasierte KI-Lösungen enorme Chancen, um im Büro Routineaufgaben effizienter zu erledigen, gegebenenfalls Personalkosten einzusparen und die eigene Wettbewerbsfähigkeit zu sichern. 

Viele dieser Werkzeuge lassen sich ohne tiefgreifende IT-Kenntnisse in bestehende Prozesse integrieren.

Hier sind einige praxisnahe Beispiele, wie KI schon heute in kleinen und mittelständischen Unternehmen (KMU) Mehrwert schafft:

• Automatisierter Kundenservice: KI-gesteuerte Chatbots beantworten rund um die Uhr Kundenanfragen. Rechtlicher Bezug: Gemäß dem EU AI Act muss hier transparent gemacht werden, dass es sich um eine KI handelt. Werden dabei personenbezogene Daten wie Namen oder E-Mail-Adressen erfasst, greifen zudem die strengen Informationspflichten der DSGVO.
• Intelligente Rechnungsverarbeitung: Spezialisierte KI-Software liest und verarbeitet Rechnungen automatisch. Rechtlicher Bezug: Aus Sicht der DSGVO ist hierbei die rechtmäßige Verarbeitung von personenbezogenen Daten (z.B. von Ansprechpartnern auf der Rechnung) und die Gewährleistung der Datensicherheit nach Art. 32 DSGVO entscheidend.
• Effizientes Marketing: KI-Tools erstellen Werbetexte oder personalisieren den Newsletter-Versand basierend auf Nutzerverhalten. Rechtlicher Bezug: Hier gelten die strengen Vorgaben der DSGVO für Marketing und Profiling. Für eine personalisierte Analyse ist in der Regel eine explizite und informierte Einwilligung des Nutzers erforderlich.
• KI-Avatare für Video-Content: KI erzeugt realistische digitale Sprecher für Erklärvideos oder Social-Media-Clips. Rechtlicher Bezug: Solche Systeme zur Erzeugung synthetischer Inhalte unterliegen den Transparenzpflichten des EU AI Acts: Es muss klar offengelegt werden, dass die Inhalte künstlich erzeugt wurden, um Täuschung zu vermeiden.
• Automatisierte Dokumentenanalyse (KI-OCR): Moderne Texterkennung liest und versteht den Kontext von Dokumenten wie Lieferscheinen oder Verträgen. Rechtlicher Bezug: Aus DSGVO-Perspektive müssen hier die Grundsätze der Datenminimierung und Zweckbindung beachtet werden, damit die KI nicht mehr Daten ausliest, als für den jeweiligen Geschäftsprozess notwendig ist.
• Analyse von Leistungsverzeichnissen (LV): KI analysiert komplexe Leistungsverzeichnisse für die Baubranche und erstellt Kalkulationen. Rechtlicher Bezug: Dieses Beispiel ist oft datenschutzrechtlich unkritischer. Sobald jedoch personenbezogene Daten von Planern oder Ansprechpartnern im LV enthalten sind, greift auch hier die DSGVO, wenngleich das System selbst unter dem AI Act ein minimales Risiko darstellt.

Keine Frage: Jeder Anwendungsfall ist einzigartig und erfordert eine individuelle Bewertung,  insbesondere im Kontext von Datenschutz und Künstlicher Intelligenz. Da es wirklich immer auf den exakten Anwendungsfall ankommt und jedes System individuell auf seine rechtlichen Risiken bewertet werden muss, lassen Sie hier gerne die Experten ran. Buchen Sie daher eine kostenlose Ersteinschätzung bei uns für einen unverbindlichen Austausch zu Ihren spezifischen KI-Themen.

Die Goldenen Regeln für eine sichere KI-Nutzung in Ihrem Unternehmen

Die beste Technologie zu nutzen ist meist nur die halbe Miete. Ein erfolgreicher und rechtskonformer Einsatz von Künstlicher Intelligenz steht und fällt mit dem menschlichen Faktor und einem klaren strategischen Rahmen. 

Ohne verbindliche Leitplanken, einem klaren “das darf ich” und “das hat die IT verboten” droht ein unkontrollierter Wildwuchs an nicht genehmigten Werkzeugen. Schon früher hatten wir in der IT hier einen Begriff, der nun auch wieder im Einsatz ist: die sogenannte „Schatten-KI“. Schatten-KI beschreibt die Nutzung von KI-Tools durch Mitarbeitende, die ohne Wissen, Genehmigung und Kontrolle der IT-Abteilung oder des Managements erfolgt.

Das Problem dabei? Damit setzt sich Ihr Unternehmen massiven Sicherheits- und Compliance-Risiken aus. Erfolgreiche und sichere KI-Nutzung beinhaltet daher meist die Festlegung von sogenannten Goldenen Regeln. Daher im Folgenden ein paar Tipps für Ihre strategischen KI-Vorgaben im Unternehmen.

4 wertvolle Tipps für eine sichere KI-Nutzung

Tipp 1: Schaffen Sie ein klares Regelwerk (KI-Governance). Bevor KI-Tools flächendeckend genutzt werden, muss eine zentrale KI-Nutzungsrichtlinie etabliert werden. Diese legt fest, welche Anwendungen erlaubt sind, welche Daten zur Verarbeitung genutzt werden dürfen (insbesondere keine sensiblen Unternehmens- oder Kundendaten in öffentlichen Modellen) und welche ethischen Grundsätze gelten sollen. Ein solches Regelwerk ist die erste Verteidigungslinie gegen Datenschutzverstöße.

Tipp 2: Investieren Sie in Ihre Mitarbeitenden (KI-Kompetenz). Verbote allein führen zu Frust und Umgehungsversuchen. Das Ziel muss sein, Ihre Mitarbeiter zu befähigen, KI-Werkzeuge sicher und produktiv zu nutzen. Systematische und rollenspezifische Schulungen sind der Schlüssel zum Aufbau einer breiten „KI-Kompetenz“. Nur wer die grundlegenden Funktionsweisen, aber auch die Risiken versteht, kann verantwortungsvoll handeln.

Tipp 3: Definieren Sie klare Verantwortlichkeiten und Prozesse. Wer ist im Unternehmen für KI verantwortlich? Wer prüft und genehmigt neue Tools? Es muss klar definierte Rollen (z. B. einen KI-Verantwortlichen oder ein interdisziplinäres KI-Gremium) und einen festen Prozess für die Einführung neuer Systeme geben. Ein wesentlicher Teil dieses Prozesses ist die Durchführung einer Risikobewertung und gegebenenfalls einer Datenschutz-Folgenabschätzung (DSFA).

Tipp 4: Binden Sie alle relevanten Akteure ein. KI-Governance ist keine Aufgabe für eine einzelne Abteilung. Sie funktioniert nur im Team. Beziehen Sie von Anfang an alle wichtigen Stakeholder mit ein: Die Geschäftsführung für die strategische Richtung, den Datenschutzbeauftragten (DSB) zur Sicherstellung der Compliance, die IT-Abteilung zur Gewährleistung der Sicherheit und nicht zuletzt den Betriebsrat, der bei vielen KI-Anwendungen ein gesetzliches Mitbestimmungsrecht hat.

Von der KI-Planung in die Umsetzung: Zuständigkeiten und Handlungsschritte

Diese Regeln lassen sich in einem konkreten Aktionsplan umsetzen:

Was tun, wenn man ein kleines Unternehmen ist?

Große Konzerne haben eigene Abteilungen für Recht und Compliance, doch was machen kleine und mittelständische Unternehmen ohne diese Ressourcen? Der Schlüssel liegt in einem pragmatischen Zwei-Säulen-Modell:

1. Kompetenz intern aufbauen: Schaffen Sie ein grundlegendes Bewusstsein bei allen Mitarbeitenden. Jeder sollte die “Goldenen Regeln” kennen und für die typischen Risiken sensibilisiert sein. Dies bildet die unverzichtbare Basis für eine sichere KI-Nutzung.
2. Tool-Checks und Governance auslagern: Sie müssen nicht selbst zum AI-Act-Experten werden. Für die komplexe rechtliche Bewertung eines neuen KI-Tools oder die Erstellung einer maßgeschneiderten KI-Richtlinie ist es weitaus effizienter und sicherer, auf externe Spezialisten zurückzugreifen.

Genau für diesen Bedarf haben wir unseren KI-Governance-Service entwickelt. Wir geben Ihnen eine schnelle und verlässliche Einschätzung, ob ein von Ihnen geplantes Tool sicher und rechtskonform ist.

Fragen Sie jetzt unseren KI-Governance-Service an und erhalten Sie eine kostenlose Ersteinschätzung zu Ihren KI-Themen.

Fazit: Mitarbeiterschulung und klare KI-Regeln im Unternehmen: Der Schlüssel zum Erfolg

Der Sprung in die KI-Welt ist weniger eine technologische Hürde als eine strategische: Während der EU AI Act und die DSGVO den rechtlichen Rahmen vorgeben, liegt die eigentliche Herausforderung in der sicheren und praktischen Umsetzung meist bei Ihnen – dem Unternehmer, dem Team im KMU Unternehmen, das mit KI starten will. 

Der entscheidende Erfolgsfaktor ist daher nicht die KI-Technologie allein, sondern eine durchdachte KI-Governance und kompetente Mitarbeiter, die sowohl die enormen Chancen als auch die verbindlichen Spielregeln kennen. Indem Sie jetzt in klare Richtlinien und die Schulung Ihres Teams investieren, schaffen Sie das Fundament für eine verantwortungsvolle und erfolgreiche Innovation. 

Welche Schritte gehen Sie als Nächstes an?