KI und Datenschutz: Was Du als Unternehmer wirklich beachten musst

6. März 2026
von
Schreibe einen Kommentar
KI und Datenschutz DSGVO Nutzung von KI-Tools im Unternehmen

Du nutzt KI-Tools wie ChatGPT, Claude oder Gemini in Deinem Business? Dann verarbeitest Du wahrscheinlich personenbezogene Daten — und das hat Konsequenzen. Denn jede Eingabe, jede Ausgabe und jeder Datentransfer an den KI-Anbieter unterliegt der DSGVO. Und seit Februar 2025 kommt mit dem AI Act eine zweite Regulierungsebene dazu.

Das Thema künstliche Intelligenz und Datenschutz verunsichert viele Unternehmer. Verständlich: Die Rechtslage ist komplex, die Vorgaben ändern sich laufend und im Netz kursieren widersprüchliche Informationen. Die gute Nachricht: Du kannst KI-Tools rechtssicher nutzen — wenn Du weißt, worauf es ankommt.

In diesem Artikel zeige ich Dir, welche DSGVO-Regeln für KI wirklich gelten, wo die konkreten Risiken liegen und wie Du KI datenschutzkonform einsetzt — Schritt für Schritt, mit Checkliste und Muster-Texten.

Inhaltsverzeichnis:

I. Die 3 wichtigsten Regeln auf einen Blick

Bevor wir in die Details gehen: Hier die Kurzversion.

  • Regel 1: Keine personenbezogenen Daten ohne Rechtsgrundlage. Gibst Du Namen, E-Mail-Adressen oder Kundendaten in ein KI-Tool ein, brauchst Du dafür eine Rechtsgrundlage nach Art. 6 DSGVO.
  • Regel 2: Auftragsverarbeitungsvertrag (AVV) prüfen und abschließen. Wenn der KI-Anbieter Daten in Deinem Auftrag verarbeitet, brauchst Du einen AVV nach Art. 28 DSGVO.
  • Regel 3: Mitarbeiter müssen geschult sein. Seit dem 2. Februar 2025 gilt die Schulungspflicht nach Art. 4 KI-Verordnung. Das betrifft jedes Unternehmen, das KI einsetzt.

Merke: Wenn Du nur eine Sache aus diesem Artikel mitnimmst, dann diese: Gib niemals ungeschützte personenbezogene Daten in ein KI-Tool ein, für das Du keinen AVV hast.

II. Was ist das Datenschutz-Problem bei künstlicher Intelligenz genau?

Künstliche Intelligenz und Datenschutz stehen in einem Spannungsverhältnis: KI-Systeme wie ChatGPT, Claude oder Gemini brauchen Daten, um zu funktionieren. Und sobald in diesen Daten ein Personenbezug steckt — ein Name, eine E-Mail-Adresse, eine Kundennummer, eine IP-Adresse — greift die DSGVO.

Konkret kollidieren DSGVO und KI an mehreren Stellen:

  • Eingabe: Du gibst Daten in das Tool ein. Diese Daten werden an Server des Anbieters übertragen — oft in die USA.
  • Verarbeitung: Der Anbieter verarbeitet Deine Eingaben, um eine Antwort zu generieren. Je nach Einstellung werden diese Daten auch für das Training des Modells verwendet.
  • Ausgabe: Die KI kann personenbezogene Daten in ihren Antworten ausgeben — auch solche, die aus Trainingsdaten stammen und möglicherweise fehlerhaft sind.
  • Speicherung: Chatverläufe werden gespeichert, teilweise für 30 Tage oder länger.

Praktisch bedeutet das: Schon wenn ein Mitarbeiter den Namen eines Kunden in ChatGPT eingibt, um eine E-Mail formulieren zu lassen, findet eine Datenverarbeitung im Sinne der DSGVO statt. Und Du als Unternehmer bist dafür verantwortlich.

Achtung: Das gilt auch dann, wenn der Mitarbeiter ein privates ChatGPT-Konto nutzt. Entscheidend ist, dass die Verarbeitung im beruflichen Kontext stattfindet.

A. Ein typisches Beispiel

Stell Dir vor, Dein Vertriebsmitarbeiter möchte eine Angebots-E-Mail an einen Kunden formulieren. Er kopiert den Namen, die Firma und die bisherige Bestellhistorie in ChatGPT und lässt sich einen Entwurf schreiben. Klingt effizient. Ist es auch — aber gleichzeitig hast Du gerade personenbezogene Daten an Server in den USA übermittelt.

Ohne AVV, ohne Training Opt-out und ohne dokumentierte Rechtsgrundlage ist das ein DSGVO-Verstoß. Und zwar einer, für den Du als Unternehmer haftest — nicht Dein Mitarbeiter.

So ist die Lage. Und jetzt die saubere Lösung: Lies weiter und setz die Schritte aus diesem Artikel um.

III. Welche DSGVO-Regeln gelten für den KI-Einsatz?

Die DSGVO ist technologieneutral. Das heißt: Es gibt kein eigenes KI-Kapitel. Stattdessen gelten die allgemeinen Grundsätze — und die haben es in sich.

Hier die relevanten Artikel und was sie für Dich bedeuten:

  • Art. 5 DSGVO — Grundsätze: Datenminimierung, Zweckbindung, Richtigkeit. Konkret heißt das: Gib nur die Daten ein, die Du wirklich brauchst. Verwende keine echten Kundendaten, wenn anonymisierte reichen.
  • Art. 6 DSGVO — Rechtsgrundlage: Jede Verarbeitung braucht eine Rechtsgrundlage. Für den KI-Einsatz kommen vor allem in Frage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f), Einwilligung (Art. 6 Abs. 1 lit. a) oder Vertragserfüllung (Art. 6 Abs. 1 lit. b). Letzteres greift zum Beispiel, wenn ein Dienstleister KI einsetzt, um einen konkreten Kundenauftrag zu bearbeiten — etwa eine beauftragte Textübersetzung per KI-Tool. Für interne Nutzung ohne Personenbezug brauchst Du keine Einwilligung.
  • Art. 13 DSGVO — Informationspflicht: Du musst betroffene Personen darüber informieren, dass Du KI-Tools einsetzt und welche Daten dabei verarbeitet werden. Das gehört in Deine Datenschutzerklärung.

Die DSGVO-Artikelliste ist lang — aber keine Sorge: Du musst nicht jeden Paragraphen auswendig kennen. Entscheidend ist, dass Du die praktischen Auswirkungen verstehst.

  • Art. 25 DSGVO — Privacy by Design und Privacy by Default: Du musst datenschutzfreundliche Technik und datenschutzfreundliche Voreinstellungen nutzen. Privacy by Default bedeutet: Die Standardeinstellungen müssen bereits die datenschutzfreundlichste Variante sein. Bei ChatGPT zum Beispiel: Training Opt-out aktivieren und Chat-Historie deaktivieren — also die Voreinstellungen aktiv so setzen, dass möglichst wenig Daten verarbeitet werden.
  • Art. 28 DSGVO — Auftragsverarbeitung: Wenn der KI-Anbieter Daten in Deinem Auftrag verarbeitet, brauchst Du einen Auftragsverarbeitungsvertrag (AVV).
  • Art. 30 DSGVO — Verarbeitungsverzeichnis: Du musst den KI-Einsatz als Verarbeitungstätigkeit in Dein Verzeichnis der Verarbeitungstätigkeiten aufnehmen. Dokumentiere dort, welches Tool Du nutzt, welche Datenkategorien verarbeitet werden, wer Zugriff hat und wie der Drittlandtransfer abgesichert ist.
  • Art. 32 DSGVO — Technische und organisatorische Maßnahmen: Du musst angemessene Sicherheitsmaßnahmen treffen. Dazu gehören Zugangskontrollen, Richtlinien und Schulungen.
  • Art. 35 DSGVO — Datenschutzfolgenabschätzung (DSFA): Bei hohem Risiko für die Rechte betroffener Personen musst Du vorab eine Datenschutzfolgenabschätzung durchführen.

In der Praxis: Du musst nicht jeden dieser Artikel einzeln abarbeiten. Aber Du brauchst ein Grundverständnis dafür, warum Du beim Thema DSGVO und KI nicht einfach drauflos prompten kannst. Die konkreten Schritte kommen in der Checkliste weiter unten.

A. Was bedeutet Datenminimierung bei KI konkret?

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) ist beim KI-Einsatz besonders relevant. Denn die Versuchung ist groß, möglichst viele Informationen in den Prompt zu packen, um ein besseres Ergebnis zu bekommen.

Konkret heißt das für Dich:

  • Nutze Platzhalter statt echte Namen: „Kunde A“ statt „Max Mustermann“.
  • Entferne identifizierende Merkmale, wenn sie für die Aufgabe nicht nötig sind.
  • Frage Dich vor jeder Eingabe: Braucht die KI diese Information wirklich, um die Aufgabe zu erledigen?
  • Wenn Du Kundendaten analysieren willst, anonymisiere oder pseudonymisiere sie vorher.

Was Dir Arbeit spart, kann rechtlich trotzdem kippen. Die Bequemlichkeit, einfach alles in den Prompt zu kopieren, ist eines der größten Risiken beim Thema ChatGPT und Datenschutz — und bei jedem anderen KI-Tool.

IV. ChatGPT und Datenschutz: Was ist erlaubt, was nicht?

Die Frage höre ich am häufigsten: Ist ChatGPT DSGVO-konform? Und was gilt für Claude, Gemini oder Copilot? Die Antwort: Ja, Du darfst diese Tools nutzen — aber nicht ohne Vorbereitung.

Hier eine Einordnung der großen Anbieter:

A. ChatGPT (OpenAI)

  • AVV verfügbar: Ja. OpenAI bietet seit 2024 ein Data Processing Addendum an. Für ChatGPT Team, Enterprise und API-Nutzer ist der AVV Bestandteil der Nutzungsbedingungen. Für die kostenlose Version und ChatGPT Plus ist ein AVV verfügbar, den Du über die OpenAI-Website abschließen kannst.
  • Serverstandort: USA. OpenAI ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Damit ist der Drittlandtransfer derzeit rechtlich abgesichert — solange das Abkommen Bestand hat.
  • Training Opt-out: Möglich. In den Einstellungen kannst Du festlegen, dass Deine Eingaben nicht für das Modell-Training verwendet werden. Bei Team- und Enterprise-Accounts ist das standardmäßig deaktiviert.

Bewertung: Für den geschäftlichen Einsatz geeignet — wenn Du den AVV abschließt, den Training Opt-out aktivierst und keine sensiblen Daten ohne Anonymisierung eingibst.

B. Claude (Anthropic)

  • AVV verfügbar: Ja, aber nur für Commercial-Pläne. Anthropic bietet einen Auftragsverarbeitungsvertrag für Claude for Work, Claude for Government, Claude for Education und den API-Zugang an. Der AVV ist automatisch in die Commercial Terms of Service integriert. Achtung: Die Consumer-Pläne (Free, Pro, Max und auch der Team-Plan) haben keinen AVV.
  • Serverstandort: USA. Anthropic ist nicht unter dem EU-U.S. Data Privacy Framework zertifiziert. Der Datentransfer wird über Standardvertragsklauseln abgesichert, die im Auftragsverarbeitungsvertrag enthalten sind.
  • Training Opt-out: Seit September 2025 werden bei allen Consumer-Plänen (Free, Pro, Max und Team) Eingaben standardmäßig für das Training verwendet — Opt-out ist möglich. Bei API-Nutzung und Claude for Work werden Eingaben standardmäßig nicht für Training verwendet.
  • Bewertung: Für den geschäftlichen Einsatz geeignet — aber nur mit Claude for Work oder API. Der Team-Plan ($30/Monat) ist trotz des Namens ein Consumer-Plan ohne AVV. Das ist die wichtigste Falle bei Claude.

C. Gemini (Google)

  • AVV verfügbar: Ja. Google bietet für Workspace-Nutzer und die Gemini API einen Auftragsverarbeitungsvertrag im Rahmen der bestehenden Google-Cloud-Vereinbarungen an. Für die kostenlose Gemini-Version gelten die allgemeinen Google-Nutzungsbedingungen — ein separater AVV ist hier schwieriger.
  • Serverstandort: Google verarbeitet Daten in Rechenzentren weltweit, auch in der EU. Für die Cloud-Variante kannst Du Regionen festlegen.
  • Training Opt-out: Bei Workspace-Integrationen werden Daten nicht für das Training verwendet. Bei der kostenlosen Version kann Google Eingaben zum Training nutzen.
  • Bewertung: Für Workspace-Nutzer gut geeignet. Die kostenlose Version ist für personenbezogene Daten nicht empfehlenswert.

Wichtig: Die kostenlose Version eines KI-Tools ist für den geschäftlichen Einsatz mit personenbezogenen Daten in der Regel nicht geeignet. Dir fehlt der AVV, die Daten werden möglicherweise für Training verwendet, und Du hast keine Kontrolle über die Verarbeitung. Nutze mindestens die Business-Version — und prüfe genau, ob „Team“ wirklich ein Business-Plan ist (bei Claude ist er es nicht).

D. Was ist mit Microsoft Copilot?

Microsoft Copilot ist in vielen Microsoft-365-Abonnements enthalten. Der Vorteil: Wenn Du bereits einen Microsoft-365-Vertrag mit AVV hast (was bei Business-Lizenzen der Standard ist), ist der Datenschutz-Rahmen für Copilot in der Regel bereits abgedeckt. Die Daten werden innerhalb der Microsoft-Cloud-Infrastruktur verarbeitet, und Microsoft bietet EU-Datenresidenz an.

Praktisch bedeutet das: Copilot ist für viele Unternehmen der unkomplizierteste Einstieg in die KI-Nutzung, weil der AVV und die Datenschutz-Infrastruktur bereits bestehen. Trotzdem solltest Du prüfen, ob Dein konkreter Microsoft-Vertrag die KI-Verarbeitung abdeckt, und Deine Datenschutzerklärung entsprechend ergänzen.

E. Kurzvergleich: Welches KI-Tool ist DSGVO-konform?

Alle vier Anbieter lassen sich grundsätzlich DSGVO-konform einsetzen. Hier der Vergleich im Überblick:

Kriterium ChatGPT Team Claude for Work / API Gemini Workspace MS Copilot
AVV verfügbar Ja Ja Ja (Google Cloud) Ja (M365)
Training Opt-out Standard: aus Standard: aus Standard: aus Standard: aus
EU-Datenresidenz Nein (USA) Nein (USA) Wählbar Ja (EU)
Privacy Framework Ja Nein (nur Standardvertragsklauseln) Ja Ja
Kostenlose Version nutzbar? Nicht empfohlen Nicht empfohlen Nicht empfohlen Nicht empfohlen
Besonders geeignet für Breiter Funktionsumfang Starke Privacy-Defaults Google-Ökosystem M365-Nutzer

Merke: Am unkompliziertesten ist Copilot mit Microsoft 365, weil AVV und EU-Infrastruktur in der Regel schon stehen. Bei Claude ist entscheidend, dass Du einen Commercial-Plan (Claude for Work oder API) nutzt — der Team-Plan reicht nicht.

F. Drittlandtransfer: Warum die USA ein Thema sind

Die meisten großen KI-Anbieter sitzen in den USA. Daten, die Du in ChatGPT, Claude oder Gemini eingibst, werden in der Regel an Server in den USA übermittelt. Das ist ein sogenannter Drittlandtransfer nach Art. 44 ff. DSGVO.

Derzeit ist dieser Transfer durch das EU-U.S. Data Privacy Framework abgesichert. Die EU-Kommission hat im Juli 2023 einen Angemessenheitsbeschluss erlassen, der die Datenübermittlung an zertifizierte US-Unternehmen ermöglicht. OpenAI und Google sind unter diesem Framework zertifiziert. Anthropic ist derzeit nicht unter dem Data Privacy Framework zertifiziert — dort wird der Datentransfer ausschließlich über Standardvertragsklauseln abgesichert.

Achtung: Das Data Privacy Framework steht unter Beobachtung. Es ist nicht ausgeschlossen, dass es — wie seine Vorgänger Safe Harbor und Privacy Shield — vom Europäischen Gerichtshof gekippt wird. Ein Restrisiko bleibt. Deshalb ist es sinnvoll, zusätzlich Standardvertragsklauseln als Absicherung zu haben, was die meisten Anbieter mittlerweile anbieten. Bei Anthropic sind Standardvertragsklauseln ohnehin die einzige Grundlage für den Drittlandtransfer.

V. Brauche ich einen Auftragsverarbeitungsvertrag (AVV) für KI-Tools?

Kurze Antwort: In den meisten Fällen ja.

Ein AVV nach Art. 28 DSGVO ist immer dann Pflicht, wenn ein externer Dienstleister personenbezogene Daten in Deinem Auftrag und nach Deiner Weisung verarbeitet. Genau das passiert, wenn Du Kundendaten, Mitarbeiterdaten oder andere personenbezogene Daten in ein KI-Tool eingibst.

Wichtig: Die rechtliche Einordnung von KI-Anbietern ist nicht immer eindeutig. Je nachdem, wie der Anbieter die Daten tatsächlich nutzt, kann er als Auftragsverarbeiter oder als eigener Verantwortlicher gelten. Bei eigener Verantwortlichkeit bräuchtest Du keinen AVV, sondern eine andere Rechtsgrundlage für die Datenübermittlung. OpenAI positioniert sich vertraglich als Auftragsverarbeiter — das ist die Grundlage, auf der der AVV-Abschluss funktioniert. Bei anderen Anbietern solltest Du genau prüfen, welche Rolle sie vertraglich einnehmen.

A. Wann brauchst Du einen AVV?

  • Du gibst personenbezogene Daten in das KI-Tool ein (Namen, E-Mail-Adressen, Kundennummern, etc.).
  • Du lässt das Tool Texte mit Personenbezug erstellen (z.B. personalisierte E-Mails, Angebote).
  • Du nutzt das KI-Tool zur Analyse von Kundendaten.

B. Wann brauchst Du keinen AVV?

  • Du nutzt das KI-Tool ausschließlich mit anonymisierten Daten oder rein fiktiven Inhalten.
  • Du verwendest es nur für allgemeine Recherche ohne Personenbezug (z.B. „Erkläre mir das Prinzip der Datenminimierung“).

C. So schließt Du den AVV ab

Bei den meisten Anbietern funktioniert das digital:

  • OpenAI (ChatGPT): Unter privacy.openai.com oder in den Account-Einstellungen. Der Auftragsverarbeitungsvertrag wird elektronisch akzeptiert.
  • Anthropic (Claude): Über die Anthropic-Website oder als Teil der Enterprise-Vereinbarung.
  • Google (Gemini): Über die Google Workspace Admin-Konsole oder als Teil der Cloud-Vereinbarung.

Konkret heißt das: Bevor Du das Tool mit personenbezogenen Daten fütterst, gehst Du auf die Website des Anbieters, schließt den AVV ab und dokumentierst das. Erst dann darfst Du loslegen.

Achtung: Ein AVV allein reicht nicht. Du musst zusätzlich prüfen, ob der Drittlandtransfer abgesichert ist (Privacy Framework, Standardvertragsklauseln) und ob Du die Einstellungen datenschutzfreundlich konfiguriert hast.

VI. Brauche ich eine Datenschutzfolgenabschätzung (DSFA) für KI?

Eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO ist Pflicht, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt.

A. Wann ist eine Datenschutzfolgenabschätzung beim KI-Einsatz Pflicht?

Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe zu KI und Datenschutz klar gemacht: Der Einsatz von KI-Systemen, die personenbezogene Daten systematisch und umfassend verarbeiten, löst in der Regel die Pflicht zur Datenschutzfolgenabschätzung aus.

Konkret brauchst Du eine Datenschutzfolgenabschätzung, wenn mindestens zwei der folgenden Kriterien zutreffen:

  • Bewertung/Scoring: Das KI-Tool bewertet Personen (z.B. Kreditwürdigkeit, Leistung).
  • Automatisierte Entscheidungen: Entscheidungen mit rechtlicher Wirkung werden automatisiert getroffen.
  • Systematische Überwachung: Du überwachst öffentlich zugängliche Bereiche.
  • Sensible Daten: Besondere Kategorien personenbezogener Daten werden verarbeitet (Gesundheit, Religion, etc.).
  • Umfangreiche Verarbeitung: Große Datenmengen oder viele betroffene Personen.
  • Neue Technologien: Der Einsatz von KI-Technologie selbst kann bereits als Kriterium zählen.

B. Wann brauchst Du keine Datenschutzfolgenabschätzung?

Wenn Du KI-Tools nur gelegentlich für allgemeine Texterstellung nutzt, ohne systematisch personenbezogene Daten zu verarbeiten, ist eine Datenschutzfolgenabschätzung in der Regel nicht erforderlich. Beispiel: Du lässt Dir Blog-Artikel schreiben oder übersetzt allgemeine Texte.

C. Kurzanleitung: So führst Du eine Datenschutzfolgenabschätzung durch

  1. Beschreibung: Dokumentiere, welches KI-Tool Du einsetzt, welche Daten verarbeitet werden und zu welchem Zweck.
  2. Notwendigkeit und Verhältnismäßigkeit: Prüfe, ob der KI-Einsatz für den Zweck erforderlich ist und ob es mildere Mittel gibt.
  3. Risikobewertung: Identifiziere Risiken für betroffene Personen (Datenverlust, Fehlentscheidungen, Diskriminierung, Profilbildung).
  4. Abhilfemaßnahmen: Lege fest, wie Du diese Risiken minimierst (Anonymisierung, Zugangskontrollen, Training Opt-out, regelmäßige Überprüfung).
  5. Dokumentation: Halte alles schriftlich fest. Die Datenschutzfolgenabschätzung muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können.

Merke: Auch wenn Du nicht formell zur Datenschutzfolgenabschätzung verpflichtet bist, ist eine kurze Risikoabschätzung für jeden KI-Einsatz mit Personenbezug sinnvoll. Dokumentiere zumindest: Welches Tool, welche Daten, welche Schutzmaßnahmen.

VII. KI-Richtlinie und Mitarbeiter-Schulung: Was seit 2025 Pflicht ist

Seit dem 2. Februar 2025 gilt Art. 4 der KI-Verordnung (AI Act). Und der hat es in sich: Er verpflichtet Unternehmen, die KI-Systeme einsetzen, dafür zu sorgen, dass ihre Mitarbeiter über ein ausreichendes Maß an KI-Kompetenz verfügen.

A. Was bedeutet das konkret?

Du musst sicherstellen, dass alle Mitarbeiter, die mit KI-Tools arbeiten, verstehen:

  • Was KI ist und wie die eingesetzten Tools grundsätzlich funktionieren.
  • Welche Risiken mit dem KI-Einsatz verbunden sind (Datenschutz, Fehlinformationen, Bias).
  • Welche internen Regeln für den KI-Einsatz gelten.
  • Welche Daten eingegeben werden dürfen und welche nicht.

B. Brauche ich eine schriftliche KI-Richtlinie?

Art. 4 KI-Verordnung verlangt keine bestimmte Form. Aber: Ohne schriftliche Dokumentation kannst Du im Ernstfall nicht nachweisen, dass Du Deine Pflicht erfüllt hast. Deshalb ist eine KI-Richtlinie dringend empfohlen.

Praktisch bedeutet das: Erstelle ein internes Dokument, das klar regelt, wie KI in Deinem Unternehmen genutzt werden darf.

Die Richtlinie selbst sollte in formalem Ton gehalten sein — hier eine Vorlage, die Du anpassen kannst:

Muster: Auszug KI-Richtlinie (zur Anpassung an Dein Unternehmen)

  1. Geltungsbereich
    Diese Richtlinie gilt für alle Mitarbeiterinnen und Mitarbeiter der [Firmenname] sowie für freie Mitarbeiter und externe Dienstleister, die im Auftrag des Unternehmens KI-Tools einsetzen.
  2. Zugelassene KI-Tools
    Folgende KI-Tools sind für die geschäftliche Nutzung freigegeben: [z.B. ChatGPT Team, Claude for Work / Claude API, Microsoft Copilot]. Die Nutzung nicht freigegebener Tools ist untersagt.
  3. Umgang mit Daten
    Es dürfen keine personenbezogenen Daten (Namen, E-Mail-Adressen, Kundennummern, Gesundheitsdaten) in KI-Tools eingegeben werden, es sei denn, ein Auftragsverarbeitungsvertrag (AVV) liegt vor und die Eingabe ist für den Arbeitszweck erforderlich. Sensible Daten (Art. 9 DSGVO) dürfen grundsätzlich nicht eingegeben werden.
  4. Qualitätskontrolle
    KI-generierte Inhalte müssen vor der Verwendung auf Richtigkeit, Vollständigkeit und mögliche Rechtsverletzungen geprüft werden. Eine Veröffentlichung oder Weitergabe ohne menschliche Prüfung ist nicht gestattet.
  5. Schulung
    Alle Mitarbeiter, die KI-Tools nutzen, müssen vor der ersten Nutzung eine Einweisung erhalten. Diese Einweisung wird dokumentiert und jährlich aufgefrischt.

C. Wie dokumentiere ich die Schulung?

Halte für jeden Mitarbeiter fest: Wann wurde geschult, welche Inhalte wurden vermittelt, welche Tools betrifft es. Eine einfache Liste mit Datum und Unterschrift reicht aus. Wichtig ist, dass Du es nachweisen kannst.

D. Gilt die Schulungspflicht auch für Solopreneure?

Ja. Art. 4 KI-Verordnung richtet sich an alle, die KI-Systeme einsetzen — unabhängig von der Unternehmensgröße. Als Solopreneur bist Du selbst der „Mitarbeiter“, der KI-kompetent sein muss. Du musst Dich also nicht formal selbst schulen, aber Du solltest dokumentieren können, dass Du Dich mit den Risiken und Regeln vertraut gemacht hast. Ein kurzes internes Dokument („Ich habe mich am [Datum] mit den Datenschutzanforderungen für den KI-Einsatz befasst“) kann im Ernstfall den Unterschied machen.

E. Was muss die Schulung beinhalten?

Die KI-Verordnung nennt keine konkreten Inhalte, sondern spricht von „ausreichender KI-Kompetenz“. Die folgenden Punkte solltest Du mindestens abdecken:

  • Grundverständnis: Was ist KI, wie funktionieren die eingesetzten Tools grundsätzlich?
  • Datenschutz-Regeln: Welche Daten dürfen eingegeben werden, welche nicht?
  • Risiken: Halluzinationen, Bias, Urheberrecht, Datenlecks.
  • Interne Richtlinie: Welche Tools sind freigegeben, welche Prozesse gelten
  • Qualitätskontrolle: Warum müssen KI-Ausgaben immer geprüft werden?

VIII. AI Act und DSGVO — was gilt parallel?

Seit dem 1. August 2024 ist der AI Act (KI-Verordnung) in Kraft. Er wird stufenweise wirksam:

  • Seit 2. Februar 2025: Verbotene KI-Praktiken (Art. 5) und Schulungspflicht (Art. 4) gelten.
  • Ab 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (wie GPT-4, Claude, Gemini) greifen.
  • Ab 2. August 2026: Die vollständigen Pflichten für Hochrisiko-KI-Systeme treten in Kraft.

A. Was ist der Unterschied zwischen AI Act und DSGVO?

Die DSGVO schützt personenbezogene Daten. Der AI Act reguliert KI-Systeme als Technologie — unabhängig davon, ob personenbezogene Daten verarbeitet werden.

Heißt praktisch für Dich: Beide Regelwerke gelten parallel und unabhängig voneinander. Du musst sowohl die DSGVO als auch den AI Act einhalten.

  • DSGVO: Regelt, wie Du mit Daten umgehst (Rechtsgrundlage, AVV, Informationspflicht, Datenschutzfolgenabschätzung).
  • AI Act: Regelt, wie Du KI-Systeme einsetzt (Schulung, Risikobewertung, Transparenz, verbotene Praktiken).

Für die meisten Selbständigen und KMU, die KI-Tools als Anwender nutzen, sind die wichtigsten AI-Act-Pflichten:

  • Schulungspflicht (Art. 4): Mitarbeiter müssen KI-kompetent sein. Gilt seit Februar 2025.
  • Transparenzpflicht: Wenn KI-generierte Inhalte als menschlich gemacht erscheinen könnten, muss das kenntlich gemacht werden (z.B. Deepfakes, synthetische Texte in bestimmten Kontexten).
  • Verbotene Praktiken (Art. 5): Bestimmte KI-Anwendungen sind komplett verboten, z.B. Social Scoring oder manipulative KI. Das betrifft die meisten KMU nicht direkt, aber Du solltest es kennen.

Wichtig: Der AI Act richtet sich in erster Linie an Anbieter von KI-Systemen. Als Anwender (Deployer) hast Du weniger Pflichten, aber die Schulungspflicht und die Transparenzpflicht treffen Dich direkt.

B. Welche Sanktionen drohen?

Bei DSGVO-Verstößen durch den KI-Einsatz gelten die regulären Bußgelder: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Der AI Act bringt eigene Bußgelder mit: bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes bei Verstößen gegen verbotene Praktiken.

Für die meisten KMU und Selbständigen sind die realistischeren Risiken allerdings:

  • Abmahnung durch Wettbewerber oder Datenschutzvereine: Insbesondere wenn Deine Datenschutzerklärung den KI-Einsatz nicht erwähnt.
  • Beschwerden betroffener Personen: Wenn ein Kunde erfährt, dass seine Daten in einem KI-Tool gelandet sind, kann er sich bei der Aufsichtsbehörde beschweren.
  • Aufsichtsbehördliches Verfahren: Die Datenschutzbehörden schauen zunehmend genauer auf den KI-Einsatz in Unternehmen.
  • Haftung für fehlerhafte KI-Ausgaben: Wenn KI-generierte Inhalte falsch sind oder Rechte Dritter verletzen (z.B. Urheberrecht, Persönlichkeitsrecht), haftest Du als Verwender. Die KI ist kein Haftungsschild — Du trägst die Verantwortung für alles, was Du veröffentlichst oder an Kunden weitergibst, unabhängig davon, ob ein Mensch oder eine KI den Inhalt erstellt hat.

Das Risiko entsteht nicht durch die KI-Nutzung an sich, sondern durch fehlende Vorbereitung. Wer die Grundlagen sauber aufsetzt, reduziert das Risiko erheblich.

IX. Muss ich KI in meiner Datenschutzerklärung angeben?

Kurze Antwort: Ja — sobald personenbezogene Daten, die über Deine Website erfasst werden, mit einem KI-Tool verarbeitet werden.

A. Wann ist die Angabe Pflicht?

Art. 13 DSGVO verpflichtet Dich, betroffene Personen über jede Verarbeitung ihrer Daten zu informieren. Das schließt ausdrücklich die Weitergabe an Dritte und die Übermittlung in Drittländer ein. Sobald Du also Daten, die über Deine Website eingehen — etwa Kontaktformular-Anfragen, Newsletter-Anmeldungen, Bestelldaten oder Support-Nachrichten — in ein KI-Tool wie ChatGPT eingibst, musst Du das in Deiner Datenschutzerklärung offenlegen.

Praktisch bedeutet das: Wenn Du eine Kundenanfrage aus Deinem Kontaktformular in ChatGPT einfügst, um eine Antwort formulieren zu lassen, verarbeitest Du personenbezogene Daten mit einem externen Dienst. Deine Website-Besucher müssen darüber informiert sein, bevor sie Dir ihre Daten geben.

B. Was genau muss in die Datenschutzerklärung?

Du musst mindestens folgende Informationen aufnehmen:

  • Zweck der Verarbeitung: Wofür setzt Du KI-Tools ein? (z.B. Beantwortung von Kundenanfragen, Texterstellung, Datenanalyse)
  • Rechtsgrundlage: Auf welcher Basis verarbeitest Du die Daten? (Art. 6 Abs. 1 lit. b bei Vertragserfüllung, lit. f bei berechtigtem Interesse, lit. a bei Einwilligung)
  • Empfänger: Welche KI-Anbieter erhalten die Daten? (z.B. OpenAI, Anthropic, Google)
  • Drittlandtransfer: Werden die Daten in die USA oder ein anderes Drittland übermittelt? Auf welcher Grundlage? (EU-U.S. Data Privacy Framework, Standardvertragsklauseln)
  • AVV-Hinweis: Dass ein Auftragsverarbeitungsvertrag mit dem Anbieter besteht.
  • Speicherdauer: Wie lange werden die Daten beim KI-Anbieter gespeichert?

C. Wann ist die Angabe nicht nötig?

Wenn Du KI-Tools ausschließlich mit Daten nutzt, die keinen Bezug zu Deinen Website-Besuchern oder Kunden haben — zum Beispiel rein interne Recherche, allgemeine Texterstellung ohne Personenbezug oder Arbeit mit fiktiven Daten — musst Du das nicht in Deiner Datenschutzerklärung aufführen. Entscheidend ist der Personenbezug der über die Website erfassten Daten.

Achtung: Viele Unternehmer übersehen diesen Punkt. Die Datenschutzerklärung wird einmal erstellt und dann nicht mehr angefasst. Wenn Du nachträglich KI-Tools einführst, die mit Website-Daten arbeiten, musst Du die Datenschutzerklärung aktualisieren. Tust Du das nicht, ist das ein eigenständiger Verstoß gegen die Informationspflicht nach Art. 13 DSGVO — und ein beliebter Abmahngrund.

Merke: Beim Thema künstliche Intelligenz und Datenschutz gilt: Prüfe bei jedem neuen KI-Tool, ob damit Daten verarbeitet werden, die über Deine Website erfasst wurden. Wenn ja, gehört es in die Datenschutzerklärung. Im Zweifel lieber aufnehmen — zu viel Information ist kein Verstoß, zu wenig schon.

X. KI datenschutzkonform einsetzen — Deine Checkliste

Du willst KI datenschutzkonform einsetzen? Hier die konkreten Schritte, die Du jetzt umsetzen solltest:

  • Bestandsaufnahme: Welche KI-Tools werden in Deinem Unternehmen genutzt? Auch inoffizielle Nutzung durch Mitarbeiter (Schatten-IT) erfassen.
  • AVV prüfen: Für jedes Tool mit Personenbezug prüfen: Gibt es einen AVV? Wenn nein, abschließen oder das Tool nicht für personenbezogene Daten nutzen.
  • Drittlandtransfer absichern: Ist der Anbieter in einem Drittland (z.B. USA)? Prüfe, ob ein Angemessenheitsbeschluss (Privacy Framework), Standardvertragsklauseln oder eine andere Garantie vorliegt.
  • Einstellungen konfigurieren: Training Opt-out aktivieren, Chat-Historie deaktivieren (wo möglich), Zugangsberechtigungen festlegen.
  • KI-Richtlinie erstellen: Schriftliche Richtlinie für den KI-Einsatz im Unternehmen. Welche Tools, welche Daten, welche Regeln.
  • Mitarbeiter schulen: Einweisung in die KI-Richtlinie und die wichtigsten Datenschutz-Regeln. Schulung dokumentieren.
  • Datenschutzerklärung aktualisieren: Informiere Deine Kunden und Website-Besucher darüber, dass und wie Du KI-Tools einsetzt.
  • Datenschutzfolgenabschätzung prüfen: Bei systematischer Verarbeitung personenbezogener Daten mit KI: Datenschutzfolgenabschätzung durchführen.
  • Verarbeitungsverzeichnis ergänzen: Den KI-Einsatz als Verarbeitungstätigkeit in Dein Verzeichnis nach Art. 30 DSGVO aufnehmen.
  • Regelmäßig überprüfen: Anbieter ändern ihre Bedingungen, die Rechtslage entwickelt sich weiter. Plane eine jährliche Überprüfung ein.

Diese Checkliste deckt die wichtigsten Punkte ab. Wenn Du alle Schritte abgearbeitet hast, bist Du für den datenschutzkonformen KI-Einsatz gut aufgestellt.

Die folgenden Muster-Texte sind bewusst in formalem Ton gehalten, damit Du sie direkt in Deine Unterlagen übernehmen kannst:

Muster: Schulungsnachweis KI-Kompetenz (Art. 4 KI-Verordnung)

Schulungsnachweis
Mitarbeiter/in: [Name]
Datum der Schulung: [Datum]
Schulungsinhalte:

  • Grundlagen der eingesetzten KI-Tools ([Tool-Namen])
  • Datenschutzanforderungen beim KI-Einsatz (DSGVO, AVV, Datenminimierung)
  • Interne KI-Richtlinie des Unternehmens
  • Risiken: Halluzinationen, Bias, Datenschutz, Urheberrecht
  • Pflicht zur Qualitätskontrolle vor Verwendung von KI-Ausgaben

Die Schulung wurde durchgeführt von: [Name/Funktion]
Unterschrift Mitarbeiter/in: _______________
Unterschrift Schulungsleiter/in: _______________

Und was ist mit Deiner Datenschutzerklärung? Auch die muss den KI-Einsatz abdecken — mit korrekten Angaben zu Anbieter, Rechtsgrundlage, AVV und Drittlandtransfer. Für jedes einzelne Tool.

Die gute Nachricht: Du musst das nicht selbst formulieren. Unser Komplett-Schutz enthält fertige, rechtssichere Datenschutz-Bausteine für alle drei großen KI-Tools — ChatGPT, Claude und Gemini. Du wählst einfach aus, welche Tools Du nutzt, und bekommst die passenden Texte für Deine Datenschutzerklärung. Korrekt formuliert, aktuell gehalten und sofort einsetzbar.

[Jetzt Datenschutzerklärung mit KI-Bausteinen erstellen — zum Komplett-Schutz >>][LINK]

XI. FAQ: Häufige Fragen zu KI und Datenschutz

A. Ist der Einsatz von KI in Deutschland erlaubt?

Ja. Es gibt kein generelles KI-Verbot in Deutschland. Du musst beim Einsatz aber die DSGVO und seit 2025 den AI Act einhalten. Bestimmte KI-Anwendungen sind nach Art. 5 AI Act verboten (z.B. Social Scoring), aber die üblichen Business-Tools wie ChatGPT oder Claude sind davon nicht betroffen.

B. Welche KI-Tools sind DSGVO-konform?

Kein KI-Tool ist automatisch DSGVO-konform — es kommt darauf an, wie Du es einsetzt. ChatGPT Team, Claude for Work / API, Gemini Workspace und Microsoft Copilot bieten die nötigen Voraussetzungen: AVV und Training-Opt-Out als Standard. Bei Claude ist wichtig: Nur die Commercial-Pläne (Claude for Work, API) haben einen AVV — der Team-Plan nicht. DSGVO-konform wird der Einsatz erst durch Deine Maßnahmen. Kostenlose Versionen sind für personenbezogene Daten nicht geeignet.

C. Ist ChatGPT DSGVO-konform?

Nicht automatisch. ChatGPT kann DSGVO-konform eingesetzt werden, wenn Du: AVV abschließt, Training Opt-out aktivierst, keine sensiblen Daten eingibst und Deine Datenschutzerklärung aktualisierst. Nutze für den geschäftlichen Einsatz mindestens ChatGPT Team oder die API.

D. Gibt es einen AVV für ChatGPT?

Ja. OpenAI bietet seit 2024 ein Data Processing Addendum an. Für ChatGPT Team und Enterprise ist der AVV Teil der Nutzungsbedingungen. Für Plus-Nutzer kann der AVV über privacy.openai.com abgeschlossen werden. Die kostenlose Version bietet keinen vollwertigen AVV für den geschäftlichen Einsatz.

E. Werden meine Daten für das Training von ChatGPT verwendet?

Bei der kostenlosen Version und ChatGPT Plus standardmäßig ja — es sei denn, Du deaktivierst das unter „Data Controls“. Bei ChatGPT Team und Enterprise werden Eingaben standardmäßig nicht fürs Training genutzt. Für den geschäftlichen Einsatz solltest Du den Training Opt-out immer aktivieren.

F. Wo werden meine Daten bei ChatGPT gespeichert?

OpenAI speichert Daten auf Servern in den USA. Chatverläufe werden bis zu 30 Tage aufbewahrt. Der Datentransfer ist über das EU-U.S. Data Privacy Framework abgesichert. Eine EU-Datenspeicherung bietet OpenAI nicht an — anders als Microsoft bei Copilot.

G. Welche Daten darf ich in ChatGPT eingeben?

Alle Daten, für die Du eine Rechtsgrundlage hast und für die ein AVV besteht. Nicht personenbezogene Daten sind unproblematisch. Personenbezogene Daten nur das Nötigste und wenn möglich anonymisiert. Sensible Daten nach Art. 9 DSGVO (Gesundheit, Religion) solltest Du grundsätzlich nicht eingeben.

H. Darf ich personenbezogene Daten in KI-Tools eingeben?

Ja, aber nur wenn vier Voraussetzungen erfüllt sind: Rechtsgrundlage nach Art. 6 DSGVO, AVV mit dem Anbieter, angemessene Schutzmaßnahmen und Information der betroffenen Personen. Ohne diese Voraussetzungen ist die Eingabe ein DSGVO-Verstoß.

I. Was passiert, wenn ein Mitarbeiter Kundendaten in ChatGPT eingibt?

Dann liegt eine Datenübermittlung an OpenAI vor. Ohne AVV und Rechtsgrundlage ist das ein DSGVO-Verstoß, für den Du als Unternehmer haftest — nicht der Mitarbeiter. Es drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.

J. Welche Rechtsgrundlage gilt für die KI-Datenverarbeitung?

Für den KI-Einsatz kommen drei Rechtsgrundlagen nach Art. 6 DSGVO in Frage: berechtigtes Interesse (lit. f) — am häufigsten bei interner Nutzung, Vertragserfüllung (lit. b) — wenn KI zur Erfüllung eines Kundenauftrags eingesetzt wird, und Einwilligung (lit. a) — bei besonders sensiblen Verarbeitungen. Für rein interne Nutzung ohne Personenbezug brauchst Du keine Rechtsgrundlage.

K. Muss ich KI-generierte Inhalte kennzeichnen?

Nach der DSGVO nicht zwingend. Nach dem AI Act müssen KI-generierte Inhalte gekennzeichnet werden, wenn sie als menschlich gemacht erscheinen könnten (z.B. Deepfakes, synthetische Stimmen). Für einfache Texte wie Blog-Artikel oder E-Mails gibt es derzeit keine generelle Kennzeichnungspflicht.

L. Was ist der Unterschied zwischen AI Act und DSGVO bei KI?

Die DSGVO schützt personenbezogene Daten. Der AI Act reguliert KI-Systeme als Technologie. Beide gelten parallel und unabhängig voneinander. Du musst sowohl die Datenschutzregeln einhalten (AVV, Datenschutzfolgenabschätzung, Informationspflichten) als auch die KI-Regeln (Schulungspflicht, Transparenz, verbotene Praktiken).

M. Gilt die KI-Verordnung (AI Act) schon?

Teilweise. Der AI Act ist seit dem 1. August 2024 in Kraft und wird stufenweise wirksam: Seit Februar 2025 gelten die Schulungspflicht (Art. 4) und die verbotenen Praktiken (Art. 5). Ab August 2025 greifen die Pflichten für KI-Modell-Anbieter. Ab August 2026 gelten alle Pflichten für Hochrisiko-KI-Systeme.

N. Brauche ich eine KI-Richtlinie im Unternehmen?

Formal vorgeschrieben ist sie nicht. Aber Art. 4 KI-Verordnung verlangt KI-Kompetenz bei Mitarbeitern, und Art. 32 DSGVO verlangt technisch-organisatorische Maßnahmen. Eine schriftliche KI-Richtlinie ist der einfachste Weg, beide Pflichten nachweisbar zu erfüllen.

O. Wer haftet, wenn KI-generierte Inhalte falsch sind?

Du als Verwender. Du bist verantwortlich für alles, was Du veröffentlichst — unabhängig davon, ob ein Mensch oder eine KI den Inhalt erstellt hat. Bei fehlerhaften Rechtsauskünften, Urheberrechtsverletzungen oder falschen Tatsachenbehauptungen haftest Du nach den allgemeinen Regeln. Deshalb muss jede KI-Ausgabe vor der Verwendung geprüft werden.

XII. Fazit

Künstliche Intelligenz und Datenschutz ist kein Entweder-oder. Du kannst KI-Tools wie ChatGPT, Claude oder Gemini DSGVO-konform in Deinem Unternehmen einsetzen — wenn Du die Grundlagen beachtest. Das bedeutet: AVV abschließen, Mitarbeiter schulen, KI-Richtlinie erstellen, Datenschutzerklärung aktualisieren und keine ungeschützten personenbezogenen Daten eingeben. Die Rechtslage entwickelt sich weiter, insbesondere durch den AI Act. Deshalb ist es wichtig, dass Du Deine Maßnahmen regelmäßig überprüfst und anpasst. Wer jetzt die Grundlagen sauber aufsetzt, ist für die kommenden Anforderungen gut vorbereitet.

Im Ergebnis:

  • AVV ist Pflicht: Für jedes KI-Tool, in das personenbezogene Daten eingegeben werden, brauchst Du einen Auftragsverarbeitungsvertrag.
  • Schulungspflicht gilt jetzt: Seit Februar 2025 müssen alle Mitarbeiter, die KI nutzen, nachweisbar KI-kompetent sein.
  • Datenminimierung vor Bequemlichkeit: Anonymisiere und pseudonymisiere, bevor Du Daten in ein KI-Tool eingibst.
  • Dokumentation schützt Dich: KI-Richtlinie, Schulungsnachweise, Verarbeitungsverzeichnis und Datenschutzfolgenabschätzung (wenn nötig) — wer dokumentiert, steht im Ernstfall besser da.
  • Regelmäßig prüfen: Anbieter-Bedingungen, Rechtslage und eigene Prozesse mindestens einmal jährlich überprüfen und anpassen.

 

Rechtsanwalt Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

 

 

How useful was this post?

Click on a star to rate it!

Average rating 3.3 / 5. Vote count: 4

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert