Facebook-f Twitter Google Xing Linkedin

KI & Datenschutz 2025: Wie Unternehmen Künstliche Intelligenz rechtssicher einsetzen

 KI & Datenschutz 12. Mai 2025

Künstliche Intelligenz (KI) hat längst den Weg in die Unternehmenspraxis gefunden. Schließlich eröffnen KI-basierte Anwendungen wie ChatGPT, Google Gemini oder andere Large Language Models (LLMs) enorme Effizienzpotenziale. Doch ein unbedarfter Einsatz von KI birgt besonders beim Umgang mit personenbezogenen Daten datenschutzrechtliche Anforderungen. Die Datenschutzkonferenz (DSK) hat mit ihrer Orientierungshilfe von Mai 2024 einen praxisnahen Leitfaden veröffentlicht, der Unternehmen Schritt für Schritt zeigt, wie der KI-Einsatz DSGVO-konform gelingen kann. Ich fasse die wichtigsten Punkte in diesem Blogbeitrag zusammen – kompakt, verständlich und handlungsorientiert. KI & Datenschutz

Lesedauer: 4 Minuten (ca. 750 Wörter)

Drei freundlich wirkende Geschäftsleute – zwei Männer und eine Frau – sitzen gemeinsam in einem modernen Büro vor einem Laptop und lächeln. Der Text ‚KI & Datenschutz 2025: Wie Unternehmen Künstliche Intelligenz rechtssicher einsetzen‘ ist groß eingeblendet, der Zusatz ‚Rechtsanwalt Dr. Oliver Daum (Kiel)‘ steht unten rechts.

Technologie verstehen: Offene vs. geschlossene KI-Systeme

Bevor überhaupt personenbezogene Daten ins Spiel kommen, ist die Auswahl der richtigen Systemarchitektur entscheidend. Denn nicht jedes KI-System ist gleich riskant. KI & Datenschutz KI

Offene Systeme – etwa Cloud-basierte Chatbots – sind oft bequem nutzbar, bergen jedoch erhebliche Risiken: Die eingegebenen Daten können zum Training der Modelle verwendet, in Drittstaaten übermittelt oder sogar unbefugt eingesehen werden. Unternehmen können hier schnell die Kontrolle verlieren.

Geschlossene Systeme hingegen sind intern betrieben oder technisch abgeschottet. Nur autorisierte Nutzer haben Zugriff, und die Daten bleiben im eigenen Hoheitsbereich. Laut DSK sind diese Systeme aus datenschutzrechtlicher Sicht klar zu bevorzugen – vor allem, wenn sensible Informationen verarbeitet werden.

Künstliche Intelligenz im Unternehmen: Zulässige Einsatzfelder definieren

Die KI-Verordnung der EU (“KIVO”) bestätigte nochmals, dass KI im Unternehmen eingesetzt werden darf. Dabei ist allerdings wichtig, dass der Einsatz rechtlich zweckgebunden erfolgen muss. Unternehmen sollten also vorab festlegen, in welchen Bereichen die Artificial Intelligence (“AI”) arbeiten soll, z. B. in der Analyse von Kundendaten, in der Fehlererkennung im Code oder im Bewerbermanagement.

Einige Anwendungen sind als Verbotene Praktiken im KI-Bereich jedoch grundsätzlich unzulässig. Laut KIVO und DSGVO sind insbesondere folgende Praktiken tabu:

  • Social Scoring (Bewertung von Personen auf Basis ihres Verhaltens)
  • Biometrische Echtzeitüberwachung im öffentlichen Raum
  • Manipulative Techniken zur Verhaltensbeeinflussung

Anschließend muss geprüft werden, ob bzw. welche Rechtsgrundlage für den geplanten Zweck herangezogen werden kann.

Tipp: Vermeiden Sie Graubereiche. Klare Anwendungsfälle, dokumentierte Ziele und eine Rechtsgrundlage schaffen Transparenz und Rechtssicherheit.

Personenbezogene Daten: Wann KI zum Datenschutzrisiko wird

Sobald personenbezogene Daten verarbeitet werden, ist die DSGVO vollumfänglich anzuwenden. Dabei ist nicht nur die Eingabe der Daten relevant: Auch Ausgaben oder Trainingsdaten können Personenbezug haben – insbesondere wenn die KI eigenständig Bezüge herstellt oder verknüpft.

Unternehmen müssen sicherstellen, dass:

  • keine personenbezogenen Daten ohne Rechtsgrundlage ins System gelangen,
  • keine Eingabedaten unbemerkt für das Modelltraining genutzt werden,
  • alle Betroffenen transparent informiert werden (Art. 13, 14 DSGVO).

Praxisbeispiel: Eine KI soll eine Kündigung generieren. Selbst wenn der Name entfernt wurde, kann der Kontext – etwa wenn nur ein bestimmter Mitarbeiter in Frage kommt – ausreichen, um einen Personenbezug herzustellen. #DatenschutKI

Automatisierte Entscheidungen: Der Mensch bleibt in der Verantwortung

Automatisierte Entscheidungen, die rechtliche oder erhebliche Auswirkungen auf Betroffene haben, sind nach Art. 22 DSGVO nur in Ausnahmefällen zulässig. Die bloße Beteiligung eines Menschen im Entscheidungsprozess reicht nicht – es muss ein echter Entscheidungsspielraum bestehen.

Ein Klassiker: Die AI sortiert Bewerbungen und versendet automatisch Einladungen zum Vorstellungsgespräch. So praktisch das ist – es ist nicht erlaubt, wenn keine wirksame Einwilligung der Bewerbenden vorliegt und keine menschliche Kontrolle vorgesehen ist.

“KI darf unterstützen – aber nie ohne Kontrolle entscheiden.”

Gerade bei sensiblen Anwendungsfällen wie Kreditvergabe, Leistungsbeurteilung oder Profiling muss die menschliche Letztentscheidung gesichert sein.

Umsetzung im Unternehmen: Richtlinien, Verantwortlichkeit & Datenschutzfolgenabschätzung

Ein rechtssicherer KI-Einsatz beginnt nicht mit der ersten Eingabe – sondern mit der internen Vorbereitung. Die DSK empfiehlt folgende Maßnahmen als Mindeststandard:

  1. Interne KI-Richtlinie erstellen: Eine KI-Richtlinie sollte festlegen, welche Tools zulässig sind, zu welchen Zwecken sie genutzt werden dürfen und welche Prozesse einzuhalten sind.
  2. Verantwortung eindeutig regeln: Ob Auftragsverarbeitung oder gemeinsame Verantwortung – Unternehmen müssen ihre Rolle und die Rolle des Anbieters juristisch sauber trennen. Entsprechende Vertragsklauseln sind Pflicht.
  3. Datenschutz-Folgenabschätzung (DSFA) durchführen: Beim Einsatz von KI in Unternehmen ist nach Art. 35 DSGVO eine DSFA erforderlich.

Beschäftigte einbeziehen und schulen

Die rechtssichere Einführung von AI betrifft auch die Mitarbeitenden. Diese sollten nicht nur geschult, sondern auch technisch abgesichert werden. Private Accounts sind im beruflichen Kontext tabu – stattdessen sollten Unternehmen eigene Arbeitsumgebungen und Funktions-Accounts bereitstellen.

Auch die Nutzung der Eingabe-Historie sollte standardmäßig deaktiviert sein. Technisch-organisatorische Maßnahmen (TOMs) und datenschutzfreundliche Voreinstellungen (Privacy by Default) sind gesetzlich vorgeschrieben – und schützen Unternehmen vor unbewussten Verstößen.

Fazit: Wer KI verantwortungsvoll nutzt, gewinnt Vertrauen

KI kann Prozesse beschleunigen, Entscheidungen vorbereiten und Kosten senken – aber sie darf kein “Blackbox-Tool” ohne Kontrolle sein. Wer sich an rechtliche Rahmenbedingungen hält, interne Leitplanken setzt und Datenschutz als strategisches Prinzip begreift, kann von AI nachhaltig profitieren.

In vielen Einsatzfeldern im Unternehmen fördert die KI die Effizienz, gerade weil sie personenbezogene Personen verarbeitet. Beim Einsatz von AI ist der Datenschutz also immer mitzudenken.

Sie kommen aus Kiel oder Schleswig-Holstein und möchten KI in Ihrem Unternehmen einführen? Oder Sie kommen aus dem übrigen Bundesgebiet und möchten bestehende Anwendungen datenschutzkonform absichern? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.

Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)

Auch interessant: KI-Systeme im Unternehmen sicher einsetzen: Rechtliche Anforderungen und praktische Tipps
KI & Datenschutz KI & Datenschutz KI & Datenschutz KI

  • 10:00
Share on email
Share on whatsapp
Share on twitter
Share on xing

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Scroll to Top