Jetzt Mitglied werden!
eRecht24.de

KI & Datenschutz

Datenschutz in Zeiten von künstlicher Intelligenz: Was müssen Unternehmen beim Einsatz von KI beachten?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(1 Bewertung, 5.00 von 5)

Das Wichtigste in Kürze

  • Geben Sie personenbezogene Daten niemals einfach so in ein KI-System ein.
  • Ob Einwilligung, AV-Vertrag oder Mitarbeiter-Richtlinie - sorgen Sie jetzt in puncto Datenschutz & KI vor.
  • Es drohen Bußgelder von bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes, wenn Sie KI nicht DSGVO-konform einsetzen.
Ich möchte mich umfassend informieren Ich möchte meine Website absichern

Worum geht's?

Künstliche Intelligenz (KI) bietet enorme Chancen für Unternehmen – von personalisierter Beantwortung von Kundenanfragen bis hin zum automatisierten Marketing. Doch mit den Möglichkeiten wächst auch die Verantwortung: Dürfen Mitarbeiter- und Kundendaten in KI-Tools eingegeben werden? Muss ich AV-Verträge abschließen? Wer ist für Datenschutzverstöße verantwortlich? Viele Unternehmen stehen vor diesem Berg an Fragen und verzichten entweder direkt auf den Einsatz von KI oder, was noch wesentlich problematischer ist, setzen KI-Technologien bedenkenlos ein.

 

Doch KI ist aus der Unternehmenswelt nicht mehr wegzudenken und wird auch künftig für die Wettbewerbsfähigkeit von Bedeutung sein. Daher sollten Sie Ihr Unternehmen spätestens jetzt für den KI-Einsatz wappnen. Erhalten Sie in diesem Beitrag einen Überblick über den datenschutzkonformen Einsatz von KI.

 

1. KI im Unternehmen einsetzen

Ob Kundenservice, Marketing oder Human Resources. Die Nutzungsmöglichkeiten von KI im Unternehmen sind unglaublich vielfältig. Hier sind einige konkrete Beispiele, bei denen der Einsatz von KI aus datenschutzrechtlichen Gesichtspunkten problematisch wird:

  • Der Kundenservice verwendet ChatGPT, um personalisierte Antworten auf Kunden-Mails zu erstellen.
  • Die Sales-Abteilung übersetzt mit DeepL Geschäftskorrespondenz mit Kunden, um sicherzustellen, dass sie richtig verstanden wird.
  • Die Marketingabteilung nutzt Fotos von Mitarbeitern, um mit Leonardo Elemente für Werbevideos zu generieren.
  • Die Personalabteilung erstellt mit Copilot einen Geburtstagskalender für alle Mitarbeiter.
  • Der Kundensupport nutzt ManyChat, um Kundennachrichten auf Instagram direkt beantworten zu lassen.
  • Mitarbeiter nutzen Zoom AI Companion, um sich intern und extern Gesprächsnotizen automatisch erstellen zu lassen.

ACHTUNG

Bei all diesen Beispielen würden Sie gegen die DS-GVO verstoßen, wenn Sie nicht vorher entsprechende datenschutzrechtliche Regelungen im Unternehmen vornehmen. Was Sie tun müssen, erfahren Sie jetzt.

2. So geht’s: Künstliche Intelligenz datenschutzkonform einsetzen

Wenn es um KI & Datenschutz geht, ist die Verarbeitung von personenbezogenen Daten das Kernproblem. Personenbezogene Daten sind Informationen, die sich auf eine natürliche Person, also einen Menschen, beziehen, der durch diese Daten identifiziert wird oder identifiziert werden kann. Beispiele für personenbezogene Daten sind:

  • Name, Vorname, Privatanschrift
  • Telefonnummer, E-Mail-Adresse, IP-Adresse
  • Geburtsdatum, Alter, Personalausweisnummer
  • Sozialversicherungs-, Krankenversicherungsnummer
  • Steueridentifikations- und Kontonummern
  • Zeugnisse, wie z.B. Arbeitszeugnis
  • Fotos von erkennbaren Personen

1. Rechtmäßigkeit der Verarbeitung

Sobald Sie personenbezogene Daten in eine KI-Anwendung eingeben, findet eine Verarbeitung personenbezogener Daten nach der DSGVO statt. Für diese Datenverarbeitung brauchen Sie im ersten Schritt gem. Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage.

Das kann die Einwilligung der Personen sein, deren Daten Sie in das KI-Tool eingeben wollen. Die Einwilligung ist der sicherste Weg, jedoch für Unternehmen auch sehr aufwändig. Alternativ können Sie basierend auf einem berechtigten Interesse personenbezogene Daten verarbeiten. Ob Sie personenbezogene Daten auf Basis Ihres berechtigten Interesses in KI-Systemen verarbeiten dürfen, hängt allerdings vom Einzelfall ab. Das hat auch das European Data Protection Board in seiner Stellungnahme vom 17. Dezember 2024 bestätigt. Daher sollten Sie sich nicht darauf verlassen und lieber die Einwilligungen der betroffenen Personen einholen.

BEISPIEL: NUTZERDATEN

Wenn Sie externe KI-Tools, wie Chatbots oder automatisierte Analysen auf Ihrer Website einsetzen, verarbeiten diese Dienste in der Regel personenbezogene Daten Ihrer Nutzer. Ihre Webseiten-Nutzer müssen in diese Datenverarbeitung jedoch vorher einwilligen. Dafür können Sie ein Cookie-Banner verwenden.

2. Datenschutzerklärung

Im nächsten Schritt müssen Sie die KI-Tools, die Sie verwenden, in Ihre Datenschutzerklärung aufnehmen. Übrigens: Bei eRecht24 Premium können Sie sich Ihre Datenschutzerklärung mit einer Passage für ChatGPT erstellen.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

3. AV-Verträge

Weiterhin müssen Sie mit dem KI-System-Anbieter einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. Diesen Vertrag benötigen Sie immer dann, wenn Sie jemanden mit der Verarbeitung von personenbezogenen Daten beauftragen. Wenn Sie KI-Systeme einsetzen und personenbezogene Daten z.B. von Kunden oder Mitarbeitern eingeben, beauftragen Sie den Anbieter des Tools, diese Daten zu verarbeiten.

Zum AV-Vertrag von OpenAI

BEISPIEL

Bei ChatGPT können Sie ein "Data Processing Agreement" mit OpenAI abschließen. Auch wenn unklar ist, ob die Anforderungen dem deutschen Datenschutz entsprechen, sollten Sie dieses vorsorglich abschließen.

Zum AV-Vertrag von OpenAI

4. Technische und organisatorische Maßnahmen ergreifen

Es gibt verschiedene technische und organisatorische Maßnahmen (TOMs), mit denen Sie den datenschutzgerechten Einsatz von KI sicherstellen können. Ein wesentlicher Punkt ist dabei die Anonymisierung von personenbezogenen Daten vor der Eingabe in KI-Systeme. Dabei können Tools, wie Microsoft Presidio, Sie unterstützen. Durch die Anonymisierung kommen Sie im Übrigen dem Grundsatz der Datenminimierung nach.

Sofern Sie die Eingabe personenbezogener Daten in KI-Modelle nicht umgehen können, prüfen Sie die Datenschutzrichtlinien des KI-Tools. In jedem Fall sollten Sie die Künstliche Intelligenz so einstellen, dass das KI-Modell mit eingegebenen Daten nicht trainiert wird. Sonst kann es passieren, dass personenbezogene Daten weiterverarbeitet werden und sogar anderen Tool-Nutzern angezeigt werden. Sie würden also die Kontrolle über die personenbezogenen Daten verlieren.

Vergessen Sie nicht, die technischen und organisatorischen Maßnahmen in Ihr Verarbeitungsverzeichnis (VVT) aufzunehmen.

Sören Siebert
Sören SiebertRechtsanwalt

5. KI-Richtlinie für Mitarbeiter

Es bringt nichts, wenn nur Sie wissen, welche personenbezogenen Daten in eine KI eingegeben werden dürfen und welche nicht. Deshalb sollten Sie Ihren Mitarbeitern klare Richtlinien vorgeben. Bei eRecht24 Premium können Sie sich mit dem Generator für KI-Richtlinien Ihre individuelle Mitarbeiter-Richtlinie erstellen.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

Übrigens: Da viele Mitarbeiter zwar mit KI arbeiten, jedoch wenig Hintergrundwissen haben, schreibt die KI-Verordnung seit 2. Februar 2025 vor, dass Sie die KI-Kompetenz Ihrer Mitarbeiter, beispielsweise durch KI-Schulungen und Richtlinien, sicherstellen müssen.

6. Datenschutz- und Grundrechtsfolgenabschätzung

Je nachdem, um was für ein KI-Tool es sich handelt, kann es erforderlich sein, dass Sie eine Datenschutz-Folgenabschätzung und eine Grundrechtsfolgenabschätzung vornehmen. KI-Tools mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen sind davon betroffen. KI-Systeme, die davon betroffen sind, sind zum Beispiel solche, die bei der Auswahl für passende Bewerber im Personalbereich verwendet werden.

7. KI-Modelle aus den USA

Da viele KI-Systeme ihre Server in den USA haben, ergeben sich weitere Herausforderungen. Durch die Übertragung der Daten in die USA sollten Sie unter anderem prüfen, ob der Tool-Anbieter DPF-zertifiziert ist. Mehr dazu können Sie in unserem Artikel zum Data Privacy Framework lesen.

FAZIT
UNSERE TIPPS FÜR KI & DATENSCHUTZ

Zusammengefasst sollten Sie folgende Schritte vornehmen, wenn Sie personenbezogene Daten in KI-Anwendungen eingeben wollen:

  • Rechtmäßigkeit der Verarbeitung sicherstellen.
  • KI-Tools in die Datenschutzerklärung aufnehmen.
  • AV-Verträge abschließen und Verarbeitungsverzeichnis aktualisieren.
  • Technische und organisatorische Maßnahmen (z. B. Anonymisierung der Daten) umsetzen.
  • Interne KI-Richtlinie für Mitarbeiter bereitstellen.
  • Datenschutz- und Grundrechtsfolgenabschätzung vornehmen.
  • DPF-Zertifizierung bei KI-Tools aus den USA prüfen.

 

WICHTIG

Durch die KI-Verordnung kommen weitere Pflichten auf Sie zu. Diese richten sich nach dem Risiko, das von dem KI-Tool ausgeht. Dabei unterscheidet die KI-Verordnung in hohes, geringes und minimales Risiko. Es gilt: Je riskanter ein KI-System ist, desto strenger sind die Anforderungen an Compliance und Informationspflichten.

3. Wer ist für Datenschutzverstöße bei KI-Systemen verantwortlich?

Grundsätzlich gilt: Das Unternehmen, das das KI-System einsetzt, ist für Datenschutzverstöße verantwortlich. Auch wenn Sie externe KI-Anwendungen nutzen, die von einem Drittanbieter bereitgestellt werden, sind Sie für die Einhaltung der DSGVO verantwortlich. Der Drittanbieter ist nur Auftragsverarbeiter und Sie müssen vertraglich - Stichwort: AV-Vertrag - dafür sorgen, dass er die Datenschutzvorgaben einhält.

Für Datenschutzverstöße von Mitarbeitern haften in der Regel Sie als Unternehmen, da Sie die verantwortliche Stelle im Sinne der DSGVO sind. Aus diesem Grund sollten Sie entsprechende technische und organisatorische Maßnahmen ergreifen, um Datenschutzverstöße zu verhindern. Wenn Sie nämlich entsprechende Richtlinien und Schulungen anbieten und Mitarbeiter gegen diese Anweisung verstoßen, können Sie sich exkulpieren.

Regeln Sie daher mit Ihren Mitarbeitern, wie Sie mit personenbezogenen Daten umgehen sollen. Bei eRecht24 Premium stellen wir Ihnen eine Muster-Datenschutzverpflichtung für Ihre Mitarbeiter zur Verfügung, die an die Vorgaben der DSGVO angepasst ist.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

4. DSGVO vs. KI-Verordnung

Nachdem am 1. August 2024 die KI-Verordnung in Kraft getreten ist, fragen sich viele inzwischen, inwieweit sich nun Pflichten für ihr Unternehmen ändern. Die Datenschutz-Grundverordnung (DSGVO) und die KI-Verordnung der EU verfolgen letztendlich ähnliche Ziele, setzen jedoch unterschiedliche Schwerpunkte. Die KI-Verordnung ersetzt somit die DSGVO nicht, sondern gilt uneingeschränkt weiter. Durch diese Tabelle erhalten Sie einen gebündelten Überblick über die Unterschiede:

 

DSGVO

KI-Verordnung

Ziel

Schutz personenbezogener Daten

Regulierung von KI-Systemen nach ihrem Risiko

Anwendungsbereich

Gilt für alle Unternehmen, die personenbezogene Daten verarbeiten

Betrifft Anbieter und Betreiber von KI-Systemen

Regelungsbereich

Regelungen zur Datenerhebung, -speicherung und -verarbeitung

Einstufung von KI-Systemen nach Risikoklassen mit Verboten

Bußgelder

bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes

bis zu 35 Mio. € bzw. 7% des weltweiten Jahresumsatzes

Während die DSGVO den Schutz personenbezogener Daten regelt, geht es in der KI-Verordnung um die Sicherheit von KI-Systemen. In jedem Fall lässt sich festhalten: Egal ob Sie gegen die DSGVO oder die KI-Verordnung verstoßen, ein solcher Verstoß kann sehr teuer werden.

5. FAQ


Lässt sich KI überhaupt DSGVO-konform einsetzen?

Grundsätzlich schließt der Datenschutz die Nutzung von neuen Technologien, wie KI-Anwendungen, nicht aus. Die Antwort lautet also: ja.

Wichtig ist jedoch, dass Sie die Vorgaben der DSGVO im Hinblick auf personenbezogene Daten beachten. Darüber hinaus sollten Sie auch die neuen Pflichten der KI-Verordnung nicht vergessen.

Welche Strafe droht bei Verstößen gegen die DSGVO oder KI-Verordnung?

Bei einem Verstoß gegen die DSGVO drohen Bußgelder von bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes. Ein Verstoß gegen die KI-Verordnung kann wesentlich teurer werden. Bußgelder betragen bis zu 35 Mio. € bzw. 7% des weltweiten Jahresumsatzes.

Was hat KI mit Datenschutz zu tun?

Künstliche Intelligenz (KI) und Datenschutz sind eng miteinander verbunden, da viele KI-Systeme große Mengen an Daten verarbeiten. Bei diesen Daten kann es sich um personenbezogene Daten, wie Namen, Geburtsdaten oder Fotos von Personen handeln. Diese werden nach der DSGVO geschützt und können nicht einfach so in ein KI-Modell eingegeben werden.

Ist Chat-GPT datenschutzkonform?

Das hängt davon ab, wie Sie ChatGPT einsetzen. Grundsätzlich können Sie bei ChatGPT einige Einstellungen vornehmen, um die Nutzung datenschutzkonformer zu gestalten. So können Sie deaktivieren, dass ChatGPT Ihre Eingaben für das Training nutzt und einen AV-Vertrag abschließen. Mehr zu ChatGPT lesen Sie in unserem Artikel “ChatGPT für Unternehmer: Der schmale Grat zwischen Innovation und rechtlichem Risiko”.


 

Frauke Frotscher
Frauke Frotscher, LL.M.
Legal Writerin

Frauke Frotscher ist Wirtschaftsjuristin und hat sich im Rahmen ihres Masterstudiums im internationalen Lizenzrecht auf die Rechtsgebiete des Urheber-, Marken- und Vertragsrechts sowie das Zusammenspiel von Recht und Künstlicher Intelligenz spezialisiert. Mit diesen Schwerpunkten verstärkt sie seit 2023 das eRecht24-Redaktionsteam als Legal Writerin. Aufgrund ihrer vorherigen Tätigkeit als Juristin einer Rechtsabteilung, ist sie Expertin in der verständlichen Kommunikation juristischer Inhalte.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details