DSGVO-konforme KI-Nutzung beginnt nicht mit einem Tool, sondern mit klaren Regeln für Daten, Zwecke, Anbieter und Verantwortlichkeiten. Mittelständische Unternehmen brauchen dafür keinen theoretischen Großprozess, sondern eine saubere, dokumentierte Einführung. Entscheidend ist, KI dort nutzbar zu machen, wo sie hilft, ohne Kundendaten, Mitarbeiterdaten oder Betriebswissen unkontrolliert preiszugeben.
Warum ist DSGVO-konforme KI-Nutzung für den Mittelstand jetzt so wichtig?
Viele mittelständische Unternehmen sind längst weiter, als sie selbst glauben. Irgendwo wird ein Angebotstext mit KI formuliert, eine E-Mail zusammengefasst, ein Protokoll erzeugt, eine Stellenanzeige verbessert oder ein technisches Dokument übersetzt. Das Problem ist selten die einzelne Nutzung. Das Problem ist, dass niemand genau weiß, welche Daten in welche Systeme eingegeben werden, welche Anbieter beteiligt sind und ob die Ergebnisse später wieder in Unternehmensprozesse zurückfließen.
Genau hier beginnt DSGVO-konforme KI-Nutzung. Nicht mit Angst vor Regulierung, sondern mit Ordnung. Wer KI geschäftlich einsetzen will, muss wissen, ob personenbezogene Daten verarbeitet werden, zu welchem Zweck das geschieht, welche Rechtsgrundlage passt, ob ein Auftragsverarbeitungsvertrag nötig ist und ob Daten in Drittländer übertragen werden. Diese Fragen klingen juristisch, sind aber im Alltag sehr konkret: Darf ein Mitarbeiter eine Kundenmail in ein KI-Tool kopieren? Darf ein Servicetechniker ein Foto einer Anlage analysieren lassen, wenn darauf Name, Adresse oder Zählernummer sichtbar sind? Darf HR Bewerbungsunterlagen mit KI vorsortieren? Darf der Vertrieb Gesprächsnotizen automatisch auswerten?
Der Mittelstand steht dabei unter doppeltem Druck. Einerseits steigt die Erwartung, KI produktiv zu nutzen. Laut Bitkom setzen 36 Prozent der Unternehmen in Deutschland bereits KI ein, deutlich mehr als im Vorjahr. Andererseits bleibt Datenschutz ein reales Entscheidungskriterium: In der Bitkom-Studie zum Datenschutz stimmen 58 Prozent der Unternehmen der Aussage zu, dass Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schafft. Für KrambergAI ist genau dieser Punkt zentral: KI soll nicht als unkontrollierter Zusatzkanal entstehen, sondern als belastbarer Bestandteil des Unternehmens.
Was ist der Unterschied zwischen normaler KI-Nutzung und DSGVO-konformer KI-Nutzung?
Normale KI-Nutzung bedeutet oft: Ein Tool wird ausprobiert, weil es schnell hilft. DSGVO-konforme KI-Nutzung bedeutet: Der Einsatz ist beschrieben, begrenzt, technisch abgesichert und organisatorisch freigegeben. Das klingt weniger spontan, spart aber später viel Ärger.
Ein Beispiel: Ein Mitarbeiter nutzt ein frei verfügbares KI-Tool, um eine Kundenbeschwerde zusammenzufassen. In der Beschwerde stehen Name, Adresse, Vertragsnummer, technische Details und vielleicht Gesundheits- oder Zahlungsinformationen. Ohne Regelung ist unklar, ob das Tool diese Eingaben für Training nutzt, wo die Daten verarbeitet werden, wie lange sie gespeichert bleiben und wer Zugriff darauf hat. Das ist keine saubere Ausgangslage.
Anders sieht es aus, wenn das Unternehmen freigegebene KI-Werkzeuge definiert, sensible Eingaben verbietet oder technisch maskiert, Rollen festlegt, Protokollierung aktiviert und klare Zwecke formuliert. Dann wird aus improvisierter Tool-Nutzung ein steuerbarer Prozess. DSGVO-konform heißt also nicht: KI nur noch mit angezogener Handbremse. Es heißt: KI wird so eingeführt, dass Geschäftsführung, IT, Datenschutz und Fachbereiche wissen, was passiert.
| Bereich | Unkontrollierte KI-Nutzung | DSGVO-konforme KI-Nutzung |
|---|---|---|
| Tool-Auswahl | Mitarbeiter wählen selbst beliebige Dienste aus | Freigegebene Anbieter mit geprüften Verträgen |
| Dateneingabe | Kundendaten, Mitarbeiterdaten und Dokumente werden situativ eingegeben | Datenklassen regeln, was erlaubt, anonymisiert oder verboten ist |
| Verantwortung | Unklar, wer entscheidet und dokumentiert | Klare Rollen für Fachbereich, IT, Datenschutz und Geschäftsführung |
| Nachvollziehbarkeit | Kaum prüfbar, was eingegeben wurde | Protokolle, Freigaben, Verzeichnis der Verarbeitungstätigkeiten |
| Risiko | Shadow AI, Datenabfluss, falsche Ergebnisse | Begrenzte Use Cases, Kontrollen, Eskalationswege |
| Nutzen | Schnell, aber unberechenbar | Skalierbar, prüfbar und wiederholbar |
Wie startet man mit einer ehrlichen Bestandsaufnahme?
Der erste Schritt ist kein Toolvergleich. Der erste Schritt ist eine ehrliche Bestandsaufnahme. Welche KI-Systeme werden schon genutzt? Welche Mitarbeitenden verwenden Chatbots, Übersetzungstools, Schreibassistenten, Meeting-Transkription, Bildanalyse, Code-Assistenten oder Automatisierungsdienste? Welche davon sind offiziell beschafft, welche nur geduldet, welche völlig unbekannt?
Diese Bestandsaufnahme sollte nicht wie eine Fahndung wirken. Sonst verschweigen Mitarbeitende, was sie wirklich tun. Besser ist eine nüchterne Abfrage: Wo hilft KI bereits? Welche Aufgaben werden schneller? Welche Daten werden eingegeben? Welche Risiken sehen die Teams selbst? In vielen Unternehmen entsteht hier zum ersten Mal ein realistisches Bild.
Gerade in SHK, Elektro, Gerüstbau, Verkehrssicherung, Service und Verwaltung sind die Daten oft vermischt. Eine Anfrage enthält technische Angaben, Kontaktdaten, Fotos, Standortinformationen, Auftragsnummern und manchmal interne Bewertungen. Für DSGVO-konforme KI-Nutzung muss man diese Realität kennen. Wer nur abstrakt von „Daten“ spricht, übersieht die eigentlichen Risiken.
Das Ergebnis der Bestandsaufnahme sollte einfach lesbar sein: Tool, Anbieter, Fachbereich, Zweck, Datenarten, Nutzerkreis, Vertragsstatus, Speicherort, Risiko und Entscheidung. Mehr braucht es am Anfang nicht. Aber ohne diese Liste bleibt KI-Governance Theorie.
Welche Daten dürfen in KI-Systeme eingegeben werden?
Die bessere Frage lautet: Welche Daten müssen überhaupt eingegeben werden? Datenschutz beginnt mit Datenminimierung. Wenn ein Angebotstext verbessert werden soll, braucht die KI meist keinen vollständigen Kundennamen, keine private Telefonnummer und keine vollständige Adresse. Wenn eine technische Fehlerbeschreibung zusammengefasst werden soll, reichen oft anonymisierte Angaben. Wenn ein internes Protokoll erstellt wird, müssen vertrauliche Personal- oder Kundendetails nicht automatisch in jedes System wandern.
Für den Mittelstand ist eine einfache Datenklassifikation praxistauglicher als ein kompliziertes Regelwerk. Sinnvoll sind vier Gruppen:
Erstens öffentliche oder unkritische Informationen, etwa veröffentlichte Produkttexte oder allgemeine Unternehmensbeschreibungen. Zweitens interne Geschäftsinformationen, etwa Prozesse, Preislogiken oder Angebotsmuster. Drittens personenbezogene Daten, etwa Kundennamen, Mitarbeiterdaten, Bewerbungen oder Kontaktdaten. Viertens besonders schützenswerte oder streng vertrauliche Informationen, etwa Gesundheitsdaten, Zahlungsdaten, Betriebsgeheimnisse, Sicherheitskonzepte oder arbeitsrechtliche Bewertungen.
Für jede Gruppe sollte klar sein, ob die Eingabe in KI-Systeme erlaubt ist, nur anonymisiert erfolgen darf oder ausgeschlossen ist. Diese Regel muss nicht lang sein. Sie muss verstanden werden. Ein Monteur, eine Sachbearbeiterin, ein Vertriebsmitarbeiter und eine Führungskraft müssen im Alltag erkennen können, was sie tun dürfen.
Wie wählt man einen KI-Anbieter datenschutzkonform aus?
Ein KI-Anbieter ist nicht automatisch geeignet, nur weil das Produkt bekannt ist. Entscheidend sind die konkreten Vertrags- und Verarbeitungseinstellungen. Unternehmen sollten prüfen, ob ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO angeboten wird, wo Daten verarbeitet werden, ob Unterauftragnehmer eingesetzt werden, ob Eingaben zum Training verwendet werden, welche Löschfristen gelten und welche Administrationsmöglichkeiten vorhanden sind.
Für viele Mittelständler ist außerdem wichtig, ob Mandantentrennung, Rollenrechte, Protokollierung, Single Sign-on und zentrale Verwaltung möglich sind. Ein einzelner Chatbot-Account kann für Tests reichen. Für produktive Nutzung im Unternehmen reicht er selten. Sobald Kundendaten, Mitarbeiterdaten oder interne Wissensbestände verarbeitet werden, braucht es kontrollierbare Unternehmensfunktionen.
Kritisch sind auch Schnittstellen. Eine KI, die mit E-Mail, CRM, Ticketsystem, Kalender, Dateiserver oder ERP verbunden wird, verarbeitet nicht nur einzelne Texte. Sie bekommt Zugriff auf Arbeitsabläufe. Dann reichen allgemeine Datenschutzversprechen nicht mehr aus. Es muss klar sein, welche Daten gelesen, geschrieben, gespeichert, übertragen und protokolliert werden.
Cisco berichtet in seiner Data Privacy Benchmark Study 2025, dass 90 Prozent der befragten Unternehmen ihre Datenschutzprogramme aufgrund von KI ausgeweitet haben. Das zeigt: KI ist nicht nur eine Softwareentscheidung. KI verändert Datenschutz, IT-Sicherheit, Einkauf, Fachprozesse und Governance gleichzeitig.
Welche Rechtsgrundlage braucht KI nach DSGVO?
Es gibt nicht die eine Rechtsgrundlage für KI. Die Rechtsgrundlage hängt vom Zweck ab. Wird KI genutzt, um eine Kundenanfrage zu beantworten, kann die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen oder zur Vertragserfüllung relevant sein. Wird KI für interne Effizienz eingesetzt, kann ein berechtigtes Interesse in Betracht kommen. Bei Bewerbungen, Beschäftigtendaten oder sensiblen Daten wird es deutlich anspruchsvoller. Einwilligungen sind im Unternehmensalltag oft weniger stabil, als sie auf den ersten Blick wirken, weil sie freiwillig, informiert und widerrufbar sein müssen.
Wichtig ist: Der Zweck muss vor der Verarbeitung feststehen. „Wir wollen mal schauen, was die KI daraus macht“ ist keine saubere Zweckbeschreibung. Besser ist: „Zusammenfassung eingehender Serviceanfragen zur schnelleren Zuordnung an den zuständigen Fachbereich“ oder „Erstellung eines Antwortentwurfs auf Basis freigegebener Wissensartikel“. Solche Zwecke lassen sich prüfen, begrenzen und dokumentieren.
Bei vielen KI-Anwendungen kommt zusätzlich eine Datenschutz-Folgenabschätzung in Betracht, vor allem wenn umfangreiche, sensible oder bewertende Verarbeitungen stattfinden. Das gilt besonders bei HR, Scoring, Überwachung, automatisierten Entscheidungen oder tiefen Integrationen in Kundensysteme. Mittelständische Unternehmen sollten diese Prüfung nicht erst am Ende durchführen. Wenn die Architektur schon gebaut ist, werden Änderungen teuer.
Wie sieht ein praxistauglicher Schritt-für-Schritt-Prozess aus?
DSGVO-konforme KI-Nutzung wird leichter, wenn sie als Einführungspfad verstanden wird. Nicht jedes Unternehmen braucht sofort ein großes Governance-Handbuch. Aber jedes Unternehmen braucht einen Ablauf, der wiederholbar ist.
Schritt eins ist die Bestandsaufnahme der bereits genutzten KI-Werkzeuge. Schritt zwei ist die Priorisierung weniger Use Cases mit klarem Nutzen, etwa E-Mail-Zusammenfassung, interne Wissenssuche, Angebotsentwürfe, Supportantworten oder Telefonnotizen. Schritt drei ist die Datenklassifikation. Schritt vier ist die Anbieterprüfung inklusive Vertrag, Speicherort, Unterauftragnehmern und Trainingseinstellungen. Schritt fünf ist die Festlegung von Rollen: Wer darf freigeben, wer administriert, wer prüft Datenschutz, wer entscheidet bei Fehlern?
Schritt sechs ist die technische Umsetzung. Dazu gehören Rechte, Protokolle, Löschkonzepte, sichere Schnittstellen und möglichst getrennte Umgebungen für Test und Produktivbetrieb. Schritt sieben ist die Schulung der Nutzer. Dabei sollte nicht nur erklärt werden, welches Tool verwendet wird, sondern auch, welche Eingaben verboten sind und warum KI-Ergebnisse überprüft werden müssen. Schritt acht ist die Dokumentation. Dazu gehören Verarbeitungsverzeichnis, Risikoanalyse, gegebenenfalls Datenschutz-Folgenabschätzung, Anbieterunterlagen, Freigabeliste und interne Richtlinie.
Der wichtigste Punkt ist Schritt neun: regelmäßige Überprüfung. KI-Systeme ändern sich. Anbieter ändern Funktionen. Mitarbeitende finden neue Wege. Fachbereiche entwickeln neue Ideen. Eine einmalige Prüfung reicht deshalb nicht aus. DSGVO-konforme KI-Nutzung ist kein Projekt mit sauberem Enddatum, sondern ein geregelter Betriebsmodus.
Welche Rolle spielt der EU AI Act zusätzlich zur DSGVO?
Die DSGVO regelt personenbezogene Daten. Der EU AI Act regelt KI-Systeme nach Risikoklassen und Pflichten. Beides ist nicht dasselbe, greift aber in der Praxis ineinander. Ein KI-System kann datenschutzrechtlich relevant sein, ohne ein Hochrisiko-System im Sinne des AI Act zu sein. Umgekehrt kann ein KI-System nach AI Act besondere Pflichten auslösen und gleichzeitig personenbezogene Daten verarbeiten.
Für mittelständische Unternehmen ist wichtig: Der AI Act ist kein Ersatz für die DSGVO. Datenschutz bleibt bestehen. Die EU-Kommission nennt den 1. August 2024 als Inkrafttreten des AI Act und den 2. August 2026 als Zeitpunkt, ab dem die Verordnung grundsätzlich vollständig anwendbar wird, mit bestimmten Ausnahmen. Deshalb sollten Unternehmen ihre KI-Projekte nicht nur nach Datenschutz, sondern auch nach KI-Risiko einordnen.
In einfachen Fällen, etwa bei Textentwürfen oder interner Wissenssuche, steht meist die DSGVO-Prüfung im Vordergrund. In sensibleren Fällen, etwa bei HR, Zutrittskontrolle, Bewertung von Personen, Sicherheitsprozessen oder automatisierten Entscheidungen, wird die AI-Act-Perspektive wichtiger. Wer heute eine saubere KI-Inventarliste aufbaut, erleichtert sich später auch die AI-Act-Prüfung.
Wie verhindert man Shadow AI im Unternehmen?
Shadow AI entsteht, wenn Mitarbeitende KI nutzen, ohne dass das Unternehmen es steuert. Meist passiert das nicht aus böser Absicht. Es passiert, weil die offiziellen Werkzeuge fehlen, zu langsam sind oder nicht zum Arbeitsalltag passen. Wer Shadow AI nur verbietet, löst das Problem selten. Dann wandert die Nutzung in private Accounts, Browser-Plugins oder mobile Apps.
Besser ist ein kontrolliertes Angebot. Mitarbeitende brauchen erlaubte KI-Werkzeuge, verständliche Regeln und Beispiele aus ihrer Arbeit. Ein Verbot sensibler Eingaben allein reicht nicht. Menschen müssen wissen, wie sie eine Kundenmail anonymisieren, welche Dokumente nicht hochgeladen werden dürfen und wann sie Rücksprache halten sollen.
IBM nennt im Cost of a Data Breach Report 2025 einen globalen durchschnittlichen Schaden von 4,44 Millionen US-Dollar pro Datenschutzvorfall. Solche Zahlen sind nicht eins zu eins auf jeden Mittelständler übertragbar. Sie zeigen aber, dass Datenrisiken wirtschaftlich relevant sind. Besonders problematisch wird es, wenn Unternehmen erst nach einem Vorfall feststellen, dass niemand wusste, welche KI-Dienste intern genutzt wurden.
Wie dokumentiert man KI-Nutzung ohne Bürokratie?
Dokumentation muss nicht schön sein. Sie muss nützlich sein. Ein mittelständisches Unternehmen braucht keine 80-seitige KI-Richtlinie, die niemand liest. Es braucht wenige Dokumente, die im Alltag funktionieren.
Ein KI-Verzeichnis zeigt, welche Systeme eingesetzt werden. Eine Datenklassifikation erklärt, welche Informationen eingegeben werden dürfen. Eine Freigabeliste nennt erlaubte Tools. Eine kurze Richtlinie beschreibt, welche Nutzungen erlaubt, eingeschränkt oder verboten sind. Eine Prozessbeschreibung regelt, wie neue KI-Use-Cases beantragt und geprüft werden. Ergänzend sollten Schulungsnachweise, Anbieterunterlagen und technische Einstellungen abgelegt werden.
Wichtig ist die Sprache. Wenn eine Richtlinie klingt wie eine juristische Abhandlung, wird sie kaum genutzt. Besser sind konkrete Formulierungen: „Kundennamen vor Eingabe entfernen“, „keine Bewerbungsunterlagen in nicht freigegebene KI-Dienste hochladen“, „KI-Antworten vor Versand fachlich prüfen“, „keine automatisierten Entscheidungen über Personen ohne Freigabe“. Solche Sätze helfen mehr als abstrakte Prinzipien.
Welche Fehler machen Unternehmen bei der KI-Einführung besonders häufig?
Der erste Fehler ist Tool-Fixierung. Unternehmen vergleichen Funktionen, Preise und Modelle, ohne vorher zu klären, welche Daten verarbeitet werden und welche Prozesse betroffen sind. Der zweite Fehler ist die Annahme, dass ein großer Anbieter automatisch datenschutzkonform für jeden Zweck ist. Datenschutz hängt aber nicht nur vom Namen des Anbieters ab, sondern vom konkreten Vertrag, Setup und Einsatzfall.
Der dritte Fehler ist fehlende Schulung. Viele Risiken entstehen nicht durch die KI selbst, sondern durch falsche Eingaben. Der vierte Fehler ist fehlende Ergebnisprüfung. KI kann überzeugend formulieren und trotzdem falsch liegen. In Service, Technik, Recht, HR oder Sicherheit darf das Ergebnis nicht ungeprüft übernommen werden.
Der fünfte Fehler ist fehlende Zuständigkeit. Wenn IT, Datenschutz, Geschäftsführung und Fachbereich jeweils glauben, jemand anderes kümmere sich, entsteht eine Lücke. DSGVO-konforme KI-Nutzung braucht eine klare Verantwortungsmatrix. Nicht kompliziert, aber eindeutig.
Wie kann ein mittelständisches Unternehmen morgen anfangen?
Der pragmatische Start besteht aus drei Entscheidungen. Erstens: Welche KI-Nutzung wird ab sofort erlaubt, eingeschränkt oder gestoppt? Zweitens: Welche zwei bis drei Use Cases bringen echten Nutzen, ohne direkt die höchsten Datenschutzrisiken auszulösen? Drittens: Wer ist verantwortlich, diese Use Cases sauber umzusetzen?
Ein guter erster Use Case ist häufig die interne Wissenssuche auf freigegebenen Dokumenten. Auch E-Mail-Entwürfe ohne sensible Daten, Zusammenfassungen interner Besprechungen oder strukturierte Serviceanfragen können sinnvoll sein. Schwieriger sind HR-Bewertungen, Kundenscoring, automatisierte Ablehnungen, Gesundheitsdaten, Überwachung oder sicherheitskritische Entscheidungen. Diese Bereiche sollten nicht zuerst angegangen werden.
DSGVO-konforme KI-Nutzung ist kein Innovationshindernis. Sie ist die Voraussetzung dafür, dass KI im Mittelstand nicht in Einzelaktionen stecken bleibt. Wer Daten, Anbieter, Zwecke und Verantwortlichkeiten sauber klärt, kann KI schneller ausrollen, weil nicht jede Frage wieder bei null beginnt.
Welche Kennzahlen zeigen die Relevanz?
Vier Zahlen zeigen, warum das Thema für den Mittelstand konkret ist:
36 Prozent der Unternehmen in Deutschland setzen laut Bitkom bereits KI ein. Das ist keine Randerscheinung mehr, sondern ein breiter Markttrend.
58 Prozent der Unternehmen sehen laut Bitkom im Datenschutz Rechtssicherheit für die Entwicklung von KI-Anwendungen. Datenschutz ist damit nicht nur Bremse, sondern auch Orientierungsrahmen.
90 Prozent der von Cisco befragten Unternehmen berichten, dass KI ihre Datenschutzprogramme erweitert hat. KI verändert also nicht nur die IT, sondern auch Governance und Organisation.
4,44 Millionen US-Dollar betrugen laut IBM 2025 die durchschnittlichen globalen Kosten eines Datenschutzvorfalls. Die Zahl ist global und nicht mittelstandsspezifisch, zeigt aber die wirtschaftliche Dimension von Datenrisiken.
Interessante Links
Datenschutzkonferenz: Orientierungshilfe Künstliche Intelligenz und Datenschutz
https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf
European Data Protection Board: Opinion 28/2024 on AI models and personal data
https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en
Europäische Kommission: Regulatory framework on artificial intelligence
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
Quellen der verwendeten Kennzahlen
Bitkom: Künstliche Intelligenz 2025
https://www.bitkom.org/sites/main/files/2026-02/bitkom-studienbericht-ki.pdf
Bitkom: Datenschutz in der deutschen Wirtschaft 2025
https://www.bitkom.org/sites/main/files/2026-02/bitkom-studienbericht-datenschutz.pdf
Cisco: 2025 Data Privacy Benchmark Study
https://investor.cisco.com/news/news-details/2025/Ciscos-2025-Data-Privacy-Benchmark-Study-Privacy-landscape-grows-increasingly-complex-in-the-age-of-AI/default.aspx
IBM: Cost of a Data Breach Report 2025
https://www.ibm.com/think/x-force/2025-cost-of-a-data-breach-navigating-ai
Was bedeutet DSGVO-konforme KI-Nutzung konkret?
DSGVO-konforme KI-Nutzung bedeutet, dass personenbezogene Daten nur mit klarem Zweck, passender Rechtsgrundlage, geprüften Anbietern und angemessenen Schutzmaßnahmen verarbeitet werden. Es reicht nicht, ein bekanntes KI-Tool einzusetzen. Unternehmen müssen wissen, welche Daten eingegeben werden, wo sie verarbeitet werden, ob sie gespeichert bleiben und wer für Kontrolle und Dokumentation verantwortlich ist.
Dürfen Mitarbeiter ChatGPT oder andere KI-Tools im Unternehmen nutzen?
Ja, aber nicht ungeregelt. Unternehmen sollten festlegen, welche KI-Tools erlaubt sind, welche Daten eingegeben werden dürfen und welche Zwecke freigegeben sind. Besonders kritisch sind Kundendaten, Mitarbeiterdaten, Bewerbungsunterlagen, Vertragsdaten und Betriebsgeheimnisse. Ohne klare Richtlinie entsteht schnell Shadow AI, also eine Nutzung außerhalb der offiziellen Kontrolle.
Braucht jedes KI-Projekt eine Datenschutz-Folgenabschätzung?
Nein, nicht jedes KI-Projekt braucht automatisch eine Datenschutz-Folgenabschätzung. Sie wird aber relevant, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen mit sich bringt. Das kann bei sensiblen Daten, Profiling, HR-Prozessen, systematischer Bewertung oder umfangreicher Automatisierung der Fall sein. Eine Vorprüfung sollte deshalb immer stattfinden.
Welche KI-Anwendungen sind für den Einstieg besonders geeignet?
Für den Einstieg eignen sich Use Cases mit klarem Nutzen und begrenztem Datenschutzrisiko. Dazu gehören interne Wissenssuche auf freigegebenen Dokumenten, Entwürfe für allgemeine Texte, Zusammenfassungen ohne sensible Inhalte oder strukturierte Serviceanfragen. Weniger geeignet für den Start sind HR-Entscheidungen, Kundenscoring, Gesundheitsdaten, Überwachung oder automatisierte Entscheidungen über Personen.
Wie sollten Unternehmen personenbezogene Daten vor der KI-Nutzung schützen?
Unternehmen sollten personenbezogene Daten vermeiden, reduzieren oder anonymisieren, bevor sie in KI-Systeme eingegeben werden. Kundennamen, Adressen, Telefonnummern, Vertragsnummern und sensible Zusatzinformationen sind oft für die Aufgabe nicht nötig. Zusätzlich helfen Rollenrechte, Protokollierung, Löschfristen, geprüfte Anbieter, sichere Schnittstellen und klare Verbote für besonders kritische Daten.
Was gehört in eine interne KI-Richtlinie?
Eine interne KI-Richtlinie sollte verständlich beschreiben, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen, welche Zwecke freigegeben sind und wann eine Freigabe erforderlich ist. Außerdem sollte sie Regeln zur Prüfung von KI-Ergebnissen, zum Umgang mit Fehlern, zur Dokumentation und zur Verantwortung enthalten. Entscheidend ist, dass die Richtlinie im Arbeitsalltag verstanden wird.
Wie hängen DSGVO und EU AI Act zusammen?
Die DSGVO schützt personenbezogene Daten. Der EU AI Act regelt KI-Systeme risikobasiert und legt zusätzliche Pflichten für bestimmte KI-Anwendungen fest. Beide Regelwerke können gleichzeitig relevant sein. Ein KI-System kann datenschutzrechtlich unkritisch, aber nach AI Act prüfpflichtig sein. Umgekehrt kann ein einfacher KI-Assistent personenbezogene Daten verarbeiten und deshalb DSGVO-relevant sein.
Was ist der größte praktische Fehler bei KI und Datenschutz?
Der größte Fehler ist, KI erst einzuführen und Datenschutz danach zu prüfen. Dann sind Tool, Prozesse, Datenflüsse und Gewohnheiten oft schon etabliert. Besser ist ein schlanker Prüfprozess vor dem produktiven Einsatz. Dieser muss nicht langsam sein, sollte aber Zweck, Datenarten, Anbieter, Risiken, Rechtsgrundlage und Verantwortlichkeiten sauber klären.
Alle Artikel zu den Themen KI-Governance und Compliance
Alle Artikel zum Thema Digitalisierung im Mittelstand
