Was ihr über DSGVO, Datensicherheit und den AI-Act wissen müsst

Posted on by Martin



Datenschutz und KI: Was Unternehmen über DSGVO, Datensicherheit und den AI Act wissen müssen

In der heutigen digitalen Welt stehen Unternehmen vor der Herausforderung, künstliche Intelligenz (KI) sicher und datenschutzkonform einzusetzen. Viele Teams greifen täglich zu ChatGPT, Microsoft Copilot oder anderen KI-Assistenten – oft ohne zu wissen, welche Datenschutzpflichten dabei entstehen. Dieser Artikel klärt, worauf es ankommt.

Wie setze ich ChatGPT und andere KI-Tools datenschutzkonform ein?

Der Einsatz von KI-Tools wie ChatGPT in Unternehmen wirft oft die Frage auf: „Kann ich das datenschutzkonform machen?“ Die Antwort ist ein klares Ja – wenn bestimmte rechtliche und technische Kontrollen beachtet werden. Große Anbieter stellen mittlerweile zahlreiche technische und rechtliche Schutzmaßnahmen bereit, um datenschutzkonforme Nutzung zu ermöglichen.

Die wichtigsten Grundregeln:

  • Keine personenbezogenen Daten in öffentliche KI-Tools eingeben – Namen, Adressen, Kundendaten und interne Finanzkennzahlen haben in ChatGPT (kostenlose Version) nichts zu suchen
  • Unternehmensversionen nutzen – ChatGPT Team/Enterprise, Microsoft Copilot for Microsoft 365 und ähnliche Business-Varianten haben Datenschutzgarantien, die die kostenlose Version nicht bietet
  • Auftragsverarbeitungsvertrag (AVV) abschließen – Sobald KI-Tools personenbezogene Daten verarbeiten, ist ein AVV nach Art. 28 DSGVO erforderlich
  • Mitarbeitende schulen – Die häufigste Datenschutzverletzung passiert nicht durch technische Lücken, sondern durch ungeschulte Mitarbeitende, die nicht wissen, was sie wie eingeben dürfen

Datenschutz vs. Datensicherheit: Was ist der Unterschied?

Obwohl die Begriffe oft synonym verwendet werden, gibt es wesentliche Unterschiede:

  • Datenschutz: Der Fokus liegt auf der Verarbeitung personenbezogener Daten gemäß rechtlicher Vorgaben wie der DSGVO. Es geht um die Frage: Dürfen wir diese Daten überhaupt verarbeiten, und wenn ja, wie?
  • Datensicherheit: Hier geht es um den Schutz vor unbefugtem Zugriff, Verlust oder Manipulation von Daten – unabhängig davon, ob diese personenbezogen sind. Ein gestohlenes Betriebsgeheimnis ist ein Datensicherheitsproblem, auch wenn keine personenbezogenen Daten betroffen sind.

Beispiel: Ein Unternehmen kann datenschutzkonform sein (korrekter AVV, rechtsgültige Einwilligungen, löschbare Daten), aber dennoch Sicherheitslücken haben, die zu Datenlecks führen. Beide Dimensionen müssen adressiert werden – sie ergänzen sich, ersetzen sich aber nicht.

Wie passt die DSGVO zu KI?

Die DSGVO wurde vor dem KI-Boom geschrieben, gilt aber vollumfänglich für KI-Systeme, die personenbezogene Daten verarbeiten. Drei Bereiche sind besonders relevant:

Automatisierte Entscheidungen (Art. 22 DSGVO)

Die DSGVO setzt eine klare rote Linie, wenn KI menschliche Entscheidungen vollständig ersetzt – etwa bei Kreditvergaben, Bewerbungsauswahl oder Leistungsbeurteilung. In diesen Fällen haben Betroffene das Recht auf menschliche Überprüfung und Erklärung. Solange KI nur unterstützend wirkt und die finale Entscheidung beim Menschen bleibt, sind datenschutzkonforme Lösungen möglich.

Zweckbindung und Datensparsamkeit (Art. 5 DSGVO)

KI-Systeme, die mit Kundendaten trainiert werden, müssen sich an den ursprünglich erhobenen Zweck halten. Daten, die für Vertragsabwicklung erhoben wurden, dürfen nicht ohne weiteres für das Training eines KI-Modells genutzt werden. Hier braucht es entweder eine neue Einwilligung oder eine belastbare berechtigte Interesse-Abwägung.

Transparenzpflicht (Art. 13, 14 DSGVO)

Wenn Ihr Unternehmen einen KI-Chatbot einsetzt, der Kundendaten verarbeitet, müssen Kunden darüber informiert werden – und das nicht nur im Kleingedruckten. Die Datenschutzerklärung muss KI-gestützte Verarbeitungen explizit benennen.

Was bedeutet der EU AI Act für den Datenschutz?

Der EU AI Act ergänzt die DSGVO – er ersetzt sie nicht. Beide Regelwerke greifen gleichzeitig. Das bedeutet in der Praxis: Hochrisiko-KI-Systeme (z. B. KI-gestütztes Recruiting) müssen sowohl die Anforderungen des AI Acts (Dokumentation, Risikoabschätzung, menschliche Aufsicht) als auch die der DSGVO (AVV, Zweckbindung, Betroffenenrechte) erfüllen.

In Deutschland ist noch offen, welche Behörde für die Durchsetzung des AI Acts verantwortlich sein wird. Die Datenschutzbehörden (Landesdatenschutzbeauftragte) haben signalisiert, dass sie auch für KI-Fragen zuständig sein wollen. Unternehmen sollten daher Datenschutz und AI-Act-Compliance gemeinsam denken, nicht getrennt.

Einen detaillierten Überblick über die Pflichten und Fristen bietet die Copilotenschule in ihrem Compliance-Leitfaden zum EU AI Act – inklusive praktischer Checklisten.

Microsoft Copilot und DSGVO: Was speziell zu beachten ist

Besonders relevant wird das Thema beim Einsatz von Microsoft Copilot, der tief in die Microsoft-365-Umgebung integriert ist. Microsoft hat Copilot for Microsoft 365 explizit auf EU-Datenschutzanforderungen ausgelegt:

  • Daten werden nicht zum Training von Microsoft-Basismodellen verwendet
  • Der Tenant-Datenschutz ist durch die Microsoft-Vereinbarung abgedeckt (AVV inklusive)
  • Datenverarbeitung findet innerhalb der EU-Rechenzentren statt (EU Data Boundary)

Der Haken: Die Verantwortung für die korrekte Konfiguration liegt beim Unternehmen. Wer seine Berechtigungen in SharePoint und OneDrive nicht sauber aufgesetzt hat, gibt Copilot möglicherweise Zugriff auf Daten, die nicht für alle Augen bestimmt sind. Nicht weil Microsoft es falsch macht – sondern weil die eigenen Zugriffsrechte nie für einen KI-Assistenten konzipiert wurden, der alles lesen kann, worauf ein User Zugriff hat.

Die Copilotenschule beleuchtet in einem eigenen Artikel die Datenschutz-Aspekte beim Copilot-Einsatz – von Datenverarbeitung über Berechtigungskonzepte bis hin zu konkreten Handlungsempfehlungen.

Handlungsempfehlungen: So machen Sie KI-Einsatz DSGVO-konform

  1. KI-Inventar erstellen: Alle eingesetzten KI-Tools erfassen und prüfen, ob sie personenbezogene Daten verarbeiten
  2. AVV prüfen: Mit jedem KI-Anbieter, der personenbezogene Daten verarbeitet, muss ein gültiger AVV bestehen
  3. Richtlinien formulieren: Klare interne Richtlinien für den KI-Einsatz, die festlegen, welche Daten in welche Tools eingegeben werden dürfen
  4. Mitarbeitende schulen: Regelmäßige Schulungen zum datenschutzkonformen KI-Einsatz – das ist auch nach Art. 4 EU AI Act eine gesetzliche Pflicht
  5. Datenschutzfolgenabschätzung (DSFA): Bei Hochrisiko-KI-Systemen eine DSFA nach Art. 35 DSGVO durchführen

Wenn Sie Ihre Teams zu diesen Themen schulen wollen, bieten wir KI-Trainings mit Datenschutz-Fokus in Köln und online an – praxisnah und auf den deutschen Unternehmenskontext ausgerichtet.

Fazit

Der Umgang mit Datenschutz und KI ist komplex, aber keineswegs unlösbar. Unternehmen können KI-Tools sicher und datenschutzkonform einsetzen, wenn sie die rechtlichen und technischen Anforderungen kennen und umsetzen. DSGVO und EU AI Act bieten dabei nicht nur Pflichten, sondern auch eine Chance: Wer früh Compliance-Strukturen aufbaut, schafft Vertrauen – bei Kunden, Partnern und Mitarbeitenden.

Bleiben Sie informiert, probieren Sie Neues aus und nutzen Sie die Potenziale der KI verantwortungsvoll. Wenn Sie weitere Fragen haben, sprechen Sie uns für ein individuelles Beratungsgespräch an.

Erfahren Sie mehr über KI und Datenschutz in unseren Kursen!

Das könnte Sie auch interessieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Köln, Deutschland
martin@yellow-boat.com
+49 221 950 187 74

Diese Seite verwendet Cookies. Details finden Sie in der Datenschutzerklärung / By continuing to use the site, you agree to the use of cookies. Details

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close