Lernziele dieses Moduls
- DSGVO-Grundlagen verstehen und anwenden
- KI-spezifische Datenschutzrisiken erkennen
- Rechtssicher mit KI-Tools umgehen
- Vertragspflichten bei KI-Anbietern erfüllen
1. DSGVO-Grundlagen
Die 7 Schutzprinzipien
Die DSGVO basiert auf sieben fundamentalen Datenschutz-Prinzipien (Artikel 5 DSGVO):
| Nr. | Prinzip | Bedeutung |
|---|---|---|
| 1 | Rechtmäßigkeit | Verarbeitung nur mit gültiger Rechtsgrundlage (z.B. Einwilligung) |
| 2 | Zweckbindung | Daten nur für vorher festgelegte, legitime Zwecke nutzen |
| 3 | Datenminimierung | Nur wirklich notwendige Daten erheben und verarbeiten |
| 4 | Richtigkeit | Daten müssen korrekt und aktuell gehalten werden |
| 5 | Speicherbegrenzung | Nicht länger als nötig speichern; Löschfristen einhalten |
| 6 | Integrität & Vertraulichkeit | Sicherheit durch technische und organisatorische Maßnahmen |
| 7 | Rechenschaftspflicht | Einhaltung dokumentieren und nachweisen können |
Verstöße gegen diese Grundprinzipien können mit hohen Bußgeldern (bis 20 Mio. € oder 4% des Jahresumsatzes) sanktioniert werden.
Rechtsgrundlagen für KI-Nutzung
Art. 6 DSGVO – zulässige Verarbeitung: Für jede Verarbeitung personenbezogener Daten – auch durch KI-Systeme – muss eine der gesetzlichen Rechtsgrundlagen vorliegen.
| Rechtsgrundlage | Art. 6 | Beispiel |
|---|---|---|
| Einwilligung | Abs. 1 lit. a | Freiwillige Zustimmung für Marketingzwecke |
| Vertragserfüllung | Abs. 1 lit. b | Verarbeitung zur Erfüllung von Kundenverträgen |
| Berechtigtes Interesse | Abs. 1 lit. f | Optimierung interner Prozesse (nach Interessenabwägung) |
| Rechtliche Verpflichtung | Abs. 1 lit. c | Erfüllung gesetzlicher Pflichten (Steuern, Buchhaltung) |
2. KI-spezifische Risiken
2.1 Datenweitergabe an Dritte
Das Problem: Wenn Sie Daten in öffentliche KI-Tools wie ChatGPT, Claude oder andere Cloud-KI-Systeme eingeben, verlassen diese Daten Ihre Kontrolle.
| Risiko | Beschreibung |
|---|---|
| Datenübertragung ins Ausland | Daten werden auf Servern außerhalb der EU verarbeitet. Ohne DSGVO-konformen AVV bedeutet das Transfer in ein unsicheres Drittland |
| Nutzung für KI-Training | Anbieter behalten sich vor, Benutzereingaben für Modelltraining zu verwenden. Ihre Daten könnten in Antworten an andere Nutzer wieder auftauchen |
| Fehlende Löschfristen | Unklar, wie lange Anbieter Eingaben speichern. Recht auf Vergessenwerden kaum durchsetzbar |
| Keine Kontrolle über Sub-Auftragsverarbeiter | Keine Transparenz, welche Drittanbieter eingeschaltet werden |
2.2 Transparenzpflicht
Art. 13–14 DSGVO – Informationspflichten: Betroffene Personen müssen umfassend informiert werden, wenn ihre personenbezogenen Daten verarbeitet werden.
| Information | Was zu kommunizieren ist |
|---|---|
| Wer verarbeitet die Daten? | Identität des Verantwortlichen und ggf. Auftragsverarbeiters |
| Zu welchem Zweck? | Zwecke der KI-Nutzung |
| Welches System wird eingesetzt? | Hinweis, dass es sich um eine KI handelt (ggf. Name/Typ) |
| Automatisierte Entscheidungen? | Ob automatisierte Entscheidungsfindung oder Profiling stattfindet |
Praxis-Beispiel:
Wenn Sie einen KI-Chatbot im Kundenservice einsetzen, müssen Sie Kunden klar darauf hinweisen, dass sie mit einer KI (und nicht mit einer menschlichen Person) kommunizieren.
2.3 Automatisierte Entscheidungen
Art. 22 DSGVO – Rechte bei Automation: Betroffene haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.
| Szenario | Risiko |
|---|---|
| Kreditvergabe durch KI | Algorithmus lehnt vollautomatisch einen Kreditantrag ab |
| Einstellungsentscheidungen | KI filtert Bewerbungen ohne Personaler |
| Mitarbeiterbewertung | KI-Systeme beurteilen Mitarbeiter ausschließlich datengetrieben |
Solche Entscheidungen sind laut DSGVO grundsätzlich unzulässig, es sei denn es greift eine Ausnahme (Vertragserfüllung, ausdrückliche Einwilligung, gesetzliche Erlaubnis).
Lösung in der Praxis: Bei wichtigen Entscheidungen immer einen Human-in-the-Loop vorsehen. Die KI liefert eine Vorentscheidung oder Empfehlung – die finale Entscheidung trifft aber ein Mensch.
3. Rechtssicherer Umgang mit KI-Tools
3.1 Datenschutz-Freigabe erstellen
Bevor Sie ein KI-Tool im Unternehmen einsetzen, sollten Sie eine Datenschutz-Freigabe durchführen.
Checkliste für KI-Tools:
- Welche Daten werden verarbeitet?
- Handelt es sich um personenbezogene Daten?
- Sind darunter sensible Daten (z.B. Gesundheit, Religion)?
- Wo werden die Daten verarbeitet (Speicherort, Cloud-Region)?
- Gibt es einen AV-Vertrag (Art. 28 DSGVO) mit dem Anbieter?
- Ist die Rechtsgrundlage geklärt (Art. 6 / 9 DSGVO)?
- Wurden die Betroffenen informiert (Art. 13 DSGVO)?
- Ist die Verarbeitungstätigkeit im Verzeichnis dokumentiert?
- Muss eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt werden?
3.2 KI-Tools bewerten (Risikoanalyse)
| Risikoklasse | Beispiele | Maßnahmen |
|---|---|---|
| Gering | Analyse öffentlich verfügbarer Daten | Standard-AVV abschließen |
| Mittel | Verarbeitung von Kundendaten zu Analysezwecken | Strengere AVV-Klauseln, ggf. Pseudonymisierung |
| Hoch | Verarbeitung sensibler Daten (Gesundheit) | DPIA durchführen, spezielle sichere KI-Lösungen |
3.3 Konkrete Maßnahmen
❌ Was Sie NICHT tun sollten
- Keine personenbezogenen Daten eingeben! Weder Kunden-E-Mails, noch Namen, Adressen oder Telefonnummern
- Keine Geschäftsgeheimnisse eingeben – Strategiedokumente, Quellcode, Preiskalkulationen könnten im KI-Modell landen
- Bei kostenlosen Tools gilt: "Ist es gratis, bezahlt man mit den Daten"
✅ Was Sie stattdessen tun
- Nutzen Sie Business-/Enterprise-Tarife mit Datenschutzoptionen
- Stellen Sie Opt-out fürs KI-Training ein
- Prüfen Sie Löschfristen oder manuelle Löschung von Konversationsdaten
Das Wichtigste auf einen Blick
| Bereich | Kernpunkte |
|---|---|
| 7 DSGVO-Prinzipien | Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Rechenschaft |
| Rechtsgrundlagen | Einwilligung, Vertragserfüllung, berechtigtes Interesse, rechtliche Verpflichtung |
| KI-spezifische Risiken | Datenweitergabe ins Ausland, Training mit Kundendaten, fehlende Löschfristen |
| Transparenz | Betroffene müssen über KI-Einsatz informiert werden |
| Automatisierte Entscheidungen | Grundsätzlich unzulässig ohne menschliches Eingreifen |
| Sicherer Umgang | Keine personenbezogenen Daten in öffentliche KIs, Business-Tarife nutzen |
Nächste Schritte für Ihr Unternehmen:
- Checkliste durchgehen für jedes geplante KI-Tool
- Risikoklasse bestimmen (gering/mittel/hoch)
- AV-Vertrag prüfen oder abschließen
- Betroffene informieren über KI-Einsatz
- Human-in-the-Loop bei wichtigen Entscheidungen
Merke: Datenschutz bei KI ist kein Showstopper, sondern ein Qualitätsmerkmal. Wer früh die richtigen Maßnahmen ergreift, spart sich später Probleme und Bußgelder.
Nächstes Modul: Sicherheit & Ethische Aspekte von KI-Systemen