Alle Wissenseinträge KI & Automatisierung

KI und Datenschutz: Was Unternehmen beachten müssen

Warum die DSGVO auch für KI gilt, welche Risiken öffentliche KI-Tools bergen – und wie Unternehmen KI nutzen, ohne die Kontrolle über ihre Daten zu verlieren.

3 Min. Lesezeit Wissen · KI · Datenschutz

Kurz erklärt

Für den Einsatz von KI im Unternehmen gelten dieselben Datenschutzregeln wie für jede andere Datenverarbeitung – allen voran die DSGVO. Kritisch wird es, wenn personenbezogene oder vertrauliche Daten in öffentliche KI-Dienste eingegeben werden, deren Verarbeitung das Unternehmen nicht kontrolliert. Wer KI datenschutzkonform nutzen will, braucht klare interne Regeln, geprüfte Anbieter oder selbst betriebene Modelle.

Wo das Datenschutzrisiko wirklich liegt

Das größte Risiko ist selten die KI selbst, sondern der unkontrollierte Datenfluss: Mitarbeitende kopieren Kundendaten, Verträge oder interne Unterlagen in öffentliche Chat-Tools – und damit auf Server von Drittanbietern, häufig außerhalb der EU. Was dort mit den Daten geschieht, ob sie gespeichert oder für das Training weiterverwendet werden, lässt sich aus dem Unternehmen heraus kaum nachvollziehen.

Hinzu kommt: Auch KI-Funktionen in gekaufter Software senden Daten oft an externe Dienste. Vor dem Einsatz lohnt deshalb immer die Frage, wo das Modell läuft und welche Daten es verlassen – mehr dazu im Eintrag KI in SaaS-Anwendungen.

Wie Unternehmen KI datenschutzkonform einsetzen

In der Praxis haben sich drei Bausteine bewährt: klare interne Regeln, welche Daten in welche Tools dürfen; geprüfte Verarbeitungswege, etwa Auftragsverarbeitungsverträge und europäische Anbieter; und für sensible Anwendungsfälle selbst betriebene Modelle, bei denen keine Daten das eigene Haus verlassen – etwa auf einem eigenen KI-Server oder in einer privaten, in Deutschland gehosteten Umgebung.

Welche Variante passt, hängt vom Schutzbedarf der Daten ab. Für unkritische Aufgaben kann ein Cloud-Dienst genügen; sobald Kunden-, Gesundheits- oder Vertragsdaten im Spiel sind, spricht vieles für Lösungen unter eigener Kontrolle – Stichwort KI-Souveränität.

Wichtiger Hinweis

Ohne Regeln entsteht Schatten-KI

Wenn ein Unternehmen keine klaren Vorgaben macht, nutzen Mitarbeitende KI-Tools trotzdem – nur eben privat und unkontrolliert. Ein Verbot löst das Problem nicht. Besser ist ein geregelter, sicherer Zugang zu geeigneten Werkzeugen. Dieser Beitrag ersetzt keine Rechtsberatung; die konkrete Bewertung gehört zu Ihrem Datenschutzbeauftragten.

Häufige Fragen zu KI und Datenschutz

Dürfen Mitarbeitende ChatGPT im Unternehmen nutzen?

Grundsätzlich ja – entscheidend ist, welche Daten eingegeben werden. Personenbezogene oder vertrauliche Daten gehören nicht in öffentliche KI-Dienste ohne geprüfte Vereinbarungen. Unternehmen sollten das in einer internen KI-Richtlinie klar regeln.

Ist lokal betriebene KI automatisch DSGVO-konform?

Nein, aber sie löst das größte Problem: Daten verlassen das Unternehmen nicht. Die übrigen DSGVO-Pflichten – etwa Zweckbindung, Löschkonzepte und Betroffenenrechte – gelten für lokale Systeme genauso.

Was sollte eine interne KI-Richtlinie regeln?

Mindestens: welche Tools zugelassen sind, welche Datenkategorien eingegeben werden dürfen, wie mit Ergebnissen umzugehen ist und wer bei Unsicherheit entscheidet. Dazu gehört auch die Schulung der Mitarbeitenden.

Weiterführende Inhalte

KI nutzen, ohne Daten aus der Hand zu geben?

Wir zeigen Ihnen, wie Sie KI-Funktionen sicher in Ihre Prozesse integrieren – mit geprüften Verarbeitungswegen oder Modellen unter Ihrer eigenen Kontrolle.

Beratung anfragen

Wir melden uns persönlich. Kein automatisierter Verkaufsprozess.