Kurz erklärt
Für den Einsatz von KI im Unternehmen gelten dieselben Datenschutzregeln wie für jede andere Datenverarbeitung – allen voran die DSGVO. Kritisch wird es, wenn personenbezogene oder vertrauliche Daten in öffentliche KI-Dienste eingegeben werden, deren Verarbeitung das Unternehmen nicht kontrolliert. Wer KI datenschutzkonform nutzen will, braucht klare interne Regeln, geprüfte Anbieter oder selbst betriebene Modelle.
Wo das Datenschutzrisiko wirklich liegt
Das größte Risiko ist selten die KI selbst, sondern der unkontrollierte Datenfluss: Mitarbeitende kopieren Kundendaten, Verträge oder interne Unterlagen in öffentliche Chat-Tools – und damit auf Server von Drittanbietern, häufig außerhalb der EU. Was dort mit den Daten geschieht, ob sie gespeichert oder für das Training weiterverwendet werden, lässt sich aus dem Unternehmen heraus kaum nachvollziehen.
Hinzu kommt: Auch KI-Funktionen in gekaufter Software senden Daten oft an externe Dienste. Vor dem Einsatz lohnt deshalb immer die Frage, wo das Modell läuft und welche Daten es verlassen – mehr dazu im Eintrag KI in SaaS-Anwendungen.
Wie Unternehmen KI datenschutzkonform einsetzen
In der Praxis haben sich drei Bausteine bewährt: klare interne Regeln, welche Daten in welche Tools dürfen; geprüfte Verarbeitungswege, etwa Auftragsverarbeitungsverträge und europäische Anbieter; und für sensible Anwendungsfälle selbst betriebene Modelle, bei denen keine Daten das eigene Haus verlassen – etwa auf einem eigenen KI-Server oder in einer privaten, in Deutschland gehosteten Umgebung.
Welche Variante passt, hängt vom Schutzbedarf der Daten ab. Für unkritische Aufgaben kann ein Cloud-Dienst genügen; sobald Kunden-, Gesundheits- oder Vertragsdaten im Spiel sind, spricht vieles für Lösungen unter eigener Kontrolle – Stichwort KI-Souveränität.
Wichtiger Hinweis
Ohne Regeln entsteht Schatten-KI
Wenn ein Unternehmen keine klaren Vorgaben macht, nutzen Mitarbeitende KI-Tools trotzdem – nur eben privat und unkontrolliert. Ein Verbot löst das Problem nicht. Besser ist ein geregelter, sicherer Zugang zu geeigneten Werkzeugen. Dieser Beitrag ersetzt keine Rechtsberatung; die konkrete Bewertung gehört zu Ihrem Datenschutzbeauftragten.
Häufige Fragen zu KI und Datenschutz
Dürfen Mitarbeitende ChatGPT im Unternehmen nutzen?
Grundsätzlich ja – entscheidend ist, welche Daten eingegeben werden. Personenbezogene oder vertrauliche Daten gehören nicht in öffentliche KI-Dienste ohne geprüfte Vereinbarungen. Unternehmen sollten das in einer internen KI-Richtlinie klar regeln.
Ist lokal betriebene KI automatisch DSGVO-konform?
Nein, aber sie löst das größte Problem: Daten verlassen das Unternehmen nicht. Die übrigen DSGVO-Pflichten – etwa Zweckbindung, Löschkonzepte und Betroffenenrechte – gelten für lokale Systeme genauso.
Was sollte eine interne KI-Richtlinie regeln?
Mindestens: welche Tools zugelassen sind, welche Datenkategorien eingegeben werden dürfen, wie mit Ergebnissen umzugehen ist und wer bei Unsicherheit entscheidet. Dazu gehört auch die Schulung der Mitarbeitenden.