Der komplette Leitfaden für deutsche Unternehmen
Die Implementierung von Künstlicher Intelligenz erfordert besondere Sorgfalt im Umgang mit personenbezogenen Daten. Dieser Leitfaden zeigt Ihnen, wie Sie KI DSGVO-konform einsetzen.
Stand: Juli 2026
Künstliche Intelligenz verarbeitet oft große Mengen personenbezogener Daten. Die DSGVO stellt klare Anforderungen an diese Verarbeitung. Verstöße können zu Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes führen.
Artikel 22 DSGVO regelt automatisierte Einzelentscheidungen einschließlich Profiling. Betroffene haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden.
Ausnahmen gelten nur bei Vertragserfüllung, gesetzlicher Erlaubnis oder ausdrücklicher Einwilligung.
Die DSGVO verlangt, dass nur die Daten verarbeitet werden, die für den Zweck erforderlich sind. Dies gilt auch für das Training von KI-Modellen. Ausblick: Mit dem „Digital Omnibus“ plant die EU einen neuen Art. 88c DSGVO, der ausdrücklich klarstellen soll, dass KI-Training auf das berechtigte Interesse gestützt werden kann — mit Interessenabwägung und besonderen Transparenz- und Schutzauflagen. Dieser Teil des Pakets ist noch nicht beschlossen; bis dahin gilt die bestehende Rechtslage unverändert.
Die Wahl zwischen On-Premise und Cloud-Lösungen hat erhebliche Auswirkungen auf die DSGVO-Compliance.
Für besonders sensible Daten empfehlen wir On-Premise-Lösungen oder Cloud-Dienste ausschließlich in deutschen/EU-Rechenzentren.
Die Nutzung von ChatGPT und ähnlichen Cloud-KI-Diensten erfordert besondere Vorsicht. Personenbezogene Daten sollten nicht in Prompts eingegeben werden. Für sensible Unternehmensdaten empfehlen wir On-Premise-Alternativen. Zusätzlich greift der EU AI Act: Ab dem 2. August 2026 müssen Chatbots und KI-generierte Inhalte als solche gekennzeichnet werden (Art. 50).
In den meisten Fällen ja. Eine DSFA ist erforderlich, wenn die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt - was bei vielen KI-Anwendungen der Fall ist.
Ja, aber nur unter strengen Auflagen: Es muss eine Rechtsgrundlage vorliegen, die Datenminimierung eingehalten werden, und Betroffene müssen informiert werden. Anonymisierte Daten sind datenschutzrechtlich vorzuziehen. Perspektivisch will die EU das Training auf Basis des berechtigten Interesses ausdrücklich regeln (geplanter Art. 88c DSGVO im Digital Omnibus) — beschlossen ist das aber noch nicht.
DSGVO-Verstöße können zu erheblichen Bußgeldern führen. Bei KI-Systemen kommen oft erschwerend Transparenz- und Dokumentationspflichten hinzu. Eine sorgfältige Vorbereitung ist daher essentiell.
Sie müssen die Logik der Entscheidungsfindung verständlich erklären können. Dies erfordert technische Logging-Mechanismen und eine nachvollziehbare Dokumentation der eingesetzten Algorithmen.
Darf ich ChatGPT im Unternehmen nutzen? Ampel-Check und Alternativen.
Weiterlesen →Anschaffung, Betrieb und Cloud-Vergleich für On-Premise-KI durchrechnen.
Weiterlesen →Pflichten, Fristen und Risikoklassen des EU AI Act verständlich erklärt.
Weiterlesen →Wir beraten Sie bei der Auswahl und Implementierung DSGVO-konformer KI-Lösungen - von der Datenschutz-Folgenabschätzung bis zur technischen Umsetzung.
Oder starten Sie zuerst den KI-Quick-Check:
Zum KI-Quick-Check