DSGVO und KI im Unternehmen: Worauf du wirklich achten musst

Warum DSGVO bei KI sofort relevant wird

Sobald du einen KI-Assistenten, einen Chatbot oder eine Automatisierung mit echten Geschaeftsdaten fuetterst, verarbeitest du in den meisten Faellen personenbezogene Daten: Kundennamen in E-Mails, Telefonnummern in CRM-Eintraegen, Bewerberprofile, Support-Tickets. Damit greift die DSGVO — unabhaengig davon, ob das Tool ChatGPT, ein Make-Workflow oder eine selbstgebaute App ist.

Das Problem im Mittelstand ist selten boeser Wille, sondern Unsichtbarkeit. Ein Mitarbeiter kopiert eine Kundenmail in ein KI-Tool, um eine Antwort zu formulieren. Technisch trivial, datenschutzrechtlich ein Drittland-Transfer ohne Rechtsgrundlage. Genau solche Alltagshandlungen sind das Risiko, nicht das grosse KI-Projekt mit Rechtsabteilung.

Die gute Nachricht: DSGVO-konforme KI ist kein Hexenwerk. Es geht um sechs Bausteine, die du einmal sauber aufsetzt und dann konsequent durchhaeltst.

Baustein 1: Rechtsgrundlage klaeren (Art. 6 DSGVO)

Jede Verarbeitung braucht eine Rechtsgrundlage. Fuer KI-Anwendungen sind in der Praxis drei relevant:

• Vertragserfuellung (Art. 6 Abs. 1 b) — z.B. ein Chatbot, der eine konkrete Kundenanfrage zum bestehenden Auftrag bearbeitet.
• Berechtigtes Interesse (Art. 6 Abs. 1 f) — z.B. interne Automatisierung zur Effizienzsteigerung. Hier musst du eine Interessenabwaegung dokumentieren (LIA, Legitimate Interest Assessment).
• Einwilligung (Art. 6 Abs. 1 a) — bei sensiblen oder unerwarteten Verarbeitungen, etwa Profiling fuer Marketing.

Stolperstein: Viele nehmen pauschal "berechtigtes Interesse" an, ohne die Abwaegung schriftlich festzuhalten. Ohne Dokumentation ist die Rechtsgrundlage im Pruefungsfall wertlos.

Baustein 2: Auftragsverarbeitung (AVV) mit jedem Anbieter

Jeder externe KI-Dienst, der in deinem Auftrag Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Das betrifft praktisch alle SaaS-KI-Tools.

Konkrete To-dos:

• AVV abschliessen mit jedem Anbieter (OpenAI, Anthropic, Google, deinem Automatisierungs-Tool, Hosting).
• Bei US-Anbietern: pruefen, ob sie unter dem EU-US Data Privacy Framework zertifiziert sind. Wenn nicht, brauchst du Standardvertragsklauseln (SCC) plus ein Transfer Impact Assessment.
• Pruefen, ob der Anbieter deine Daten zum Modelltraining nutzt. Bei den Business-/Enterprise-Tarifen von OpenAI und Anthropic ist Training standardmaessig deaktiviert — bei den kostenlosen Consumer-Versionen oft nicht. Das ist der wichtigste Unterschied.

Praxis-Tipp: Halte eine Liste aller eingesetzten KI-Tools mit AVV-Status. Das spart dir spaeter die Hektik, wenn die Aufsichtsbehoerde oder ein Kunde nachfragt.

Baustein 3: Verarbeitungsverzeichnis (VVT) erweitern

Das Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO) ist Pflicht. Neue KI-Prozesse gehoeren dort rein — als eigene Eintraege, nicht versteckt unter "IT-Betrieb".

Pro KI-Anwendung dokumentierst du:

• Zweck der Verarbeitung
• Kategorien betroffener Personen und Daten
• eingesetztes Tool und Dienstleister (Verweis auf AVV)
• Drittlandtransfer ja/nein und Schutzmechanismus
• Loeschfristen

Baustein 4: Datenminimierung und Pseudonymisierung

Der wirksamste Hebel ist, KI gar nicht erst mit unnoetigen Personendaten zu fuettern.

• Vorab anonymisieren/pseudonymisieren: Namen, Adressen, Vertragsnummern durch Platzhalter ersetzen, bevor der Text an die KI geht. Es gibt dafuer vorgeschaltete Filter (Pre-Processing), die das automatisiert erledigen.
• Nur relevante Felder uebergeben: Ein KI-Workflow zur Angebotserstellung braucht den Leistungsumfang, nicht die Bankverbindung des Kunden.
• Self-hosted/On-Premise pruefen: Fuer besonders sensible Daten kann ein lokal betriebenes Open-Source-Modell (z.B. via Ollama auf eigener Hardware) der sauberere Weg sein — die Daten verlassen das Haus nie.

Baustein 5: Transparenz, Betroffenenrechte und der "Mensch in der Schleife"

• Informationspflicht (Art. 13/14): In der Datenschutzerklaerung muss stehen, dass und wofuer KI eingesetzt wird.
• Automatisierte Entscheidungen (Art. 22): Triff keine rechtlich erheblichen Entscheidungen (Kreditvergabe, Bewerberabsage, Kuendigung) vollautomatisch ohne menschliche Pruefung. Bei solchen Faellen ist ein "Human in the Loop" Pflicht, nicht nur eine Empfehlung.
• Auskunft und Loeschung: Du musst auf Anfrage sagen koennen, welche Daten in welchem KI-Prozess stecken — und sie loeschen koennen. Das setzt voraus, dass du keine Personendaten in unkontrollierten Chat-Verlaeufen ansammelst.

Baustein 6: EU AI Act mitdenken

Seit 2024 gilt zusaetzlich die KI-Verordnung der EU (AI Act). Sie arbeitet mit Risikoklassen:

• Verbotene Praktiken (z.B. Social Scoring) — gelten bereits.
• Hochrisiko-KI (z.B. im HR-Bereich bei Bewerberauswahl, Kreditwuerdigkeitspruefung) — strenge Pflichten, die schrittweise bis 2026/2027 greifen.
• Transparenzpflichten fuer Chatbots: Nutzer muessen erkennen koennen, dass sie mit einer KI sprechen.

Fuer typische Mittelstands-Anwendungen (Textassistenz, Automatisierung, Kundenservice) bist du meist im niedrigen Risikobereich. Sobald es aber um Personalentscheidungen oder Bonitaet geht, wird es schnell Hochrisiko — dann lohnt eine juristische Einzelpruefung.

Kompakt-Checkliste fuer den Start

• [ ] Inventar aller eingesetzten KI-Tools erstellen
• [ ] AVV mit jedem Anbieter abgeschlossen
• [ ] Business-Tarif statt Consumer-Version (kein Modelltraining mit deinen Daten)
• [ ] Drittland-Transfer geprueft (DPF-Zertifizierung oder SCC)
• [ ] Rechtsgrundlage je Anwendung dokumentiert (inkl. LIA bei berechtigtem Interesse)
• [ ] VVT um KI-Prozesse erweitert
• [ ] Datenminimierung/Pseudonymisierung vorgeschaltet
• [ ] Datenschutzerklaerung um KI-Hinweis ergaenzt
• [ ] Mensch-in-der-Schleife bei erheblichen Entscheidungen
• [ ] Interne KI-Richtlinie fuer Mitarbeiter (was darf in welches Tool)

Der wichtigste Punkt: die interne Richtlinie

Die meisten DSGVO-Verstoesse bei KI entstehen nicht durch falsch konfigurierte Software, sondern durch Mitarbeiter, die in guter Absicht Daten in Tools kopieren. Eine kurze, verstaendliche KI-Nutzungsrichtlinie — welche Tools erlaubt sind, welche Daten nie hineingehoeren, wer im Zweifel zu fragen ist — verhindert mehr Probleme als jedes Rechtsgutachten.

Wer KI von Anfang an mit sauberer Datenarchitektur aufsetzt, statt nachtraeglich zu reparieren, spart sich teure Korrekturen. Genau hier setzen wir bei Plugwork an: Business-Logik und Compliance zuerst, dann die Technik. So entsteht eine KI-Loesung, die im Pruefungsfall standhaelt und trotzdem im Alltag entlastet.