Warum DSGVO bei KI sofort relevant wird
Sobald du einen KI-Assistenten, einen Chatbot oder eine Automatisierung mit echten Geschaeftsdaten fuetterst, verarbeitest du in den meisten Faellen personenbezogene Daten: Kundennamen in E-Mails, Telefonnummern in CRM-Eintraegen, Bewerberprofile, Support-Tickets. Damit greift die DSGVO — unabhaengig davon, ob das Tool ChatGPT, ein Make-Workflow oder eine selbstgebaute App ist.
Das Problem im Mittelstand ist selten boeser Wille, sondern Unsichtbarkeit. Ein Mitarbeiter kopiert eine Kundenmail in ein KI-Tool, um eine Antwort zu formulieren. Technisch trivial, datenschutzrechtlich ein Drittland-Transfer ohne Rechtsgrundlage. Genau solche Alltagshandlungen sind das Risiko, nicht das grosse KI-Projekt mit Rechtsabteilung.
Die gute Nachricht: DSGVO-konforme KI ist kein Hexenwerk. Es geht um sechs Bausteine, die du einmal sauber aufsetzt und dann konsequent durchhaeltst.
Baustein 1: Rechtsgrundlage klaeren (Art. 6 DSGVO)
Jede Verarbeitung braucht eine Rechtsgrundlage. Fuer KI-Anwendungen sind in der Praxis drei relevant:
- Vertragserfuellung (Art. 6 Abs. 1 b) — z.B. ein Chatbot, der eine konkrete Kundenanfrage zum bestehenden Auftrag bearbeitet.
- Berechtigtes Interesse (Art. 6 Abs. 1 f) — z.B. interne Automatisierung zur Effizienzsteigerung. Hier musst du eine Interessenabwaegung dokumentieren (LIA, Legitimate Interest Assessment).
- Einwilligung (Art. 6 Abs. 1 a) — bei sensiblen oder unerwarteten Verarbeitungen, etwa Profiling fuer Marketing.
Stolperstein: Viele nehmen pauschal "berechtigtes Interesse" an, ohne die Abwaegung schriftlich festzuhalten. Ohne Dokumentation ist die Rechtsgrundlage im Pruefungsfall wertlos.
Baustein 2: Auftragsverarbeitung (AVV) mit jedem Anbieter
Jeder externe KI-Dienst, der in deinem Auftrag Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Das betrifft praktisch alle SaaS-KI-Tools.
Konkrete To-dos:
- AVV abschliessen mit jedem Anbieter (OpenAI, Anthropic, Google, deinem Automatisierungs-Tool, Hosting).
- Bei US-Anbietern: pruefen, ob sie unter dem EU-US Data Privacy Framework zertifiziert sind. Wenn nicht, brauchst du Standardvertragsklauseln (SCC) plus ein Transfer Impact Assessment.
- Pruefen, ob der Anbieter deine Daten zum Modelltraining nutzt. Bei den Business-/Enterprise-Tarifen von OpenAI und Anthropic ist Training standardmaessig deaktiviert — bei den kostenlosen Consumer-Versionen oft nicht. Das ist der wichtigste Unterschied.
Praxis-Tipp: Halte eine Liste aller eingesetzten KI-Tools mit AVV-Status. Das spart dir spaeter die Hektik, wenn die Aufsichtsbehoerde oder ein Kunde nachfragt.
Baustein 3: Verarbeitungsverzeichnis (VVT) erweitern
Das Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO) ist Pflicht. Neue KI-Prozesse gehoeren dort rein — als eigene Eintraege, nicht versteckt unter "IT-Betrieb".
Pro KI-Anwendung dokumentierst du:
- Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- eingesetztes Tool und Dienstleister (Verweis auf AVV)
- Drittlandtransfer ja/nein und Schutzmechanismus
- Loeschfristen
Baustein 4: Datenminimierung und Pseudonymisierung
Der wirksamste Hebel ist, KI gar nicht erst mit unnoetigen Personendaten zu fuettern.
- Vorab anonymisieren/pseudonymisieren: Namen, Adressen, Vertragsnummern durch Platzhalter ersetzen, bevor der Text an die KI geht. Es gibt dafuer vorgeschaltete Filter (Pre-Processing), die das automatisiert erledigen.
- Nur relevante Felder uebergeben: Ein KI-Workflow zur Angebotserstellung braucht den Leistungsumfang, nicht die Bankverbindung des Kunden.
- Self-hosted/On-Premise pruefen: Fuer besonders sensible Daten kann ein lokal betriebenes Open-Source-Modell (z.B. via Ollama auf eigener Hardware) der sauberere Weg sein — die Daten verlassen das Haus nie.
Baustein 5: Transparenz, Betroffenenrechte und der "Mensch in der Schleife"
- Informationspflicht (Art. 13/14): In der Datenschutzerklaerung muss stehen, dass und wofuer KI eingesetzt wird.
- Automatisierte Entscheidungen (Art. 22): Triff keine rechtlich erheblichen Entscheidungen (Kreditvergabe, Bewerberabsage, Kuendigung) vollautomatisch ohne menschliche Pruefung. Bei solchen Faellen ist ein "Human in the Loop" Pflicht, nicht nur eine Empfehlung.
- Auskunft und Loeschung: Du musst auf Anfrage sagen koennen, welche Daten in welchem KI-Prozess stecken — und sie loeschen koennen. Das setzt voraus, dass du keine Personendaten in unkontrollierten Chat-Verlaeufen ansammelst.
Baustein 6: EU AI Act mitdenken
Seit 2024 gilt zusaetzlich die KI-Verordnung der EU (AI Act). Sie arbeitet mit Risikoklassen:
- Verbotene Praktiken (z.B. Social Scoring) — gelten bereits.
- Hochrisiko-KI (z.B. im HR-Bereich bei Bewerberauswahl, Kreditwuerdigkeitspruefung) — strenge Pflichten, die schrittweise bis 2026/2027 greifen.
- Transparenzpflichten fuer Chatbots: Nutzer muessen erkennen koennen, dass sie mit einer KI sprechen.
Fuer typische Mittelstands-Anwendungen (Textassistenz, Automatisierung, Kundenservice) bist du meist im niedrigen Risikobereich. Sobald es aber um Personalentscheidungen oder Bonitaet geht, wird es schnell Hochrisiko — dann lohnt eine juristische Einzelpruefung.
Kompakt-Checkliste fuer den Start
- [ ] Inventar aller eingesetzten KI-Tools erstellen
- [ ] AVV mit jedem Anbieter abgeschlossen
- [ ] Business-Tarif statt Consumer-Version (kein Modelltraining mit deinen Daten)
- [ ] Drittland-Transfer geprueft (DPF-Zertifizierung oder SCC)
- [ ] Rechtsgrundlage je Anwendung dokumentiert (inkl. LIA bei berechtigtem Interesse)
- [ ] VVT um KI-Prozesse erweitert
- [ ] Datenminimierung/Pseudonymisierung vorgeschaltet
- [ ] Datenschutzerklaerung um KI-Hinweis ergaenzt
- [ ] Mensch-in-der-Schleife bei erheblichen Entscheidungen
- [ ] Interne KI-Richtlinie fuer Mitarbeiter (was darf in welches Tool)
Der wichtigste Punkt: die interne Richtlinie
Die meisten DSGVO-Verstoesse bei KI entstehen nicht durch falsch konfigurierte Software, sondern durch Mitarbeiter, die in guter Absicht Daten in Tools kopieren. Eine kurze, verstaendliche KI-Nutzungsrichtlinie — welche Tools erlaubt sind, welche Daten nie hineingehoeren, wer im Zweifel zu fragen ist — verhindert mehr Probleme als jedes Rechtsgutachten.
Wer KI von Anfang an mit sauberer Datenarchitektur aufsetzt, statt nachtraeglich zu reparieren, spart sich teure Korrekturen. Genau hier setzen wir bei Plugwork an: Business-Logik und Compliance zuerst, dann die Technik. So entsteht eine KI-Loesung, die im Pruefungsfall standhaelt und trotzdem im Alltag entlastet.