KI-Compliance KI-Verordnung Datenschutz-Beratung
Ratgeber

KI und Datenschutz: Was die DSGVO für KI-Systeme bedeutet.

Wer KI-Systeme einsetzt, die personenbezogene Daten verarbeiten, muss die DSGVO einhalten. Wo die größten Risiken liegen, was Art. 22 DSGVO für automatisierte Entscheidungen bedeutet und wie DSGVO und KI-Verordnung zusammenwirken.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Warum die DSGVO fast jeden KI-Einsatz betrifft.

Fast jedes KI-System, das mit realen Daten arbeitet, verarbeitet personenbezogene Daten. Kundendaten, Mitarbeiterdaten, Verhaltensprofile, Bilddaten: Sobald natürliche Personen identifizierbar sind, gilt die DSGVO in vollem Umfang. Empfehlungsalgorithmen, Chatbots, KI-gestützte Personalentscheidungen und Bilderkennungssysteme sind typische Anwendungsfälle, auf die das zutrifft.

Die DSGVO stellt mehrere grundlegende Anforderungen an den KI-Einsatz: eine gültige Rechtsgrundlage für jede Verarbeitungsphase, Transparenz gegenüber Betroffenen, Datensparsamkeit beim Training und im Betrieb sowie technische Schutzmaßnahmen nach dem Stand der Technik. Für eingriffsintensive Systeme schreibt Art. 35 DSGVO zusätzlich eine Datenschutz-Folgenabschätzung vor.

Mit der KI-Verordnung ist seit 2024 eine zweite Regulierungsebene hinzugekommen. Beide Verordnungen gelten parallel und ergänzen sich. Hochrisiko-KI-Systeme im Sinne der KI-Verordnung sind häufig auch Hochrisikoverarbeitungen nach der DSGVO. Eine gemeinsame Compliance-Struktur ist daher effizienter als zwei getrennte Prozesse.

Praxishinweis

Auch der Einsatz von KI-Tools über Drittanbieter (SaaS, API) befreit nicht von der datenschutzrechtlichen Verantwortung. Der Verantwortliche bleibt das Unternehmen, das den KI-Dienst nutzt. Mit dem Anbieter ist in der Regel ein Auftragsverarbeitungsvertrag erforderlich.

Kernaspekte

Die sechs datenschutzrechtlichen Anforderungen an KI-Systeme.

Rechtsgrundlage und Zweckbindung

Jede Verarbeitungsphase benötigt eine gültige Rechtsgrundlage nach Art. 6 DSGVO. Das gilt separat für die Datenerhebung, das Training, den Betrieb und die Auswertung von Ergebnissen. Zweckbindung: Daten, die für einen Zweck erhoben wurden, dürfen nicht ohne weiteres für KI-Training genutzt werden.

  • Rechtsgrundlage für jede Verarbeitungsphase prüfen
  • Einwilligung ist für KI-Zwecke oft zu fragil
  • Berechtigtes Interesse erfordert Interessenabwägung
  • Zweckkompatibilität beim Training prüfen

Automatisierte Entscheidungen

Betroffene haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt. Kreditscoring, automatisierte Bewerberauswahl und algorithmisches Pricing sind klassische Anwendungsfälle.

  • Prüfen, ob Entscheidungen Menschen erheblich beeinträchtigen
  • Menschliche Überprüfung sicherstellen oder Ausnahmetatbestand belegen
  • Recht auf Erläuterung und Anfechtung gewährleisten
  • Besondere Kategorien von Daten: strengere Anforderungen

Transparenz und Betroffenenrechte

Betroffene müssen über den KI-Einsatz und seine Konsequenzen informiert werden. Datenschutzerklärungen müssen die KI-Nutzung verständlich abbilden. Bei automatisierten Entscheidungen sind zusätzlich die involvierte Logik und die Folgen zu erläutern.

  • Datenschutzerklärung um KI-Nutzung ergänzen
  • Logik automatisierter Entscheidungen erklären
  • Auskunfts-, Berichtigungs- und Widerspruchsrecht sicherstellen
  • KI-generierte Inhalte als solche kennzeichnen

Datenschutz-Folgenabschätzung

Art. 35 DSGVO schreibt eine DSFA vor, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt. Systematisches Profiling, großflächige Verarbeitung sensibler Daten und automatisierte Entscheidungen mit erheblicher Wirkung lösen die DSFA-Pflicht in der Regel aus.

  • Risikobewertung vor Einsatz des KI-Systems durchführen
  • Aufsichtsbehördliche Musterlisten als Orientierung nutzen
  • DSFA dokumentieren und bei wesentlichen Änderungen wiederholen
  • Bei sehr hohem Risiko: vorherige Konsultation der Aufsichtsbehörde

Datensparsamkeit, Privacy by Design

KI-Systeme müssen von Anfang an datenschutzfreundlich gestaltet sein. Trainingsdaten sollten auf das notwendige Minimum reduziert, anonymisiert oder durch synthetische Daten ersetzt werden. Standardmäßige Datenschutzeinstellungen sind technisch vorzusehen.

  • Anonymisierung oder Pseudonymisierung von Trainingsdaten prüfen
  • Synthetische Daten als Alternative zum realen Personenbezug
  • Speicherbegrenzung für Trainings- und Inferenzdaten
  • Privacy by Default: restriktivste Einstellung als Standard

KI-Verordnung und DSGVO

Die KI-Verordnung ergänzt die DSGVO um KI-spezifische Pflichten. Hochrisiko-KI-Systeme müssen Anforderungen an Robustheit, Genauigkeit und menschliche Aufsicht erfüllen. Viele dieser Anforderungen überlappen mit DSGVO-Pflichten und lassen sich in einer gemeinsamen Dokumentation abbilden.

  • KI-Systeme nach KI-Verordnung klassifizieren
  • DSFA und KI-Risikobewertung gemeinsam strukturieren
  • Technische Dokumentation für beide Regelwerke konsolidieren
  • Menschliche Aufsicht nach KI-Verordnung und Art. 22 DSGVO abstimmen
Vorgehen

DSGVO-konformen KI-Einsatz strukturiert aufbauen.

01

KI-Systeme inventarisieren

Alle eingesetzten KI-Systeme und KI-Dienste erfassen und auf Personenbezug prüfen. Drittanbieter-Tools und eingebettete KI-Funktionen in Standardsoftware häufig unterschätzt.

02

Rechtsgrundlagen klären

Für jede Verarbeitungsphase eine tragfähige Rechtsgrundlage belegen. Datenschutzerklärungen und interne Verfahrensverzeichnisse um den KI-Einsatz ergänzen.

03

Hochrisiko-Systeme und DSFA

Systeme mit erheblicher Eingriffsintensität gesondert bewerten. Datenschutz-Folgenabschätzung dokumentieren und bei wesentlichen Änderungen des Systems wiederholen.

04

Privacy by Design und Dokumentation

Technische Schutzmaßnahmen in den Systemen verankern. Dokumentation so gestalten, dass sie sowohl DSGVO- als auch KI-Verordnung-Anforderungen abdeckt.

FAQ

Häufige Fragen zu KI und DSGVO.

Verwandte Themen

Nein, nur wenn das KI-System personenbezogene Daten verarbeitet. Das ist bei den meisten praxisrelevanten Systemen der Fall: Empfehlungsalgorithmen, Chatbots, HR-Analysetools und Sprachmodelle, die mit Kunden- oder Mitarbeiterdaten interagieren, unterliegen der DSGVO in vollem Umfang.

Eine automatisierte Einzelentscheidung liegt vor, wenn eine Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung für eine Person ausschließlich durch automatisierte Verarbeitung getroffen wird, ohne menschliche Beteiligung. Typische Beispiele sind KI-gestützte Kreditentscheidungen, automatisierte Bewerberauswahl oder algorithmisches Scoring. Betroffene haben das Recht auf menschliche Überprüfung und Erläuterung.

Eine DSFA ist erforderlich, wenn die KI-Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Systematisches Profiling, großflächige Verarbeitung sensibler Daten und automatisierte Entscheidungen mit erheblicher Wirkung lösen die Pflicht in der Regel aus. Die Datenschutzbehörden veröffentlichen Listen von Verarbeitungsarten, die eine DSFA zwingend erfordern.

Nur wenn eine gültige Rechtsgrundlage nach Art. 6 DSGVO vorliegt und der Trainingszweck mit dem ursprünglichen Erhebungszweck vereinbar ist. Anonymisierte oder synthetische Daten sind vorzuziehen. Werden personenbezogene Daten genutzt, gelten alle DSGVO-Grundsätze: Datensparsamkeit, Speicherbegrenzung und Zweckbindung.

Beide Regelwerke gelten parallel und ergänzen sich. Die DSGVO regelt den Datenschutz bei der Verarbeitung personenbezogener Daten. Die KI-Verordnung setzt spezifische Anforderungen an KI-Systeme je nach Risikoklasse. Hochrisiko-KI-Systeme nach der KI-Verordnung sind häufig auch Hochrisikoverarbeitungen nach der DSGVO. Eine gemeinsame Compliance-Struktur ist effizienter als zwei getrennte Prozesse.

KI im Einsatz und DSGVO-konform bleiben.

Datenschutzrechtliche Einordnung von KI-Systemen, DSFA und Abstimmung mit den Anforderungen der KI-Verordnung.

Kostenloses Erstgespräch buchen