DSGVO-KI-Einsteiger-Leitfaden für Unternehmen 2026

Der rechtliche Rahmen für den Einsatz von KI-Tools in Unternehmen wird maßgeblich durch die DSGVO, den EU-AI-Act und das Schrems-II-Urteil des EuGH bestimmt. Die DSGVO legt die Grundsätze der Datenverarbeitung fest, die auch bei KI-Anwendungen gelten. Insbesondere die Artikel 5 und 6 DSGVO sind von Bedeutung, da sie die Rechtmäßigkeit, Zweckbindung und Datenminimierung bei der Verarbeitung personenbezogener Daten regeln. Der EU-AI-Act ergänzt diese Vorgaben durch spezifische Anforderungen an KI-Systeme, die je nach Risikoklasse variieren. Artikel 4 des AI Acts, der seit Februar 2025 gilt, verpflichtet Anbieter und Betreiber von KI-Systemen zur Sicherstellung ausreichender KI-Kompetenz ihres Personals. Das Schrems-II-Urteil hat die Rahmenbedingungen für den Datentransfer in die USA erheblich beeinflusst. Der EuGH erklärte den Privacy Shield für ungültig, was zu einer verstärkten Notwendigkeit von Transfer Impact Assessments (TIA) führte, wenn personenbezogene Daten in die USA übermittelt werden. Der EU-US Data Privacy Framework (DPF) bietet seit Juli 2023 eine neue Grundlage für den Datentransfer, sofern US-Unternehmen zertifiziert sind. Dies reduziert die Notwendigkeit von TIAs bei zertifizierten Anbietern, stellt jedoch weiterhin Anforderungen an die Überprüfung der Einhaltung durch die Unternehmen. Unternehmen müssen sicherstellen, dass sie sowohl die datenschutzrechtlichen als auch die KI-spezifischen Anforderungen in ihre Compliance-Prozesse integrieren.

Die Einführung von KI-Tools in Unternehmen erfordert eine sorgfältige Risikoanalyse, die verschiedene Aspekte berücksichtigt. Ein zentraler Punkt ist der Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, der bei der Nutzung externer KI-Anbieter erforderlich ist. Der AVV muss detaillierte Informationen über die Art und den Zweck der Verarbeitung, die Datenkategorien und die betroffenen Personen enthalten. Die Datenresidenz spielt eine entscheidende Rolle. Unternehmen müssen sicherstellen, dass die Datenverarbeitung in Ländern erfolgt, die ein angemessenes Datenschutzniveau bieten. Bei der Nutzung von US-Anbietern ist zu prüfen, ob diese im Rahmen des EU-US Data Privacy Framework zertifiziert sind, um die Notwendigkeit eines Transfer Impact Assessments zu vermeiden. Ein weiterer Aspekt ist das Opt-Out-Verfahren. Unternehmen müssen sicherstellen, dass betroffene Personen die Möglichkeit haben, der Verarbeitung ihrer Daten durch KI-Systeme zu widersprechen, sofern dies auf einer Einwilligung oder einem berechtigten Interesse basiert. Die Einordnung der KI-Tools nach dem AI Act ist ebenfalls entscheidend. Je nach Risikoklasse des KI-Systems variieren die rechtlichen Anforderungen erheblich. Hochrisiko-KI-Systeme unterliegen strengeren Anforderungen, einschließlich einer obligatorischen Konformitätsbewertung und CE-Kennzeichnung. Unternehmen müssen daher eine genaue Klassifizierung ihrer KI-Tools vornehmen und die entsprechenden Compliance-Maßnahmen implementieren.

Ein Auftragsverarbeitungsvertrag (AVV) ist bei der Nutzung von KI-Tools, die personenbezogene Daten verarbeiten, unerlässlich. Gemäß Art. 28 DSGVO müssen Verantwortliche sicherstellen, dass ein AVV abgeschlossen wird, der die Verarbeitung durch den Auftragsverarbeiter regelt. Der Vertrag muss spezifische Inhalte umfassen, darunter den Gegenstand und die Dauer der Verarbeitung, die Art der Daten und die Kategorien betroffener Personen. Ein weiterer wichtiger Aspekt ist die Regelung von Sub-Prozessoren. Der AVV muss festlegen, dass der Auftragsverarbeiter keine weiteren Sub-Prozessoren ohne vorherige Genehmigung des Verantwortlichen einsetzt. Dies kann entweder durch eine spezifische Einzelfallgenehmigung oder eine allgemeine Genehmigung mit einem Widerspruchsrecht des Verantwortlichen erfolgen. In der Praxis müssen Unternehmen sicherstellen, dass der AVV auch die technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO abdeckt. Dazu gehören Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Unternehmen sollten auch regelmäßig Audits durchführen, um die Einhaltung der vertraglichen Vereinbarungen zu überprüfen. Die Praxis zeigt, dass viele Anbieter von KI-Tools, wie OpenAI, Microsoft oder Google, standardisierte AVVs anbieten. Diese sollten jedoch sorgfältig geprüft und gegebenenfalls angepasst werden, um den spezifischen Anforderungen des Unternehmens gerecht zu werden.

Der Transfer personenbezogener Daten in Drittländer ist komplex, insbesondere nach dem Schrems-II-Urteil des EuGH. Die Entscheidung hat den Privacy Shield für ungültig erklärt, was zu einer verstärkten Notwendigkeit von Transfer Impact Assessments (TIA) führte. Ein TIA ist erforderlich, um die Risiken eines Datentransfers in ein Drittland zu bewerten und sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist. Der EU-US Data Privacy Framework (DPF), der im Juli 2023 eingeführt wurde, bietet eine neue Grundlage für den Datentransfer in die USA. US-Unternehmen, die im Rahmen des DPF zertifiziert sind, ermöglichen Datenübermittlungen ohne zusätzliche Garantien. Dies reduziert die Notwendigkeit von TIAs bei zertifizierten Anbietern erheblich. Für nicht zertifizierte Anbieter bleibt ein TIA jedoch obligatorisch. Unternehmen müssen die rechtlichen Rahmenbedingungen im Drittland prüfen, einschließlich der Überwachungs- und Rechtsschutzmöglichkeiten. Die EDPB Recommendations 01/2020 geben hier wertvolle Hinweise zur Durchführung eines TIAs, einschließlich der Bewertung von Überwachungsrisiken und der Implementierung technischer Maßnahmen wie Verschlüsselung. Unternehmen sollten sicherstellen, dass sie über aktuelle Informationen zu den Zertifizierungen ihrer Anbieter verfügen und regelmäßig überprüfen, ob die getroffenen Maßnahmen ausreichen, um die Anforderungen der DSGVO zu erfüllen.

Der EU-AI-Act klassifiziert KI-Systeme in verschiedene Risikoklassen, die unterschiedliche rechtliche Anforderungen mit sich bringen. Hochrisiko-KI-Systeme, wie sie in Anhang III des AI Acts beschrieben sind, umfassen Anwendungen im Bereich Recruiting, Credit-Scoring und Bildung. Diese Systeme unterliegen strengen Anforderungen, darunter ein Risikomanagementsystem, die Sicherstellung der Datenqualität und die Erstellung einer technischen Dokumentation. Anbieter solcher Systeme müssen zudem eine Konformitätsbewertung gemäß Art. 43 AI Act durchführen und eine EU-Konformitätserklärung abgeben. Die CE-Kennzeichnung signalisiert die Einhaltung der gesetzlichen Anforderungen und muss auf dem System oder der Verpackung angebracht werden. Betreiber von Hochrisiko-KI-Systemen müssen sicherstellen, dass sie die Systeme gemäß den Anweisungen der Anbieter nutzen und befähigte Personen einsetzen. Sie sind verpflichtet, betroffene Personen über den Einsatz der Systeme zu informieren, insbesondere wenn Entscheidungen über natürliche Personen getroffen werden. Unternehmen müssen sicherstellen, dass sie alle erforderlichen Maßnahmen ergreifen, um die gesetzlichen Vorgaben zu erfüllen und die Risiken für die betroffenen Personen zu minimieren.

Der Freigabeprozess für KI-Tools in Unternehmen ist entscheidend, um die Einhaltung der rechtlichen Anforderungen sicherzustellen. Der Prozess beginnt mit einem Antrag, der eine detaillierte Beschreibung des geplanten Einsatzes des KI-Tools enthält, einschließlich der Datenkategorien, der betroffenen Personen und der vorgesehenen Verarbeitungsvorgänge. Im nächsten Schritt erfolgt eine Risikoanalyse, die die rechtlichen, technischen und organisatorischen Aspekte des Einsatzes bewertet. Diese Analyse bildet die Grundlage für die Entscheidung, ob das KI-Tool freigegeben werden kann. Die Dokumentation ist ein wesentlicher Bestandteil des Freigabeprozesses. Unternehmen müssen alle relevanten Informationen, einschließlich der durchgeführten Risikoanalyse, der getroffenen Maßnahmen und der erteilten Genehmigungen, umfassend dokumentieren. Diese Dokumentation ist nicht nur für interne Zwecke wichtig, sondern auch für mögliche Audits durch Datenschutzbehörden. Unternehmen sollten einen standardisierten Freigabeprozess etablieren, der alle relevanten Schritte umfasst und sicherstellt, dass alle Beteiligten über ihre Rollen und Verantwortlichkeiten informiert sind. Eine enge Zusammenarbeit zwischen den Datenschutzbeauftragten, den IT-Abteilungen und den Compliance-Verantwortlichen ist dabei unerlässlich.

Artikel 4 des EU-AI-Acts verpflichtet Unternehmen seit Februar 2025, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Diese Pflicht betrifft alle Anbieter und Betreiber von KI-Systemen, unabhängig von der Risikoklasse. Die Schulungen müssen technische Kenntnisse, Erfahrung und ein Verständnis für die Nutzung von KI-Systemen vermitteln. Unternehmen müssen sicherstellen, dass ihre Mitarbeiter die Chancen und Risiken von KI-Systemen erkennen und in der Lage sind, informierte Entscheidungen zu treffen. Dies erfordert regelmäßige Schulungen und Weiterbildungen, die auf die spezifischen Anforderungen des Unternehmens und die eingesetzten KI-Tools abgestimmt sind. Unternehmen sollten Schulungspläne entwickeln und regelmäßig evaluieren, ob die vermittelten Inhalte den aktuellen Anforderungen entsprechen. Die Schulungen sollten praxisnah gestaltet sein und die Mitarbeiter in die Lage versetzen, die gesetzlichen Vorgaben zu erfüllen und die Risiken für die betroffenen Personen zu minimieren. Eine enge Zusammenarbeit mit externen Experten oder Schulungsanbietern kann dabei helfen, die Qualität der Schulungen sicherzustellen und sicherzustellen, dass die Mitarbeiter stets auf dem neuesten Stand der Technik sind.

Die kontinuierliche Überwachung und Dokumentation der KI-Systeme ist ein wesentlicher Bestandteil der Compliance. Unternehmen müssen sicherstellen, dass alle relevanten Informationen über den Einsatz von KI-Tools umfassend dokumentiert werden. Dies umfasst die durchgeführten Risikoanalysen, die getroffenen Maßnahmen und die Ergebnisse von Audits. Ein Monitoring-System hilft Unternehmen, potenzielle Risiken frühzeitig zu erkennen und geeignete Maßnahmen zu ergreifen. Dies erfordert die Einrichtung von Prozessen, die eine regelmäßige Überprüfung der eingesetzten KI-Tools und ihrer Einhaltung der rechtlichen Anforderungen sicherstellen. Unternehmen sollten ein Compliance-Management-System implementieren, das alle relevanten Aspekte der KI-Nutzung abdeckt. Dies umfasst die Schulung der Mitarbeiter, die Dokumentation der Prozesse und die regelmäßige Überprüfung der Einhaltung der gesetzlichen Vorgaben. Eine enge Zusammenarbeit zwischen den verschiedenen Abteilungen, insbesondere den Datenschutzbeauftragten, den IT-Abteilungen und den Compliance-Verantwortlichen, ist dabei unerlässlich. Nur so kann sichergestellt werden, dass die Unternehmen den Anforderungen der DSGVO und des AI Acts gerecht werden und die Risiken für die betroffenen Personen minimieren.