DAllgemein

Datenschutz (DSGVO/GDPR) & KI

Datenschutzanforderungen bei KI-Nutzung und Datenverarbeitung.

Datenschutz (DSGVO/GDPR) & KI beschreibt alle rechtlichen und organisatorischen Anforderungen, die bei der Nutzung von Künstlicher Intelligenz für die Verarbeitung personenbezogener Daten gelten. Ziel ist, dass KI-Systeme Daten nur rechtmäßig, zweckgebunden, sicher und transparent verarbeiten – und Betroffene ihre Rechte (z. B. Auskunft, Löschung) wirksam ausüben können.

Was bedeutet Datenschutz (DSGVO/GDPR) im KI-Kontext?

Die DSGVO (engl. GDPR) ist der zentrale EU-Rechtsrahmen für den Umgang mit personenbezogenen Daten. Im KI-Kontext ist sie besonders relevant, weil KI-Workflows häufig Daten sammeln, kombinieren, an externe Dienste senden (z. B. LLM-APIs) und daraus Entscheidungen oder Empfehlungen ableiten. „Personenbezogen“ ist dabei nicht nur Name oder E-Mail, sondern auch Kundentickets, Chatverläufe, IP-Adressen, Geräte-IDs, Standortdaten oder Profilinformationen.

Wie funktioniert DSGVO-konforme KI-Nutzung? (Schritte 1–5)

  • 1) Datenfluss verstehen (Mapping): Welche Daten gehen wo hinein (Prompts, Uploads), wohin (Provider, Tools, Automationen) und wie lange werden sie gespeichert?
  • 2) Rechtsgrundlage & Zweck festlegen: z. B. Vertragserfüllung, berechtigtes Interesse oder Einwilligung. Wichtig: Zweckbindung – keine „Allzweck-KI“ ohne klaren Use Case.
  • 3) Datenminimierung & Schutz: Nur nötige Daten verwenden, Pseudonymisierung/Maskierung (z. B. Namen in Platzhalter), Zugriffskontrollen, Verschlüsselung, Logging.
  • 4) Verträge & Drittlandtransfer prüfen: Auftragsverarbeitung (AVV/DPA) mit KI-Anbietern, Subprozessoren, ggf. Standardvertragsklauseln bei Transfers außerhalb der EU.
  • 5) Governance & Nachweisbarkeit: Dokumentation, Richtlinien für Mitarbeitende, Löschkonzepte, Prozesse für Betroffenenanfragen, ggf. Datenschutz-Folgenabschätzung (DSFA/DPIA).

Warum ist Datenschutz bei KI besonders wichtig?

KI erhöht das Risiko, dass Daten ungewollt weitergegeben, falsch klassifiziert oder länger gespeichert werden als geplant. Zusätzlich entstehen neue Herausforderungen: Trainingsdaten (dürfen sie genutzt werden?), Prompt-Inhalte (können sensible Daten enthalten), Modell-Outputs (können personenbezogene Informationen „halluzinieren“ oder rekonstruieren) und automatisierte Entscheidungen (Profiling). DSGVO-Verstöße können zu Bußgeldern, Reputationsschäden und Vertrauensverlust führen – besonders in Kundenkommunikation und automatisierten Prozessen.

Typische Beispiele aus LLM-, ChatGPT- & Automation-Workflows

  • Kundensupport mit LLM: Tickets enthalten oft Namen, Bestellnummern, Adressen. DSGVO-konform ist z. B. ein Workflow, der vor dem Senden an ein Modell personenbezogene Felder maskiert und nur den relevanten Problemtext übermittelt.
  • Sales-/CRM-Automation: Lead-Daten werden angereichert und automatisch bewertet. Hier sind Transparenz, Rechtsgrundlage und ggf. Widerspruchsrechte entscheidend.
  • KI-gestützte Prozessketten: In Tools wie n8n werden Daten zwischen Apps verschoben. Jede Station (Webhook, Datenbank, KI-API) muss in den Datenfluss und die AV-Verträge passen.
  • AI Agents (KI-Agenten): Autonome Agenten können Daten aus mehreren Quellen kombinieren und Aktionen ausführen. Das erfordert besonders klare Berechtigungen, Protokollierung und Begrenzung der verarbeiteten Daten.

Was kostet DSGVO-konforme KI?

Fixpreise gibt es selten, aber typische Kostentreiber sind: Beratung/DSFA, technische Maßnahmen (Maskierung, DLP, Verschlüsselung), Vertrags- und Providerprüfung, Hosting-Optionen (EU-Region), Schulungen sowie laufendes Monitoring. Häufig ist „Privacy by Design“ günstiger als nachträgliche Korrekturen – insbesondere bei skalierenden KI-Automationen.

Merksatz: DSGVO-konforme KI bedeutet nicht „keine KI“, sondern „KI mit klaren Zwecken, minimalen Daten, sicheren Prozessen und nachweisbarer Verantwortung“.