DSGVO-konforme KI bedeutet, dass KI-Systeme so konzipiert und betrieben werden, dass sie die Datenschutz-Grundverordnung einhalten. Das betrifft Datenerhebung, -verarbeitung und -speicherung — und stellt sicher, dass personenbezogene Daten nicht unkontrolliert in KI-Systeme fließen.
Kernprinzipien:
- Datenminimierung: Nur die für den Zweck notwendigen Daten werden verarbeitet
- Zweckbindung: Daten dürfen nur für den angegebenen Zweck genutzt werden
- Transparenz: Betroffene müssen wissen, wie ihre Daten verarbeitet werden
Typische DSGVO-Risiken beim KI-Einsatz
| Risiko | Beispiel | Lösung |
|---|---|---|
| Datenweitergabe | Kundendaten in ChatGPT eingegeben | Enterprise-API mit AVV oder lokales Modell |
| Drittland-Transfer | KI-Anbieter verarbeitet auf US-Servern | EU-Hosting oder Standardvertragsklauseln prüfen |
| Automatisierte Entscheidung | KI entscheidet über Personen ohne menschliche Prüfung | Human-in-the-Loop einbauen (Art. 22 DSGVO) |
| Fehlende Dokumentation | KI-Einsatz nicht im Verarbeitungsverzeichnis | KI-Inventar anlegen, Verzeichnis aktualisieren |
Drei Wege zu DSGVO-konformer KI
Enterprise-API mit AVV Cloud-Anbieter wie OpenAI, Anthropic oder Azure bieten Unternehmensverträge mit Datenschutzgarantien ohne Training auf Kundendaten. → Einfachster Einstieg
EU-Cloud-Hosting KI-Infrastruktur auf europäischen Servern (Azure EU, AWS Frankfurt, IONOS, Hetzner). → Höchste Datensouveränität
Lokales Modell (On-Premise) Open-Source-Modelle wie Llama auf eigener Infrastruktur. Keine Daten verlassen das Unternehmen. → Maximale Kontrolle
Vier Schritte zur Umsetzung
1. KI-Inventar erstellen: Alle eingesetzten KI-Tools und Systeme erfassen, inklusive Datenzuflüsse.
2. Rechtsgrundlage prüfen: Jede Datenverarbeitung braucht eine Rechtsgrundlage: Einwilligung, Vertragserfüllung oder berechtigtes Interesse.
3. Privacy by Design umsetzen: Datenschutz von Anfang an einbauen: Pseudonymisierung, Datensparsamkeit, Zugriffskontrollen.
4. Auftragsverarbeitung regeln: Jeder KI-Anbieter, der personenbezogene Daten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag (AVV).
Häufige Fragen
Ist ChatGPT DSGVO-konform? Die kostenlose Version ist für den Unternehmenseinsatz mit personenbezogenen Daten ungeeignet. OpenAIs Enterprise-Version bietet einen AVV und verhindert Training auf Nutzereingaben.
Was ist der Unterschied zwischen DSGVO und EU AI Act? Die DSGVO regelt den Umgang mit personenbezogenen Daten — unabhängig von KI. Der EU AI Act regelt den Einsatz von KI-Systemen — unabhängig von Datenschutz. Wer KI mit Personenbezug einsetzt, muss beides einhalten.
Brauche ich eine Datenschutz-Folgeabschätzung (DSFA)? Ja, für KI-Systeme, die systematisch personenbezogene Daten verarbeiten oder automatisierte Entscheidungen über Personen treffen.
Was droht bei DSGVO-Verstößen durch KI? Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — je nachdem, was höher ist.
Verwandte Begriffe
- EU AI Act — Das KI-Gesetz neben der DSGVO
- Guardrails — Technische Umsetzung des Datenschutzes
- Audit-Trail — Nachvollziehbarkeit für die DSGVO
- RAG — KI mit Daten, DSGVO-konform umgesetzt