KI & Datenschutz im Unternehmen
Verständliche Grundlagen zum Datenschutz beim Einsatz von KI-Tools — als Einstieg, nicht als Ersatz für Rechtsberatung.
Stand: Juli 2026 • Lesedauer: ca. 8 Minuten
Sobald ein KI-Tool im Unternehmen personenbezogene Daten verarbeitet — etwa Kundendaten, Mitarbeitendendaten oder Daten aus der Kommunikation mit Dritten —, ist die Datenschutz-Grundverordnung (DSGVO) relevant. Dieser Beitrag gibt einen konservativen, allgemeinverständlichen Überblick über die wichtigsten Grundbegriffe, ohne Anspruch auf rechtliche Vollständigkeit.
Was bedeutet „personenbezogene Daten" im KI-Kontext?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen — etwa Namen, E-Mail-Adressen, Kundennummern oder auch Formulierungen, aus denen sich eine Person erschließen lässt. Wenn Sie Texte, die solche Daten enthalten, in ein KI-Tool eingeben, verarbeiten Sie personenbezogene Daten im Sinne der DSGVO — unabhängig davon, ob das Tool die Daten „nur kurz" nutzt.
Auftragsverarbeitung: eine zentrale Grundlage
Wenn ein externer Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet, handelt es sich in der Regel um eine sogenannte Auftragsverarbeitung. Dafür sieht die DSGVO einen Auftragsverarbeitungsvertrag (AVV) vor, der die Pflichten des Anbieters regelt. Vor dem produktiven Einsatz eines KI-Tools mit personenbezogenen Daten sollte deshalb geprüft werden, ob der Anbieter einen solchen Vertrag anbietet und ob dieser den Anforderungen entspricht.
Wo werden die Daten verarbeitet?
Ein weiterer wichtiger Punkt ist der Serverstandort bzw. der Ort der Datenverarbeitung. Werden Daten ausschließlich innerhalb der EU verarbeitet, oder auch in Ländern außerhalb der EU? Bei einer Datenübermittlung in Drittstaaten gelten zusätzliche Anforderungen der DSGVO, die im jeweiligen Einzelfall geprüft werden sollten — pauschale Aussagen sind hier nicht seriös möglich.
Werden Ihre Eingaben zum Training verwendet?
Manche Anbieter nutzen eingegebene Daten standardmäßig zur Weiterentwicklung ihrer Modelle, andere bieten Einstellungen oder Geschäftskonten an, bei denen dies ausgeschlossen ist. Für den Unternehmenseinsatz mit sensiblen oder personenbezogenen Daten ist es ratsam, gezielt nach einer Business- oder Enterprise-Variante mit entsprechender Zusicherung zu suchen und diese vertraglich zu prüfen, statt sich auf allgemeine Marketingaussagen zu verlassen.
Interne Richtlinien für den KI-Einsatz
Neben der Auswahl eines datenschutzkonformen Tools lohnt sich eine interne, verständliche Richtlinie für Mitarbeitende: welche Daten dürfen in welches Tool eingegeben werden, welche Daten sind tabu (etwa Gesundheitsdaten, Sozialversicherungsnummern oder vertrauliche Geschäftsgeheimnisse), und an wen wenden sich Mitarbeitende bei Unsicherheit? Eine solche Richtlinie muss nicht lang sein, sollte aber allen im Team bekannt und leicht auffindbar sein.
Transparenz gegenüber Kundinnen und Kunden
Wenn KI-Tools in der Kommunikation mit Kundinnen und Kunden eingesetzt werden — etwa im Support oder bei automatisierten Antworten —, sollte in der eigenen Datenschutzerklärung transparent beschrieben sein, welche Daten dabei wie verarbeitet werden. Das schafft Vertrauen und erfüllt zugleich die allgemeine Informationspflicht der DSGVO.
Datenschutz-Folgenabschätzung: wann relevant?
Bei umfangreicher oder besonders sensibler Datenverarbeitung kann eine Datenschutz-Folgenabschätzung erforderlich sein — eine strukturierte Prüfung möglicher Risiken für Betroffene. Ob dies im konkreten Fall notwendig ist, hängt von Art, Umfang und Zweck der Verarbeitung ab und lässt sich pauschal nicht beantworten. Bei umfangreichem Einsatz von KI-Tools mit personenbezogenen Daten ist es sinnvoll, diese Frage frühzeitig mit einer Datenschutzbeauftragten oder einem Datenschutzbeauftragten zu klären, statt sie erst nach der Einführung zu stellen.
Betroffenenrechte im Blick behalten
Wenn ein KI-Tool personenbezogene Daten verarbeitet, gelten weiterhin die üblichen Betroffenenrechte aus der DSGVO — etwa das Recht auf Auskunft oder Löschung. Prüfen Sie vorab, ob und wie sich diese Rechte im gewählten Tool praktisch umsetzen lassen, etwa ob sich einzelne Datensätze gezielt löschen lassen. Ein Tool, bei dem sich Betroffenenrechte nur mit unverhältnismäßigem Aufwand umsetzen lassen, ist für den produktiven Einsatz mit personenbezogenen Daten in der Regel keine gute Wahl.
Ein pragmatischer erster Schritt
Wenn Sie unsicher sind, wo Sie ansetzen sollen: Beginnen Sie mit einer kurzen Liste der KI-Tools, die in Ihrem Unternehmen bereits genutzt werden — offiziell oder inoffiziell. Oft zeigt sich hier bereits, wo Klärungsbedarf besteht. Auf dieser Basis lässt sich gemeinsam mit einer Datenschutzbeauftragten, einem Datenschutzbeauftragten oder externer Beratung eine sinnvolle Vorgehensweise entwickeln.
Dokumentation nicht vergessen
Auch wenn es unspektakulär klingt: Eine kurze schriftliche Dokumentation, welches KI-Tool für welchen Zweck mit welchen Daten eingesetzt wird, erleichtert es erheblich, bei einer späteren Prüfung oder bei personellen Wechseln im Unternehmen den Überblick zu behalten. Diese Dokumentation muss nicht umfangreich sein — wichtig ist, dass sie existiert und aktuell gehalten wird, statt nur im Kopf einer einzelnen Person zu bestehen.
Wie geht es jetzt weiter?
Diese Grundlagen lassen sich gut mit unserem Beitrag KI-Tool auswählen — die wichtigsten Kriterien kombinieren, in dem Datenschutz eines von mehreren Auswahlkriterien ist. Für die praktische Einführung im Team lesen Sie KI sicher einführen — Schritt für Schritt. Wenn Sie eine auf Ihr Unternehmen zugeschnittene Einschätzung wünschen, können Sie zusätzlich eine Beratung anfragen — diese ersetzt jedoch keine Rechtsberatung.