Datenschutz & KI: DSGVO-konform arbeiten
Wie Unternehmen KI-Systeme datenschutzkonform einsetzen — DSGVO-Anforderungen und Praxistipps.
Warum ist das ein Spannungsfeld?
KI braucht Daten zum Lernen. Die DSGVO schützt personenbezogene Daten. Beides muss zusammenpassen — und das ist machbar, wenn du die Spielregeln kennst.
Welche DSGVO-Regeln gelten beim KI-Einsatz?
Rechtsgrundlage (Art. 6 DSGVO)
Jede Verarbeitung personenbezogener Daten durch KI braucht eine Rechtsgrundlage:
- Einwilligung (Art. 6 Abs. 1a): Freiwillig, informiert, für bestimmten Zweck
- Vertragserfüllung (Art. 6 Abs. 1b): KI ist für die Vertragserfüllung notwendig
- Berechtigtes Interesse (Art. 6 Abs. 1f): Interessenabwägung erforderlich
Automatisierte Einzelentscheidungen (Art. 22 DSGVO)
Menschen haben das Recht, nicht einer rein automatisierten Entscheidung unterworfen zu werden, die rechtliche Wirkung hat.
Praxis: KI-gestützte Kreditentscheidungen, automatisierte Bewerbungsscreenings oder KI-basierte Versicherungsbewertungen fallen typischerweise unter Art. 22.
Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Bei hohem Risiko für Betroffenenrechte ist eine DSFA Pflicht. Das trifft auf viele KI-Systeme zu, z.B. bei:
- Profiling und automatisierten Entscheidungen
- Verarbeitung besonderer Datenkategorien
- Systematischer Überwachung
Was solltest du in der Praxis beachten?
- Datenminimierung: Nur die tatsächlich benötigten Daten verarbeiten
- Anonymisierung: Wo möglich, personenbezogene Daten entfernen
- Transparenz: Betroffene über den KI-Einsatz informieren
- Verarbeitungsverzeichnis: KI-Verarbeitungen dokumentieren
- Cloud-KI: Auftragsverarbeitung (Art. 28) mit KI-Anbietern regeln
EU AI Act + DSGVO — was heißt das?
Beide Regelwerke gelten parallel. Hochrisiko-KI muss sowohl den EU AI Act als auch die DSGVO erfüllen. Die gute Nachricht: Die Datenschutz-Folgenabschätzung lässt sich mit dem Risikomanagementsystem (Art. 9 EU AI Act) verknüpfen.