Zum Hauptinhalt springen
KILösungen
15 min read

Der DSGVO-konforme KI-Einsatz

Der vollständige Compliance-Leitfaden für Unternehmen: DSGVO-Grundlagen für KI-Anwendungen, Rechtsgrundlagen, Auftragsverarbeitung, technisch-organisatorische Maßnahmen und der EU AI Act.

Der DSGVO-konforme KI-Einsatz

Einleitung

Die Einführung von KI-Systemen im Unternehmen bringt erhebliche Chancen, aber auch komplexe datenschutzrechtliche Anforderungen mit sich. Dieser Leitfaden bietet eine praxisorientierte Übersicht über die wesentlichen Compliance-Anforderungen für den KI-Einsatz im deutschen Mittelstand.

Seit August 2024 gilt neben der DSGVO auch der EU AI Act, der spezifische Anforderungen an KI-Systeme stellt. Beide Regelwerke greifen ineinander und müssen gemeinsam betrachtet werden. Die gute Nachricht: Mit systematischer Vorbereitung lassen sich die Anforderungen erfüllen, ohne den Projektfortschritt unverhältnismäßig zu belasten.

Wichtiger Hinweis: Dieser Leitfaden ersetzt keine individuelle Rechtsberatung. Bei komplexen Sachverhalten oder Unsicherheiten sollten Sie einen Fachanwalt für Datenschutzrecht oder Ihren Datenschutzbeauftragten hinzuziehen.

DSGVO-Grundlagen für KI-Anwendungen

Wann gilt die DSGVO für KI?

Die Datenschutz-Grundverordnung greift immer dann, wenn personenbezogene Daten verarbeitet werden. Im KI-Kontext ist dies praktisch immer der Fall, wenn Menschen direkt oder indirekt betroffen sind.

Personenbezogene Daten im KI-Kontext umfassen:

Direkte Identifikatoren wie Namen, E-Mail-Adressen, Telefonnummern und Kundennummern sind offensichtlich personenbezogen. Viele Unternehmen unterschätzen jedoch die Bandbreite indirekter Identifikatoren.

Indirekte Identifikatoren sind Datenpunkte, die in Kombination eine Identifizierung ermöglichen: IP-Adressen, Gerätekennungen, Standortdaten, Verhaltensmuster, Stimmaufnahmen und biometrische Daten. Bei KI-Telefonie beispielsweise sind Stimmaufnahmen grundsätzlich als personenbezogene Daten zu behandeln.

Besondere Kategorien personenbezogener Daten unterliegen nach Art. 9 DSGVO erhöhtem Schutz: Gesundheitsdaten, biometrische Daten zur Identifizierung, Daten zur ethnischen Herkunft, politische Meinungen, religiöse Überzeugungen und Daten zum Sexualleben. Die Verarbeitung dieser Daten durch KI erfordert besondere Rechtfertigungsgründe.

Die Rolle des Verantwortlichen

Als Unternehmen, das KI einsetzt, sind Sie in der Regel „Verantwortlicher" im Sinne der DSGVO (Art. 4 Nr. 7). Das bedeutet: Sie entscheiden über Zwecke und Mittel der Datenverarbeitung und tragen die rechtliche Verantwortung – auch wenn ein externer KI-Anbieter die technische Verarbeitung durchführt.

Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe vom Mai 2024 klargestellt: „Wird die KI-Anwendung von einer Stelle zu eigenen Zwecken als Cloud-Lösung eingesetzt, agiert der externe Anbieter als verlängerter Arm im Auftrag des Verantwortlichen."

Praktische Konsequenz: Sie können Datenschutzpflichten nicht an Ihren KI-Anbieter „outsourcen". Compliance ist und bleibt Ihre Verantwortung.

Personenbezogene Daten in KI-Systemen

Datenflüsse verstehen

Bevor Sie ein KI-System einführen, müssen Sie die Datenflüsse vollständig verstehen. Die zentrale Frage lautet: Welche personenbezogenen Daten fließen wohin?

Typische Datenflüsse bei KI-Telefonie:

Bei eingehenden Anrufen fließt die Telefonnummer des Anrufers an das KI-System. Die Sprachaufnahme wird zur Spracherkennung übertragen. Das Transkript geht zur Intentionserkennung und Verarbeitung. Die extrahierten Daten (Name, Anliegen, Termine) werden an verbundene Systeme wie CRM oder Kalender weitergeleitet. Gesprächsprotokolle werden gespeichert und archiviert.

Kritische Fragen für jeden Datenfluss:

Zunächst stellt sich die Frage, ob der Datenfluss notwendig ist. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt, dass nur die für den Zweck erforderlichen Daten verarbeitet werden.

Dann muss geklärt werden, wo die Verarbeitung stattfindet. EU/EWR-Server sind unproblematisch, Drittländer erfordern zusätzliche Schutzmaßnahmen.

Weiterhin ist zu prüfen, wie lange die Daten gespeichert werden. Es müssen konkrete Löschfristen definiert werden.

Schließlich muss beantwortet werden, wer Zugriff hat. Dies umfasst interne Mitarbeiter, den KI-Anbieter und eventuell Subunternehmer.

Datenminimierung in der Praxis

Das Prinzip der Datenminimierung ist bei KI-Projekten besonders relevant, da KI-Systeme tendenziell „datenhungrig" sind. Konkrete Maßnahmen zur Umsetzung:

Anonymisierung vor Verarbeitung: Prüfen Sie, ob personenbezogene Daten vor der KI-Verarbeitung anonymisiert werden können. Anonymisierte Daten fallen nicht unter die DSGVO.

Pseudonymisierung als Zwischenlösung: Wenn Anonymisierung nicht möglich ist, kann Pseudonymisierung das Risiko reduzieren. Der Schlüssel zur Re-Identifizierung wird separat und sicher aufbewahrt.

Beschränkung der Eingabedaten: Konfigurieren Sie KI-Systeme so, dass nur notwendige Daten eingegeben werden. Beispiel: Wenn die KI nur Termine vereinbaren soll, muss sie keine detaillierten Kundenhistorien kennen.

Automatische Löschung: Implementieren Sie automatische Löschroutinen für Rohdaten (Audioaufnahmen, Transkripte) nach definierten Fristen.

Rechtsgrundlagen für KI-Verarbeitung (Art. 6 DSGVO)

Übersicht der Rechtsgrundlagen

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Für KI-Anwendungen im Unternehmenskontext sind drei Rechtsgrundlagen besonders relevant:

Einwilligung (Art. 6 Abs. 1 lit. a) ermöglicht die Verarbeitung, wenn die betroffene Person freiwillig, informiert und eindeutig zugestimmt hat. Sie ist widerrufbar und erfordert aktive Zustimmung (kein Opt-out). Bei KI-Telefonie kann die Einwilligung zu Gesprächsbeginn eingeholt werden: „Zur Qualitätsverbesserung wird dieses Gespräch von unserem KI-System verarbeitet. Sind Sie damit einverstanden?"

Vertragserfüllung (Art. 6 Abs. 1 lit. b) greift, wenn die Verarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist. Beispiel: KI-gestützte Auftragsbearbeitung, wenn der Kunde einen Auftrag erteilt hat. Diese Rechtsgrundlage ist stark eingeschränkt und rechtfertigt nur unmittelbar vertragsbezogene Verarbeitungen.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f) ermöglicht die Verarbeitung, wenn berechtigte Interessen des Verantwortlichen die Interessen der betroffenen Person überwiegen. Dies ist die häufigste Rechtsgrundlage für B2B-KI-Anwendungen, erfordert aber eine dokumentierte Interessenabwägung.

Die Interessenabwägung im Detail

Für die Rechtsgrundlage „berechtigte Interessen" ist ein dreistufiger Test erforderlich, der dokumentiert werden muss:

Stufe 1 – Legitimes Interesse identifizieren: Welches konkrete Interesse verfolgen Sie? Beispiele sind Effizienzsteigerung im Kundenservice, Verbesserung der Erreichbarkeit oder Kostenreduktion durch Automatisierung. Das Interesse muss rechtmäßig, klar artikuliert und real sein.

Stufe 2 – Erforderlichkeit prüfen: Ist die geplante Verarbeitung zur Erreichung des Interesses erforderlich? Gibt es mildere Mittel, die dasselbe Ziel erreichen? Werden nur die notwendigen Daten verarbeitet?

Stufe 3 – Abwägung durchführen: Hier werden Ihre Interessen gegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen abgewogen. Relevante Faktoren sind Art der Daten (sensibel vs. nicht sensibel), vernünftige Erwartungen der Betroffenen, Schutzmaßnahmen (Pseudonymisierung, Verschlüsselung), Auswirkungen auf Betroffene sowie besondere Schutzbedürftigkeit (Kinder, Arbeitnehmer).

Dokumentationsvorlage für die Interessenabwägung:

Dokumentieren Sie den Verantwortlichen, das Datum der Prüfung, den Gegenstand der Verarbeitung sowie die verarbeiteten Datenkategorien. Dann beschreiben Sie Ihr berechtigtes Interesse und warum die Verarbeitung erforderlich ist. Listen Sie die Interessen der Betroffenen auf, erläutern Sie die implementierten Schutzmaßnahmen und begründen Sie, warum Ihr Interesse überwiegt. Schließlich notieren Sie das Ergebnis und das Datum der nächsten Überprüfung.

Informationspflichten gegenüber Betroffenen

Art. 13 und 14 DSGVO

Betroffene Personen müssen über die Datenverarbeitung informiert werden. Bei KI-Systemen sind die Informationspflichten besonders umfangreich, da zusätzlich zu den Standardinformationen auch KI-spezifische Angaben erforderlich sind.

Pflichtangaben bei Direkterhebung (Art. 13):

Anzugeben sind die Identität und Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten (falls vorhanden), die Zwecke und Rechtsgrundlage der Verarbeitung, bei berechtigten Interessen die verfolgten Interessen, die Empfänger oder Kategorien von Empfängern sowie die geplante Speicherdauer oder Kriterien für die Festlegung.

Weiterhin müssen Betroffene über ihre Rechte informiert werden: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Auch auf das Beschwerderecht bei der Aufsichtsbehörde ist hinzuweisen. Schließlich muss angegeben werden, ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben ist und welche Folgen eine Nichtbereitstellung hat.

KI-spezifische Informationspflichten (Art. 13 Abs. 2 lit. f):

Wenn automatisierte Entscheidungsfindung einschließlich Profiling stattfindet, müssen Sie aussagekräftige Informationen über die involvierte Logik bereitstellen sowie die Tragweite und angestrebten Auswirkungen erläutern.

Praktische Umsetzung

Datenschutzerklärung aktualisieren: Fügen Sie einen spezifischen Abschnitt für KI-Verarbeitung hinzu. Beispieltext: „Wir setzen KI-gestützte Telefonassistenten ein, um Ihre Anrufe effizienter zu bearbeiten. Dabei werden Ihre Telefonnummer und Ihr gesprochenes Anliegen verarbeitet. Die Sprachaufnahme wird nach [X Tagen] automatisch gelöscht. Die Verarbeitung erfolgt auf Servern in Deutschland auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO)."

Hinweis bei Gesprächsbeginn: Bei KI-Telefonie empfiehlt sich ein kurzer Hinweis: „Sie sprechen mit dem automatisierten Assistenten von [Firma]. Ihre Angaben werden zur Bearbeitung Ihres Anliegens verarbeitet. Datenschutzhinweise finden Sie unter [URL]."

Information bei Ersterhebung: Wenn Sie Daten aus anderen Quellen (z.B. gekaufte Leadlisten) mit KI verarbeiten, müssen Sie die Betroffenen innerhalb eines Monats informieren (Art. 14 DSGVO).

Auftragsverarbeitung (AVV) mit KI-Anbietern

Wann ist ein AVV erforderlich?

Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist erforderlich, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Bei Cloud-basierten KI-Lösungen ist dies praktisch immer der Fall.

Typische Auftragsverarbeiter im KI-Kontext:

Der KI-Anbieter selbst (SaaS-Plattform), der Cloud-Infrastrukturanbieter (AWS, Azure, GCP), der Spracherkennungsdienst sowie Subunternehmer des Anbieters sind typische Auftragsverarbeiter.

Keine Auftragsverarbeitung liegt vor, wenn der Dienstleister eigene Zwecke verfolgt (dann: gemeinsame Verantwortlichkeit oder getrennte Verantwortlichkeit).

Kritische AVV-Klauseln für KI-Anbieter

Ausschluss von Trainingsdaten: Der Anbieter darf Ihre Daten NICHT zum Training seiner KI-Modelle verwenden. Formulierungsvorschlag: „Der Auftragsverarbeiter verpflichtet sich, die im Auftrag verarbeiteten personenbezogenen Daten nicht zum Training, zur Verbesserung oder zur Weiterentwicklung von KI-Modellen zu verwenden. Dies gilt auch für anonymisierte oder aggregierte Ableitungen der Daten."

Serverstandort: Legen Sie verbindlich fest, dass die Verarbeitung ausschließlich im EU/EWR erfolgt. Formulierungsvorschlag: „Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Ein Transfer in Drittländer ist ohne vorherige schriftliche Genehmigung des Verantwortlichen nicht gestattet."

Subunternehmer-Transparenz: Fordern Sie eine vollständige Liste aller Subunternehmer. Formulierungsvorschlag: „Der Auftragsverarbeiter legt eine vollständige Liste aller Subunternehmer vor, die an der Verarbeitung beteiligt sind, einschließlich deren Standorte und Verarbeitungstätigkeiten. Änderungen sind dem Verantwortlichen 30 Tage im Voraus anzuzeigen."

Löschfristen: Definieren Sie konkrete Fristen für die Datenlöschung. Formulierungsvorschlag: „Rohdaten (Audioaufnahmen, Transkripte) werden spätestens [30] Tage nach Verarbeitung automatisch gelöscht. Bei Vertragsende werden alle personenbezogenen Daten innerhalb von [14] Tagen unwiderruflich gelöscht oder an den Verantwortlichen zurückgegeben."

Technisch-organisatorische Maßnahmen: Der AVV muss die TOM des Anbieters konkret beschreiben (siehe nächster Abschnitt).

Prüfung des Anbieters

Vor Vertragsschluss sollten Sie die Datenschutz-Compliance des Anbieters prüfen. Fordern Sie relevante Zertifizierungen an wie ISO 27001, SOC 2 Type II sowie Zertifizierungen nach Art. 42 DSGVO, falls vorhanden.

Prüfen Sie den Serverstandort und fragen Sie nach dem konkreten Rechenzentrum, nicht nur dem Land. Recherchieren Sie die Eigentümerstruktur, da US-Eigentümer dem CLOUD Act unterliegen können. Prüfen Sie den Umgang mit Behördenanfragen – wie geht der Anbieter mit Anfragen von Strafverfolgungsbehörden um? Informieren Sie sich über bisherige Datenschutzvorfälle und ob es bekannte Incidents gab.

Technisch-organisatorische Maßnahmen (TOM)

Anforderungen nach Art. 32 DSGVO

Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei KI-Systemen sind folgende Bereiche besonders relevant:

Verschlüsselung sollte Ende-zu-Ende erfolgen – Daten während der Übertragung und im Ruhezustand verschlüsseln. Standard: TLS 1.3 für Transport, AES-256 für Speicherung. Prüfen Sie, ob der Anbieter Zugriff auf unverschlüsselte Daten hat.

Zugriffskontrolle umfasst das Prinzip der minimalen Rechte (Least Privilege), Multi-Faktor-Authentifizierung für alle Zugänge, rollenbasiertes Zugriffsmanagement und regelmäßige Überprüfung der Zugriffsrechte.

Protokollierung erfordert lückenlose Aufzeichnung aller Zugriffe und Verarbeitungen, manipulationssichere Speicherung der Logs, regelmäßige Auswertung auf Anomalien sowie Aufbewahrung gemäß gesetzlicher Vorgaben (typisch: 6-12 Monate).

Pseudonymisierung sollte nach Möglichkeit angewendet werden: Verarbeitung unter Pseudonym, Speicherung des Zuordnungsschlüssels getrennt und automatische Pseudonymisierung bei Datenexport.

Wiederherstellbarkeit erfordert regelmäßige Backups, getestete Wiederherstellungsverfahren und definierte Recovery Time Objectives (RTO).

TOM-Dokumentation

Erstellen Sie eine Dokumentation der implementierten Maßnahmen, die sowohl Ihre internen Maßnahmen als auch die Maßnahmen des KI-Anbieters umfasst. Die Dokumentation sollte Maßnahme, Beschreibung, Verantwortlichkeit, Status und Prüfintervall enthalten.

Beispiele für eine solche Dokumentation: Transportverschlüsselung mit TLS 1.3 für alle Datenübertragungen liegt beim KI-Anbieter und wurde implementiert mit jährlicher Prüfung. Zugriffsprotokollierung aller Zugriffe auf KI-System werden geloggt, ebenfalls beim KI-Anbieter implementiert mit monatlicher Prüfung. Mitarbeiterschulung als jährliche Datenschutzschulung zur KI liegt beim DSB mit quartalsweiser Überprüfung.

EU AI Act: Was kommt auf Unternehmen zu?

Überblick und Zeitplan

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft und führt erstmals verbindliche Regeln für KI-Systeme ein. Die Anforderungen werden schrittweise wirksam:

Ab 2. Februar 2025 gelten das Verbot verbotener KI-Praktiken und die KI-Kompetenzpflichten (Art. 4).

Ab 2. August 2025 treten GPAI-Transparenzanforderungen, Governance-Regeln und die Einrichtung nationaler Behörden in Kraft.

Ab 2. August 2026 ist die vollständige Anwendbarkeit für Hochrisiko-KI-Systeme erreicht.

Ab 2. August 2027 gilt der vollständige Geltungsbereich einschließlich Annex II-Systeme.

Verbotene KI-Praktiken (Art. 5)

Folgende KI-Anwendungen sind seit Februar 2025 verboten:

Social Scoring als Bewertung natürlicher Personen basierend auf Sozialverhalten oder Persönlichkeitsmerkmalen, wenn dies zu ungerechtfertigter Benachteiligung führt.

Unterschwellige Manipulation durch KI-Systeme, die Techniken einsetzen, die das Unterbewusstsein ansprechen und das Verhalten einer Person so beeinflussen, dass ihr physischer oder psychischer Schaden zugefügt wird.

Ausnutzung von Schwächen durch KI-Systeme, die Schwächen aufgrund von Alter, Behinderung oder sozioökonomischer Situation ausnutzen.

Biometrische Echtzeit-Identifizierung in öffentlich zugänglichen Räumen für Strafverfolgungszwecke ist mit eng begrenzten Ausnahmen verboten.

Emotionserkennung am Arbeitsplatz durch KI-Systeme, die Emotionen von Mitarbeitern am Arbeitsplatz oder von Lernenden in Bildungseinrichtungen ableiten, ist verboten. Dies ist besonders relevant für Mittelständler, die über KI-basierte Stimmungsanalyse in der internen Kommunikation nachdenken.

Hochrisiko-KI-Systeme (Annex III)

Bestimmte KI-Anwendungen werden als „hochriskant" eingestuft und unterliegen erweiterten Anforderungen:

Beschäftigung und Personalmanagement: KI-Systeme für Stellenausschreibungen, Bewerberscreening, Lebenslaufanalyse, Vorstellungsgespräche, Einstellungsentscheidungen, Leistungsbewertung, Beförderungsentscheidungen und Kündigungsentscheidungen.

Kreditwürdigkeitsprüfung: KI-Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen.

Wesentliche Dienstleistungen: KI-Systeme für Entscheidungen über Zugang zu wesentlichen privaten Dienstleistungen (z.B. Versicherungen).

Anforderungen für Hochrisiko-KI:

Ein Risikomanagementsystem mit kontinuierlicher Risikobewertung über den gesamten Lebenszyklus ist erforderlich. Daten-Governance mit Anforderungen an Trainings-, Validierungs- und Testdaten muss etabliert werden. Technische Dokumentation zur Nachvollziehbarkeit der Systemfunktion, Logging und Traceability zur Rückverfolgbarkeit von Entscheidungen sowie Human Oversight zur menschlichen Aufsicht und Eingriffsmöglichkeit sind obligatorisch. Genauigkeit, Robustheit und Cybersicherheit müssen nachgewiesen werden. Eine Konformitätsbewertung vor Inverkehrbringen ist erforderlich, ebenso wie die CE-Kennzeichnung bei bestandener Bewertung.

KI-Kompetenzpflichten (Art. 4)

Seit Februar 2025 gilt: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Diese Pflicht gilt für alle Mitarbeiter, die mit KI-Systemen arbeiten oder diese betreuen. Sie erfordert Berücksichtigung von technischem Wissen, Erfahrung, Ausbildung und Kontext. Die Dokumentation der Schulungsmaßnahmen ist notwendig.

Praktische Umsetzung:

Identifizieren Sie betroffene Mitarbeiter, also alle, die KI-Systeme nutzen, konfigurieren oder überwachen. Führen Sie eine Bedarfsanalyse durch, um zu klären, welches Wissen für welche Rolle erforderlich ist. Planen und dokumentieren Sie Schulungen und etablieren Sie eine regelmäßige Auffrischung mit einem empfohlenen Intervall von jährlich.

Dokumentationspflichten und Nachweisführung

Das Verzeichnis von Verarbeitungstätigkeiten

Art. 30 DSGVO verpflichtet zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten. KI-Verarbeitungen müssen hier aufgenommen werden.

Pflichtangaben für KI-Verarbeitungen:

Anzugeben sind der Name und Kontaktdaten des Verantwortlichen und des DSB, die Zwecke der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und personenbezogener Daten, die Kategorien von Empfängern, Übermittlungen an Drittländer (mit Dokumentation geeigneter Garantien), die vorgesehenen Löschfristen sowie eine allgemeine Beschreibung der TOM.

Empfohlene Zusatzangaben für KI:

Zusätzlich sollten Sie Rechtsgrundlage und ggf. Interessenabwägung dokumentieren, DSFA-Ergebnis (falls durchgeführt), AI Act-Risikoklassifizierung, eingesetzte KI-Anbieter und Subunternehmer sowie KI-spezifische TOM.

Rechenschaftspflicht (Art. 5 Abs. 2)

Die DSGVO verlangt, dass Sie die Einhaltung aller Grundsätze nachweisen können. Für KI-Projekte bedeutet dies:

Vor der Einführung: Dokumentieren Sie die Rechtsgrundlage (inkl. Interessenabwägung), das DSFA-Ergebnis (falls erforderlich), die Anbieterprüfung, den AVV sowie das Löschkonzept.

Während des Betriebs: Dokumentieren Sie Zugriffsprotokolle, Vorfälle und deren Bearbeitung, Betroffenenanfragen und deren Beantwortung, Änderungen am System sowie Schulungsnachweise.

Bei Beendigung: Dokumentieren Sie die Datenlöschung bzw. -rückgabe, die Bestätigung des Anbieters sowie die Archivierung relevanter Dokumentation.

Datenschutz-Folgenabschätzung (DSFA)

Wann ist eine DSFA erforderlich?

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.

Die DSK-Muss-Liste enthält explizit: „Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen."

Zwei-Kriterien-Test: Eine DSFA ist erforderlich, wenn zwei oder mehr der folgenden Kriterien erfüllt sind: Bewertung oder Scoring von Personen, automatisierte Entscheidung mit rechtlicher Wirkung, systematische Überwachung, Verarbeitung sensibler Daten, Verarbeitung in großem Umfang, Zusammenführen von Datensätzen, Daten schutzbedürftiger Personen, innovative Technologien sowie Verhinderung eines Rechts oder Vertrags.

Praktisch: Bei den meisten KI-Systemen, die personenbezogene Daten verarbeiten, ist eine DSFA erforderlich.

Durchführung der DSFA

Schritt 1 – Beschreibung der Verarbeitung: Beschreiben Sie systematisch, welche Daten wie verarbeitet werden, mit welchen Mitteln (KI-System, Anbieter, Technologie), zu welchen Zwecken und unter Einbeziehung welcher Akteure.

Schritt 2 – Bewertung der Notwendigkeit und Verhältnismäßigkeit: Prüfen Sie, ob die Verarbeitung für den Zweck erforderlich ist, ob die Zwecke legitim sind, ob mildere Mittel existieren und ob die Datenminimierung gewährleistet ist.

Schritt 3 – Bewertung der Risiken: Identifizieren Sie potenzielle Risiken für Betroffene, bewerten Sie Eintrittswahrscheinlichkeit und Schwere, berücksichtigen Sie dabei physische, materielle und immaterielle Schäden.

Schritt 4 – Abhilfemaßnahmen: Definieren Sie Maßnahmen zur Risikominimierung und prüfen Sie deren Wirksamkeit. Dokumentieren Sie, welches Restrisiko verbleibt.

Schritt 5 – Dokumentation und Überprüfung: Dokumentieren Sie den gesamten Prozess und legen Sie fest, wann eine Überprüfung erfolgt (mindestens jährlich oder bei wesentlichen Änderungen).

Konsultation der Aufsichtsbehörde

Wenn nach Durchführung aller Abhilfemaßnahmen ein hohes Restrisiko verbleibt, müssen Sie vor der Verarbeitung die zuständige Aufsichtsbehörde konsultieren (Art. 36 DSGVO). Die Konsultation ist die Ausnahme, nicht die Regel. Bei sorgfältiger Planung und Umsetzung von Schutzmaßnahmen sollte das Restrisiko beherrschbar sein.

Checkliste: DSGVO-Konformität prüfen

Vor der KI-Einführung

Prüfen Sie, ob das Verarbeitungsverzeichnis für KI-Verarbeitung aktualisiert wurde, ob die DSFA-Erforderlichkeit geprüft wurde (bei Erforderlichkeit: DSFA durchgeführt), ob die Rechtsgrundlage definiert und dokumentiert wurde und ob bei berechtigten Interessen die Interessenabwägung dokumentiert wurde.

Stellen Sie sicher, dass die Datenschutzerklärung aktualisiert wurde (inkl. KI-spezifischer Informationen), dass der AVV mit dem KI-Anbieter abgeschlossen wurde, dass die TOM des Anbieters geprüft und dokumentiert wurden und dass das Löschkonzept definiert und technisch umgesetzt wurde.

Vergewissern Sie sich, dass der Datenschutzbeauftragte eingebunden wurde (falls vorhanden), dass der Betriebsrat informiert wurde und dass die AI Act-Risikoklassifizierung durchgeführt wurde.

Technische Maßnahmen

Kontrollieren Sie, ob die Verschlüsselung bei Übertragung und Speicherung implementiert ist, ob Zugriffskontrollen eingerichtet sind, ob die Protokollierung aktiviert wurde, ob Mitarbeiter geschult wurden, ob der Prozess für Betroffenenanfragen definiert wurde und ob der Meldeprozess für Datenpannen definiert wurde.

Laufender Betrieb

Planen Sie regelmäßige Überprüfungen, dokumentieren Sie Änderungen, halten Sie Löschfristen ein, werten Sie Protokolle regelmäßig aus und aktualisieren Sie Schulungen.

Fazit und Empfehlungen

Der DSGVO-konforme Einsatz von KI ist machbar, erfordert aber systematische Vorbereitung. Die wichtigsten Empfehlungen zusammengefasst:

Starten Sie mit der Dokumentation: Erstellen Sie vor der KI-Einführung eine vollständige Dokumentation aller Datenflüsse, Rechtsgrundlagen und Schutzmaßnahmen. Diese Dokumentation ist nicht nur rechtlich erforderlich, sondern hilft auch bei der Projektplanung.

Wählen Sie Ihren Anbieter sorgfältig: Prüfen Sie Datenschutz-Compliance, Serverstandort und vertragliche Regelungen vor Vertragsschluss. Ein scheinbar günstiger Anbieter kann durch Compliance-Risiken teuer werden.

Planen Sie die DSFA ein: Für die meisten KI-Systeme ist eine DSFA erforderlich. Planen Sie Zeit und Ressourcen dafür ein – idealerweise parallel zur technischen Projektplanung.

Schulen Sie Ihre Mitarbeiter: Der AI Act verpflichtet zur KI-Kompetenz. Nutzen Sie dies als Chance, Akzeptanz und Verständnis im Unternehmen zu fördern.

Bleiben Sie auf dem Laufenden: Die regulatorischen Anforderungen entwickeln sich weiter. Planen Sie regelmäßige Reviews Ihrer Compliance-Dokumentation ein.

Bei Unsicherheiten: Konsultieren Sie Ihren Datenschutzbeauftragten oder einen spezialisierten Rechtsanwalt. Die Investition in professionelle Beratung ist deutlich günstiger als die Konsequenzen eines Datenschutzverstoßes.