ki·toolnavigatorDas deutsche KI-Verzeichnis
Recht

DSGVO und KI: Was Unternehmen 2026 wissen müssen

15. März 2026 · 11 Min. Lesezeit
DSGVO und KI: Was Unternehmen 2026 wissen müssen
Aufmacher · IllustrationCognitor Media (Nano Banana)

Rechtliche Grundlagen

Die DSGVO regelt seit 2018 die Verarbeitung personenbezogener Daten in der EU. KI-Systeme stellen besondere Herausforderungen: Trainingsdaten enthalten oft personenbezogene Informationen, Modelle können diese in Ausgaben rekonstruieren, und Anbieter sitzen häufig außerhalb der EU.

Die zentralen Pflichten gelten unverändert: Rechtsgrundlage für die Verarbeitung (Art. 6 DSGVO), Informationspflichten gegenüber Betroffenen (Art. 13/14), Auskunfts- und Löschrechte (Art. 15/17), Datenschutz-Folgenabschätzung bei Hochrisiko-Verarbeitungen (Art. 35).

EU AI Act

Der seit 2024 in Kraft befindliche EU AI Act ergänzt die DSGVO um ein produktrechtliches Regelwerk speziell für KI. Systeme werden in vier Risikoklassen eingeteilt: unzulässig, hochriskant, begrenztes Risiko, minimales Risiko. Für General-Purpose AI Models (GPAI) — also LLMs wie GPT-4 oder Claude — gelten zusätzliche Transparenz- und Dokumentationspflichten.

Bedeutsam für Anwender: Auch wer ein Drittanbieter-KI-System einsetzt, übernimmt Pflichten. Der „Deployer" muss Risikobewertungen vornehmen, Mitarbeitende schulen und Logs führen.

Der AI Act schafft keine neue Compliance-Welt, aber er konkretisiert, was bisher unter „Sorgfaltspflicht" lief.

Auftragsverarbeitung

Beim Einsatz cloudbasierter KI-Tools wird der Anbieter zum Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Voraussetzung: Es muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden, in dem Zweck, Art und Umfang der Verarbeitung sowie Sicherheitsmaßnahmen geregelt sind.

US-Anbieter erfüllen diese Anforderung in der Regel über das EU-US Data Privacy Framework (Stand 2026). Vorsicht ist geboten bei Anbietern ohne EU-Niederlassung und ohne Standardvertragsklauseln — hier ist die Rechtslage unsicher.

Checkliste

Vor dem Einsatz eines KI-Tools mit personenbezogenen Daten sollten folgende Fragen geklärt sein:

  1. Anbieter: Sitz in der EU oder unter Privacy-Framework? AVV verfügbar?
  2. Datenfluss: Werden Eingaben für Modelltraining verwendet? Opt-out möglich?
  3. Datenresidenz: Wo werden Daten verarbeitet und gespeichert?
  4. Löschung: Wie und wann werden Daten gelöscht? Gibt es Backups?
  5. Folgenabschätzung: Ist eine DSFA erforderlich (Hochrisiko-Verarbeitung)?
  6. Information: Sind Betroffene über den KI-Einsatz informiert?
  7. Freigabe: Liegt eine Genehmigung des Datenschutzbeauftragten vor?

Für die meisten Standardanwendungen (Lektorat, Recherche ohne personenbezogene Daten) reicht ein Standard-AVV. Sobald sensible Daten ins Spiel kommen, ist der zusätzliche Aufwand zwingend.

Verweise:
GrundlagenSprachmodelleDSGVOGeschichte