Der Algorithmus braucht auch Privatsphäre – KI und Datenschutz
© Sutthiphong - stock.adobe.com

Der Algorithmus braucht auch Privatsphäre – KI und Datenschutz

24. April 2026

Künstliche Intelligenz hat längst Einzug in unseren Arbeitsalltag gehalten. Ob Texte formulieren, Analysen erstellen oder Kundenanfragen beantworten – KI-Tools versprechen enorme Effizienzgewinne. Werden mittels der KI-Anwendung auch personenbezogene Daten verarbeitet, ist neben der KI-Verordnung auch die DSGVO zu beachten.

Schatten-KI in Unternehmen – ein unterschätztes Risiko

Schatten-KI bezeichnet den Umstand, dass Mitarbeitende des Unternehmens ohne Wissen und Freigabe der Geschäftsführung eigenmächtig KI-Tools für dienstliche Zwecke benutzen, ganz nach dem Motto: Das kann doch die KI eben mal schnell für mich machen. Die Gründe hierfür sind meist praktischer Natur und oft gut nachvollziehbar. Die Mitarbeitenden stehen unter Zeit- und Erfolgsdruck, es gibt entweder keine von der Unternehmensleitung autorisierten KI-Anwendungen oder sie passen nicht zu den Bedürfnissen der Mitarbeitenden und die Basis-Varianten vieler KI-Tools sind kostenlos im Internet nutzbar.

Für das Unternehmen können sich daraus allerdings Risiken ergeben: Sensible Unternehmensdaten werden ungewollt an Dritte weitergegeben. Dazu gehören Betriebs- und Geschäftsgeheimnisse, Know-how und vertrauliche Kundeninformationen. Sobald diese Daten das Unternehmen verlassen, ist der Kontrollverlust oft irreversibel.

Enthalten die in das KI-System eingegebenen Datensätze auch noch personenbezogene Daten, ergeben sich heraus besondere Pflichten des Unternehmens nach der DSGVO. Rechtsgrundlagen für die Verarbeitung müssen definiert und Informationspflichten erfüllt werden. Wenn dem Unternehmen aber nicht bekannt ist, dass eine Verarbeitung personenbezogener Daten durch die eigenmächtige Nutzung von KI-Tools erfolgt, können diese Pflichten nicht erfüllt werden. Kommt es aber zu Schadenersatzforderungen, zählt die Ausrede, man habe es nicht gewusst, grundsätzlich nicht.

Vom Schatten ins Licht: Um sich vor den negativen Folgen von Schatten-KI zu schützen, braucht es nicht nur Verbote, sondern vor allem klare Strukturen und sichere Alternativen.

Datenschutzrechtliche Grundsätze bei KI-Einsatz

Bei jedem Teilprozess der KI-Anwendung ist kritisch zu prüfen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, sind die DSGVO-Grundsätze zu beachten:

  • Rechtmäßigkeit, Transparenz: Für jede Datenverarbeitung muss eine nachweisbare Rechtsgrundlage bestehen (Einwilligung, Vertrag oder berechtigtes Interesse). Die transparente Information über die Datenverarbeitung – insbesondere bei automatisierten Entscheidungen – ist sicherzustellen.
  • Zweckbindung: Daten dürfen nur für festgelegte, legitime Zwecke erhoben und verarbeitet werden. Eine unzulässige Weiterverarbeitung (z.B. Nutzung für KI-Training ohne Zustimmung) ist zu vermeiden.
  • Datenminimierung: Die Datenverarbeitung ist auf das notwendige Minimum zu reduzieren, entgegen dem natürlichen Datendurst von KI-Systemen.
  • Richtigkeit: Da KI auf Wahrscheinlichkeiten basiert, sind die Ergebnisse stets auf Korrektheit und Aktualität zu überprüfen.
  • Speicherbegrenzung: Daten sind nur so lange zu speichern, wie es der Zweck erfordert. Dauerhafte Speicherung zu Trainingszwecken bedarf einer rechtmäßigen Begründung.
  • Integrität und Vertraulichkeit: Durch technische und organisatorische Maßnahmen ist die Datensicherheit zu gewährleisten; KI-Tools sind vorab auf ihre Sicherheitsgarantien zu prüfen.
  • Hambacher Erklärung: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat daraus sieben Anforderungen an KI-Systeme formuliert, die Unternehmen bei der Einführung von KI-Systemen beachten sollten:

Menschen nicht zum Objekt machen, verfassungsrechtlich legitimierte Zwecke, Transparenz und Erklärbarkeit, Diskriminierungsvermeidung, Datenminimierung, KI braucht Verantwortlichkeit, sowie technische und organisatorische Standards.

Unsere Empfehlungen

KI-Anwendungen im Unternehmen sind immer sehr individuell zu begutachten. Es kommt auf die beabsichtigte Datenverarbeitung, die Art der damit verarbeiteten Daten und das damit verbundene Risiko der betroffenen Personen an. Wir empfehlen allgemein folgende datenschutzfreundliche Maßnahmen:

  • Intern klare Regelungen schaffen
    Schaffen Sie klare Regelungen für die Beschäftigten im Umgang mit der eingesetzten Anwendung und stellen Sie sicher, dass alle Beschäftigten über diese Regelungen informiert sind.
  • Beschäftigte sensibilisieren
    Nehmen Sie den Umgang mit der KI-Anwendung in das Schulungsprogramm zum Datenschutz auf oder stellen Sie eigene KI-Schulungen zur Verfügung.
  • Unternehmens-Accounts einrichten
    Stellen Sie für die berufliche Nutzung von KI-Anwendungen Geräte und Accounts zur Verfügung! Beschäftigte sollten nicht eigenständig und unter Verwendung privater Accounts oder Geräte mit KI-Anwendungen arbeiten.
  • Keine Daten für das Training der KI bereitstellen
    Konfigurieren Sie die KI-Anwendung derart, dass diese keine Daten für Trainingszwecke nutzt. Ggf. muss dafür ein spezifisches Vertragsmodell gebucht werden, das sich von der kostenfreien Standardanwendung unterscheidet.
  • Ergebnisse auf Richtigkeit prüfen
    Die Ergebnisse einer KI-Anwendung sind kritisch auf Richtigkeit zu prüfen. Die Anwendungen erzeugen Texte, die mit mathematischer Wahrscheinlichkeit dem gewünschten Ergebnis nahekommen. Dies bedeutet keinesfalls, dass alle ausgegebenen Informationen korrekt sind.
  • Keine automatisierte Letztentscheidung
    Entscheidungen mit Rechtswirkung dürfen grundsätzlich nur von Menschen getroffen werden. Ausnahmen sind nur in bestimmten Fällen zugelassen, etwa bei einer Einwilligung der betroffenen Person.
  • Prüfung und Dokumentation, ob DSFA durchgeführt werden muss
    Je nach Einsatzbereich und Umfang der Datenverarbeitung mittels KI-Anwendung ist im Vorfeld ggf. eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, die die Teilprozesse herausarbeitet und das Risiko für die Rechte und Freiheiten der betroffenen Personen abwägt. Ihr Datenschutzbeauftragter kann Sie bei der Prüfung und der Durchführung der DSFA unterstützen.
  • Nachtraining, Filterverbesserung, Marketing etc. verhindern
    Stellen Sie sicher, dass mögliche Anbieter von KI-Anwendungen sowohl die Eingabedaten als auch Ausgabedaten nicht für eigene Zwecke verwendet (z. B. Nachtraining, Filterverbesserung, Marketing, …).
  • Verträge mit Anbietern der KI-Anwendung
    Prüfen Sie kritisch die Leistungs- und mögliche Auftragsverarbeitungsverträge mit den Anbietern. Bei Verarbeitungen im Auftrag müssen diese zwischen dem Unternehmen und dem Dienstleister wirksam abgeschlossen sein.

Unsere individuelle Unterstützung für Sie

Sollten Sie den Einsatz von KI im Unternehmen planen oder bereits KI nutzen, nehmen Sie gerne Kontakt mit uns auf. Für eine erste datenschutzrechtliche Bewertung können Sie zunächst auch unseren Fragebogen ausfüllen. Wir kommen dann nach der Auswertung wieder auf Sie zu.

Hinweisgebersystem

Ähnliche Beiträge

Entgelttransparenz und Datenschutz
Datenschutz

Entgelttransparenz und Datenschutz

Im Mai 2023 verabschiedete die EU eine Richtlinie zur Verbesserung der Lohntransparenz, die dazu dienen soll, geschlechtsspezifische Diskriminierung bei […]
Datensicherung – für den schlimmsten aller Fälle!
Datenschutz

Datensicherung – für den schlimmsten aller Fälle!

Was passiert eigentlich, wenn es zu einen Elementarschaden durch Regenwasser oder Blitzschlag kommt? Sind Sie gegen Datenverluste durch Hardwareausfälle […]
IT-Governance als Fundament wirksamer Unternehmenssteuerung – Warum sie unverzichtbar ist
Datenschutz

IT-Governance als Fundament wirksamer Unternehmenssteuerung – Warum sie unverzichtbar ist

Als externer Datenschutzbeauftragter erleben wir in der Praxis immer wieder, dass Unternehmen erhebliche Summen in IT-Systeme investieren – jedoch […]
X