DSGVO und KI · 7 Schnittmengen, die du kennen musst
DSGVO und EU AI Act überschneiden sich an sieben Stellen: Rechtsgrundlage für Trainingsdaten, automatisierte Entscheidung (Art. 22), Auftragsverarbeitung mit KI-Anbietern, Drittland-Transfer, DSFA, Betroffenenrechte und Sicherheit der Verarbeitung (Art. 32).
Wer KI im Unternehmen einsetzt, fällt fast immer unter die DSGVO, sobald personenbezogene Daten in Prompts, Trainingssets oder Outputs vorkommen. Hier die sieben Schnittmengen, die in jedem Audit zuerst geprüft werden.
Rechtsgrundlage für Trainingsdaten
Personenbezogene Daten dürfen nicht ohne Rechtsgrundlage zum Modell-Training verwendet werden. Art. 6 DSGVO (meist berechtigtes Interesse oder Einwilligung) plus Zweckbindungsprinzip. Italienisches Datenschutz-Verfahren gegen OpenAI 2024 endete mit 15 Mio. € Bußgeld.
Automatisierte Entscheidung · Art. 22 DSGVO
Vollautomatische Entscheidungen mit erheblicher Wirkung (Kreditvergabe, Bewerbung, Versicherung) sind grundsätzlich verboten. Ausnahme: Einwilligung oder gesetzliche Erlaubnis. Die KI muss erklärbar bleiben (Recht auf Auskunft, Art. 15).
Auftragsverarbeitung mit KI-Anbietern
Jeder KI-Anbieter, der personenbezogene Daten verarbeitet, braucht einen AVV nach Art. 28 DSGVO. OpenAI, Anthropic und Microsoft bieten Enterprise-Verträge mit DPA. Consumer-Versionen sind nicht DSGVO-konform für betriebliche Nutzung.
Drittland-Transfer
Die meisten großen KI-Anbieter sitzen in den USA. Datentransfer braucht den Angemessenheitsbeschluss EU-US Data Privacy Framework (seit Juli 2023) oder Standard-Vertragsklauseln plus TIA. Achtung: Schrems-III-Verfahren noch offen.
Datenschutz-Folgenabschätzung (DSFA)
Nach Art. 35 DSGVO Pflicht bei systematischer Bewertung von Personen, neuer Technologie oder umfangreicher Verarbeitung sensibler Daten, also faktisch bei jedem KI-Hochrisiko-Einsatz. Schablonen der DSK liegen vor.
Betroffenenrechte
Auskunft, Löschung, Widerspruch. Art. 15-22 DSGVO. KI-Systeme machen Löschung schwierig (Daten sind im Modell „eingebrannt"). Workaround: Filter auf Output-Seite, Embeddings rebuilden bei großen Anfragen.
Sicherheit der Verarbeitung · Art. 32 DSGVO
Verschlüsselung, Zugriffskontrolle, Logging, gilt auch für Prompt-Eingaben. Prompt-Injection und Datenabfluss durch KI-Systeme zählen als technisch-organisatorische Maßnahmen-Versagen. CISO und DSB müssen das gemeinsam steuern.
Fazit
DSGVO + EU AI Act = zwei parallele Regelwerke. Unser Lehrgang Manager für angewandte KI-Transformation (IHK) deckt beide ab, mit Vorlagen für AVV, DSFA und Schulungsnachweis.
FAQs
Manager für angewandte KI-Transformation (IHK)
Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.
Kostenlos testenthekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))
:quality(85))