EU AI Act · Compliance

DSGVO und KI · 7 Schnittmengen, die du kennen musst

Zuletzt aktualisiert:
In einem Satz

DSGVO und EU AI Act überschneiden sich an sieben Stellen: Rechtsgrundlage für Trainingsdaten, automatisierte Entscheidung (Art. 22), Auftragsverarbeitung mit KI-Anbietern, Drittland-Transfer, DSFA, Betroffenenrechte und Sicherheit der Verarbeitung (Art. 32).

Wer KI im Unternehmen einsetzt, fällt fast immer unter die DSGVO, sobald personenbezogene Daten in Prompts, Trainingssets oder Outputs vorkommen. Hier die sieben Schnittmengen, die in jedem Audit zuerst geprüft werden.

1

Rechtsgrundlage für Trainingsdaten

Personenbezogene Daten dürfen nicht ohne Rechtsgrundlage zum Modell-Training verwendet werden. Art. 6 DSGVO (meist berechtigtes Interesse oder Einwilligung) plus Zweckbindungsprinzip. Italienisches Datenschutz-Verfahren gegen OpenAI 2024 endete mit 15 Mio. € Bußgeld.

2

Automatisierte Entscheidung · Art. 22 DSGVO

Vollautomatische Entscheidungen mit erheblicher Wirkung (Kreditvergabe, Bewerbung, Versicherung) sind grundsätzlich verboten. Ausnahme: Einwilligung oder gesetzliche Erlaubnis. Die KI muss erklärbar bleiben (Recht auf Auskunft, Art. 15).

3

Auftragsverarbeitung mit KI-Anbietern

Jeder KI-Anbieter, der personenbezogene Daten verarbeitet, braucht einen AVV nach Art. 28 DSGVO. OpenAI, Anthropic und Microsoft bieten Enterprise-Verträge mit DPA. Consumer-Versionen sind nicht DSGVO-konform für betriebliche Nutzung.

4

Drittland-Transfer

Die meisten großen KI-Anbieter sitzen in den USA. Datentransfer braucht den Angemessenheitsbeschluss EU-US Data Privacy Framework (seit Juli 2023) oder Standard-Vertragsklauseln plus TIA. Achtung: Schrems-III-Verfahren noch offen.

5

Datenschutz-Folgenabschätzung (DSFA)

Nach Art. 35 DSGVO Pflicht bei systematischer Bewertung von Personen, neuer Technologie oder umfangreicher Verarbeitung sensibler Daten, also faktisch bei jedem KI-Hochrisiko-Einsatz. Schablonen der DSK liegen vor.

6

Betroffenenrechte

Auskunft, Löschung, Widerspruch. Art. 15-22 DSGVO. KI-Systeme machen Löschung schwierig (Daten sind im Modell „eingebrannt"). Workaround: Filter auf Output-Seite, Embeddings rebuilden bei großen Anfragen.

7

Sicherheit der Verarbeitung · Art. 32 DSGVO

Verschlüsselung, Zugriffskontrolle, Logging, gilt auch für Prompt-Eingaben. Prompt-Injection und Datenabfluss durch KI-Systeme zählen als technisch-organisatorische Maßnahmen-Versagen. CISO und DSB müssen das gemeinsam steuern.

Fazit

DSGVO + EU AI Act = zwei parallele Regelwerke. Unser Lehrgang Manager für angewandte KI-Transformation (IHK) deckt beide ab, mit Vorlagen für AVV, DSFA und Schulungsnachweis.

FAQs

Reicht ein AVV mit OpenAI?
ChatGPT Free und Plus haben keinen AVV. Nur ChatGPT Enterprise oder API-Zugang mit DPA sind für personenbezogene Daten geeignet.
Muss ich für jede KI eine DSFA machen?
Bei systematischer Personen-Bewertung, neuer Technologie oder besonderen Datenkategorien Pflicht. Reine Schreibassistenten ohne Personendaten: meist nicht.
Frameworks praktisch anwenden

Manager für angewandte KI-Transformation (IHK)

Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.

Kostenlos testen
Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.

Co-Intelligence Podcast Logo
🎙️ KI-Podcast

Co-Intelligence: der Podcast für alle, die KI verstehen wollen

Komplexe Themen einfach erklärt. In unserem Podcast sprechen Benjamin und Moritz über das, was KI heute kann und wie wir sie gemeinsam gestalten können. Für alle, die mitdenken, mitfühlen und mitverändern wollen.

Co-Intelligence – Der KI-Podcast