Ist ChatGPT DSGVO-konform für Unternehmen?

Standard-ChatGPT ist nicht DSGVO-konform für Unternehmensdaten. ChatGPT Enterprise oder Team mit entsprechender AVV und garantiertem EU-Datenschutz kann konform genutzt werden. Standard-Versionen speichern Daten zu Trainingszwecken.

Welche KI-Tools sind ohne Weiteres DSGVO-konform?

EU-basierte Tools wie DeepL (Deutschland), Aleph Alpha (Deutschland) und Neuroflash (Deutschland) erfüllen die DSGVO grundsätzlich. Microsoft- und Google-Enterprise-Lösungen mit AVV sind ebenfalls konform nutzbar.

Was ist der EU AI Act und was bedeutet er für Unternehmen?

Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Er klassifiziert KI-Systeme nach Risikostufen. Die meisten Unternehmens-KI-Tools fallen unter begrenzte/transparenzpflichtige Risiken. Hochriskante Anwendungen unterliegen strengen Auflagen ab August 2026.

Braucht mein Unternehmen einen Datenschutzbeauftragten für KI-Nutzung?

Ein Datenschutzbeauftragter ist verpflichtet bei mehr als 20 Beschäftigten regelmäßiger Datenverarbeitung oder bei besonderen Kategorien personenbezogener Daten. Bei KI-Nutzung im Personalmanagement empfiehlt sich die Bestellung auch bei weniger Beschäftigten.

Darf ich Mitarbeiterdaten in KI-Tools verarbeiten?

Mitarbeiterdaten sind besonders schützenswert. Die Verarbeitung in KI-Tools ist nur mit Rechtsgrundlage zulässig. Einwilligung ist bei ungleichem Machtverhältnis zwischen Arbeitgeber und Arbeitnehmer kritisch zu prüfen.

Was gehört in eine KI-Richtlinie für Mitarbeiter?

Eine KI-Richtlinie sollte enthalten: Zulässige und unzulässige Tools, Zustimmungsverfahren für neue KI-Anwendungen, Umgang mit vertraulichen Daten, Dokumentationspflichten und Hinweise auf Halluzinationen.

KI und Datenschutz: DSGVO-Konformität für Unternehmen 2026

Die Nutzung von Künstlicher Intelligenz in Unternehmen wächst rasant. Doch mit der Euphorie kommen Fragen: Ist die Verarbeitung personenbezogener Daten in KI-Systemen rechtmäßig? Welche Tools dürfen für welche Daten genutzt werden? Was bedeutet der EU AI Act für den deutschen Mittelstand?

Dieser Artikel beleuchtet die komplexe Schnittstelle von KI und Datenschutz. Wir geben Orientierung bei der Auswahl DSGVO-konformer Tools und liefern eine praktische Compliance-Checkliste.

Der EU AI Act: Grundverständnis

Verabschiedet im März 2024 und in Kraft getreten am 1. August 2024, ist der EU AI Act die weltweit erste umfassende Regulierung Künstlicher Intelligenz.

Risikostufen nach EU AI Act

Der AI Act unterscheidet vier Kategorien:

1. Unannehmbares Risiko (verboten)

Subliminale Techniken, die Verhalten beeinflussen
Emotionserkennung in Arbeits- und Bildungseinrichtungen
Sozialscoring durch staatliche Stellen

2. Hohes Risiko (strenge Auflagen)

KI in kritischen Infrastrukturen
Bildungs- und Berufsbereich
Personalmanagement (Einstellung, Kündigung)
Kreditscoring

3. Begrenztes Risiko (Transparenzpflichten)

Chatbots
Generative KI (deepfakes müssen gekennzeichnet werden)
Emotionserkennungssysteme

4. Minimales Risiko (keine speziellen Pflichten)

Spamfilter
Empfehlungssysteme simpler Natur
Die meisten aktuellen Unternehmens-KI-Tools

Zeitplan der Anwendung

| Datum | Wirksamkeit |

|-------|-------------|

| August 2024 | Inkrafttreten des EU AI Act |

| Februar 2025 | Verbotene KI-Praktiken und KI-Kompetenz-Pflichten |

| August 2026 | Vollständige Anwendung (hochriskante Systeme) |

| August 2025 | GPAI-Modelle und Modelle mit systemischem Risiko |

DSGVO-Grundlagen für KI-Nutzung

Die DSGVO gilt uneingeschränkt auch bei der Nutzung von KI-Systemen.

Rechtsgrundlagen der Verarbeitung

Art. 6 DSGVO (allgemein):

Einwilligung (Art. 6 Abs. 1 lit. a)
Vertragserfüllung (Art. 6 Abs. 1 lit. b)
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)

Besondere Kategorien (Art. 9 DSGVO): Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen etc. erfordern zusätzlichen Schutz.

Datenweitergabe an Dritte

Wenn Daten an KI-Anbieter übermittelt werden, liegt eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vor.

Entscheidend:

Wer bestimmt Zweck und Mittel der Verarbeitung?
Werden Daten zur Modellverbesserung genutzt?
Findet Verarbeitung in der EU oder außerhalb statt?

DSGVO-konforme KI-Tools im Überblick

EU-basierte Tools (DSGVO-konform)

|------|------|------------|--------------|

US-basierte Tools mit Konformitätsoptionen

OpenAI / ChatGPT:

ChatGPT Free/Plus: Keine DSGVO-Konformität für Unternehmensdaten
ChatGPT Team/Enterprise: DSGVO-konform mit AVV möglich
Preis: Team ab ca. 25 €/Nutzer/Monat

Microsoft Copilot:

DSGVO-konform in Enterprise-Versionen
Daten verbleiben im Microsoft 365 Tenant

Google Workspace AI:

DSGVO-konform mit Business Associate Agreement
EU-Datenspeicherung verfügbar

Tools mit problematischem Datenschutz

Folgende Tools sollten für personenbezogene Daten vermieden werden:

| Tool | Problem | Alternative |

|------|---------|-------------|

| ChatGPT Free/Plus | Daten zu Trainingszwecken | ChatGPT Enterprise, Aleph Alpha |

| Claude Free | Keine DSGVO-Zusicherung | Claude für Unternehmen, Aleph Alpha |

| Midjourney | Öffentliche Bilderveröffentlichung | Neuroflash, Adobe Firefly |

Mehr zu sicheren KI-Tools unter kostenlose-ki-tools/.

Auftragsverarbeitungsverträge (AVV)

Die AVV ist das zentrale Instrument für DSGVO-konforme KI-Nutzung.

Inhalt einer AVV für KI-Tools

Eine AVV muss folgendes regeln:

Verarbeitungsgegenstand und -dauer
Art und Zweck der Verarbeitung
Verpflichtung zur Verarbeitung nur auf dokumentierte Weisung
Verpflichtung zur Vertraulichkeit
Sicherheitsmaßnahmen
Unterauftragsverhältnisse
Unterstützung bei Betroffenenrechten
Rückgabe/Löschung nach Vertragsende

Anbieter mit Standard-AVV

DeepL (automatisch bei Pro-Versionen)
Microsoft (über Admin-Portal verfügbar)
Google (anforderbar bei Enterprise)
OpenAI (nur bei Enterprise/Team)

Datenschutzbeauftragter für KI-Nutzung

Wann ist ein Datenschutzbeauftragter verpflichtet?

Nach § 38 BDSG ist ein Datenschutzbeauftragter zu bestellen bei:

Mehr als 20 Beschäftigten regelmäßiger Datenverarbeitung
Verarbeitung besonderer Kategorien (Art. 9 DSGVO)
Immer bei hochriskanten automatisierten Entscheidungen

Praktische Compliance-Checkliste für KMU

Absichern vor KI-Einsatz

Verzeichnis der Verarbeitungstätigkeiten erstellen/aktualisieren
Rechtsgrundlage für KI-verarbeitete Daten festlegen
Datenschutzfolgenabschätzung prüfen (bei hochriskanten Anwendungen Pflicht)
Datenschutzbeauftragten bestellen (falls erforderlich)

Tool-Auswahl

AVV mit Anbieter prüfen/abschließen
Datenverarbeitungsorte klären (EU vs. Drittland)
Opt-out für Trainingsdaten verifizieren

Implementierung

Mitarbeiter-KI-Richtlinie erstellen
Schulung zu zulässiger/unzulässiger Nutzung
Dokumentationssystem einrichten
Incident-Response-Plan für Datenpannen

Laufende Überwachung

Vierteljährliche Tool-Überprüfung
Compliance-Checks bei neuen Features
Mitarbeiter-Feedback einholen
Aktualisierung der AVV bei Vertragsänderungen

Mitarbeiter-Richtlinie für KI-Nutzung: Vorlage

Ein Muster für interne Richtlinien:

KI-NUTZUNGSRICHTLINIE

§1 Zulässige Tools
Folgende KI-Tools sind vorbehaltlich AVV für betriebliche Zwecke zugewiesen:

- [Liste mit Tool-Namen und Verwendungszweck]

§2 Unzulässige Nutzung
Verboten ist die Verarbeitung folgender Daten in nicht zugewiesenen Tools:

- Personenbezogene