DSGVO-konforme KI-Nutzung im Unternehmen: Was Compliance-Verantwortliche wissen müssen

Die DSGVO wurde vor einer Zeit geschrieben, als KI-Tools noch Science-Fiction waren. Die Realität hat sich geändert. Die Regeln nicht.

Jeder dritte Mitarbeiter in deutschen Unternehmen nutzt mittlerweile KI-Tools für die tägliche Arbeit. ChatGPT, Claude, Gemini — die Werkzeuge sind da. Die Frage ist: Wer trägt die Verantwortung, wenn dabei personenbezogene Daten auf US-Server gelangen?

Die Antwort ist unbequem. Es gibt keine Ausnahme für KI.

Wo die Probleme liegen.

Das Verarbeitungsverzeichnis. Jedes Unternehmen muss führen, welche Systeme personenbezogene Daten verarbeiten. KI-Tools stehen selten darin — weil niemand daran denkt.

Die Datenschutz-Folgenabschätzung. Bei High-Risk-Verarbeitungen obligatorisch. KI-Tools, die Mitarbeiterdaten oder Kundendaten verarbeiten, fallen definitiv darunter.

Die Auftragsverarbeitung. Ohne AV-Vertrag mit dem KI-Anbieter ist die Nutzung rechtswidrig. Die meisten Anbieter haben Standards. Ob die für Ihr Risiko reichen — unknown.

Was Sie konkret tun können.

Führen Sie eine Bestandsaufnahme. Welche KI-Tools sind im Einsatz? Wer nutzt sie? Mit welchen Daten?

Verhandeln Sie Auftragsverarbeitungsverträge. Mit allen Anbietern. Lassen Sie sich die Standardvertragsklauseln zeigen.

Erstellen Sie eine Whitelist genehmigter Tools. Nicht verbieten — steuern. Es ist der einzige Weg, Compliance zu behalten.

Schulen Sie Mitarbeiter. Nicht nur, was verboten ist. Sondern warum. Datenschutz ist kein Selbstzweck.