Datenschutz

DSGVO und KI: Datenschutz im Zusammenspiel mit der EU-KI-VO

Wer KI-Systeme einsetzt, muss neben der EU-KI-Verordnung auch die DSGVO einhalten. Dieser Leitfaden erklärt das Verhältnis beider Regelwerke, die zulässigen Rechtsgrundlagen, die Auftragsverarbeitung und den Umgang mit besonderen Datenkategorien.

11 Min. LesezeitAktualisiert im Januar 2026

Verhältnis von DSGVO und KI-Verordnung

Die EU-KI-Verordnung und die Datenschutz-Grundverordnung verfolgen unterschiedliche Schutzzwecke, gelten aber nebeneinander. Während die KI-Verordnung die Sicherheit und Vertrauenswürdigkeit von KI-Systemen reguliert, schützt die DSGVO personenbezogene Daten. Beim Einsatz von KI, die personenbezogene Daten verarbeitet, sind daher stets beide Regelwerke gleichzeitig zu beachten.

Die KI-Verordnung stellt in ihren Erwägungsgründen ausdrücklich klar, dass sie das Datenschutzrecht der Union unberührt lässt. Die DSGVO behält ihre volle Geltung. Wo die KI-Verordnung zusätzliche Anforderungen an Hochrisiko-Systeme stellt, treten diese neben die datenschutzrechtlichen Pflichten, ohne sie zu ersetzen.

Für die Praxis bedeutet dies eine doppelte Prüfung. Vor dem Einsatz eines KI-Systems ist sowohl zu klären, welche Pflichten die KI-Verordnung auslöst, als auch, ob und auf welcher Grundlage personenbezogene Daten verarbeitet werden dürfen. Die KI-Kompetenz-Pflicht aus Artikel 4 umfasst daher ausdrücklich auch das datenschutzrechtliche Grundwissen.

Zwei Regelwerke, parallele Geltung

Die KI-Verordnung lässt die DSGVO unberührt. Beim Einsatz datenverarbeitender KI gelten beide Regelwerke gleichzeitig und sind gemeinsam zu prüfen.

Rechtsgrundlagen der Verarbeitung

Jede Verarbeitung personenbezogener Daten durch ein KI-System benötigt eine Rechtsgrundlage nach Artikel 6 DSGVO. In Betracht kommen vor allem die Einwilligung der betroffenen Person, die Erforderlichkeit für die Erfüllung eines Vertrags oder das berechtigte Interesse des Verantwortlichen. Welche Grundlage einschlägig ist, hängt vom konkreten Zweck und Kontext des Einsatzes ab.

Beim Rückgriff auf das berechtigte Interesse ist eine sorgfältige Abwägung erforderlich. Die Interessen des Unternehmens an der Nutzung des KI-Systems müssen gegen die Rechte und Freiheiten der betroffenen Personen abgewogen und dokumentiert werden. Gerade bei intransparenten oder umfangreichen Verarbeitungen kann diese Abwägung gegen das Unternehmen ausfallen.

Besondere Aufmerksamkeit gilt automatisierten Einzelentscheidungen nach Artikel 22 DSGVO. Entscheidet ein KI-System ohne menschliches Zutun über eine Person mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung, ist dies grundsätzlich unzulässig und nur unter engen Voraussetzungen erlaubt. Dann sind zusätzliche Schutzmaßnahmen vorzusehen, insbesondere das Recht auf menschliches Eingreifen.

  • Einwilligung, Vertragserfüllung oder berechtigtes Interesse als Rechtsgrundlage.
  • Beim berechtigten Interesse: dokumentierte Abwägung erforderlich.
  • Automatisierte Einzelentscheidungen nach Artikel 22 DSGVO nur unter engen Voraussetzungen.
  • Zweckbindung und Datenminimierung sind durchgehend zu beachten.

Auftragsverarbeitung bei KI-Tools

Werden externe KI-Dienste genutzt, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten, liegt regelmäßig eine Auftragsverarbeitung nach Artikel 28 DSGVO vor. In diesem Fall ist ein Auftragsverarbeitungsvertrag, kurz AVV, mit dem Anbieter abzuschließen. Ohne diesen Vertrag ist die Nutzung datenschutzrechtlich unzulässig.

Der Vertrag muss insbesondere Gegenstand und Dauer der Verarbeitung, die Art der Daten, die Pflichten des Auftragsverarbeiters sowie technische und organisatorische Maßnahmen regeln. Besondere Sorgfalt ist geboten, wenn Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden, etwa bei in den USA gehosteten KI-Diensten. Dann sind zusätzliche Garantien wie Standardvertragsklauseln erforderlich.

Ein häufig übersehenes Risiko ist die Weiterverwendung eingegebener Daten zum Training der KI-Modelle. Unternehmen sollten prüfen, ob der Anbieter eingegebene Inhalte für eigene Zwecke nutzt, und solche Nutzungen vertraglich ausschließen. Andernfalls verlieren sie die Kontrolle über die Daten und riskieren Verstöße gegen die Zweckbindung.

AVV als Pflichtdokument

Bei der Nutzung externer KI-Dienste ist ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zwingend. Drittlandübermittlungen erfordern zusätzliche Garantien wie Standardvertragsklauseln.

Besondere Datenkategorien

Artikel 9 DSGVO schützt besondere Kategorien personenbezogener Daten in besonderem Maße. Dazu zählen Angaben zur Gesundheit, zur ethnischen Herkunft, zu religiösen oder weltanschaulichen Überzeugungen, zur Gewerkschaftszugehörigkeit, zum Sexualleben sowie biometrische und genetische Daten. Ihre Verarbeitung ist grundsätzlich verboten und nur in eng begrenzten Ausnahmefällen zulässig.

Beim Einsatz von KI ist hier besondere Vorsicht geboten. Sprachmodelle und Analysewerkzeuge können sensible Informationen unbeabsichtigt verarbeiten oder aus scheinbar harmlosen Daten ableiten. Unternehmen müssen sicherstellen, dass solche Daten nicht ohne tragfähige Rechtsgrundlage in KI-Systeme gelangen.

In Bereichen wie Arztpraxen, Personalwesen oder Sozialwirtschaft, in denen sensible Daten häufig anfallen, ist ein besonders strenger Maßstab anzulegen. Hier empfiehlt sich der Verzicht auf öffentliche KI-Dienste zugunsten geprüfter, datenschutzkonformer Lösungen mit klaren vertraglichen Garantien.

  • Gesundheits-, biometrische und genetische Daten unterliegen Artikel 9 DSGVO.
  • Verarbeitung grundsätzlich verboten, nur in engen Ausnahmefällen zulässig.
  • KI kann sensible Daten unbeabsichtigt verarbeiten oder ableiten.
  • In sensiblen Branchen: geprüfte, datenschutzkonforme Lösungen statt öffentlicher Tools.

Datenschutzkonforme Umsetzung

Eine datenschutzkonforme KI-Nutzung beginnt mit klaren internen Richtlinien. Diese sollten festlegen, welche KI-Systeme genutzt werden dürfen, welche Daten eingegeben werden dürfen und welche Eingaben untersagt sind. Insbesondere die Eingabe personenbezogener oder vertraulicher Daten in öffentliche KI-Dienste sollte ausdrücklich geregelt werden.

Bei risikoreichen Verarbeitungen ist eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO durchzuführen. Sie analysiert die Risiken für die betroffenen Personen und legt geeignete Schutzmaßnahmen fest. Für viele KI-gestützte Verarbeitungen mit erheblichen Auswirkungen ist eine solche Folgenabschätzung verpflichtend.

Den Schlüssel zur Umsetzung bildet die Schulung der Belegschaft. Nur wer die datenschutzrechtlichen Grundlagen kennt, kann KI verantwortungsvoll einsetzen. Die KI-Kompetenz-Pflicht aus Artikel 4 der KI-Verordnung und die Anforderungen der DSGVO ergänzen sich hier zu einem gemeinsamen Schulungsbedarf.

  • Klare interne Richtlinien zur zulässigen Datennutzung in KI-Systemen.
  • Datenschutz-Folgenabschätzung nach Artikel 35 bei risikoreichen Verarbeitungen.
  • Schulung als gemeinsame Antwort auf Artikel 4 KI-VO und DSGVO.
  • Regelmäßige Überprüfung von Richtlinien und Verträgen.
Häufige Fragen

Antworten auf die wichtigsten Fragen

Aus Wissen wird Rechtssicherheit

Setzen Sie die gesetzliche Pflicht aus Artikel 4 EU-KI-VO direkt um — mit einer dokumentierten Schulung in nur 60 Minuten.