Künstliche Intelligenz im Unternehmen einzusetzen und dabei den Datenschutz zu wahren, schließt sich nicht aus — es erfordert aber bewusste Entscheidungen. Sobald eine KI personenbezogene Daten verarbeitet (Kundennamen, E-Mails, Bewerbungen, Verträge), greift die DSGVO genauso wie bei jeder anderen Software. Dieser Ratgeber fasst zusammen, worauf es 2026 in der Praxis ankommt.

Hinweis: Dieser Beitrag bietet eine fachliche Orientierung, ersetzt aber keine individuelle Rechtsberatung. Für rechtsverbindliche Bewertungen ziehen Sie bitte Datenschutzbeauftragte oder eine Kanzlei hinzu.

1. Brauchen Sie überhaupt personenbezogene Daten?

Der wirksamste Datenschutz ist Datensparsamkeit. Bevor Sie eine KI-Anwendung aufsetzen, prüfen Sie, ob personenbezogene Daten überhaupt nötig sind. Oft lässt sich ein Anwendungsfall mit anonymisierten oder pseudonymisierten Daten lösen — etwa indem Namen vor der Verarbeitung entfernt oder durch Platzhalter ersetzt werden. Was nicht verarbeitet wird, muss auch nicht abgesichert werden.

2. Rechtsgrundlage und Zweckbindung klären

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO — meist berechtigtes Interesse, Vertragserfüllung oder Einwilligung. Entscheidend ist die Zweckbindung: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres in ein KI-System fließen, das sie zu einem anderen Zweck nutzt. Wer KI einführt, sollte das Verarbeitungsverzeichnis aktualisieren und prüfen, ob die bestehende Rechtsgrundlage trägt.

3. Auftragsverarbeitung mit dem KI-Anbieter

Nutzen Sie einen externen KI-Dienst, wird dieser in der Regel zum Auftragsverarbeiter. Dafür ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Achten Sie darauf, welche Subunternehmer der Anbieter einsetzt und in welchen Ländern verarbeitet wird. Werden Daten in die USA oder andere Drittländer übertragen, müssen geeignete Garantien vorliegen — etwa ein gültiger Angemessenheitsbeschluss oder Standardvertragsklauseln.

4. EU-Hosting und Datenresidenz

Der einfachste Weg, Drittlandübermittlungen zu vermeiden, ist die Verarbeitung innerhalb der EU. Viele führende KI-Modelle lassen sich heute über EU-Rechenzentren oder auf eigener Infrastruktur betreiben. Für sensible Branchen — Gesundheit, Recht, Finanzen, öffentliche Hand — ist das oft die belastbarste Lösung. Bei MPS Consulting richten wir Corporate-LLM-Workspaces mit EU-Hosting ein, auf Wunsch vollständig auf Ihrer eigenen Infrastruktur in Deutschland.

5. Kein Training mit Ihren Daten

Ein häufig übersehener Punkt: Manche KI-Dienste nutzen Eingaben standardmäßig zur Weiterentwicklung ihrer Modelle. Für den Unternehmenseinsatz ist das in der Regel auszuschließen. Achten Sie auf vertraglich zugesicherte Trainingsausschlüsse und auf Geschäfts- bzw. Enterprise-Konditionen, bei denen Ein- und Ausgaben nicht zum Modelltraining verwendet werden. Dieser Punkt gehört explizit in die Anbieterauswahl.

6. Zugriffskontrolle, Protokollierung und Löschung

Datenschutz endet nicht beim Anbietervertrag. Innerhalb Ihres Unternehmens gelten dieselben Grundsätze wie bei jedem System:

  • Zugriffsrechte: Nur befugte Personen sehen sensible Inhalte; Rollen und Berechtigungen sind sauber vergeben.
  • Protokollierung: Audit-Logs machen nachvollziehbar, wer wann was verarbeitet hat.
  • Löschkonzept: Eingaben und Ergebnisse werden nach definierten Fristen gelöscht, Betroffenenrechte (Auskunft, Löschung) lassen sich umsetzen.

7. Der EU AI Act kommt hinzu

Seit 2024 gilt der EU AI Act, dessen Pflichten 2025 und 2026 schrittweise wirksam werden. Er ergänzt die DSGVO um eine risikobasierte Sicht auf KI-Systeme: Je nach Einsatzzweck gelten unterschiedliche Anforderungen, von Transparenzpflichten bis zu strengen Auflagen für Hochrisiko-Anwendungen. Für die meisten Mittelstandsanwendungen (Textassistenz, Wissenssuche, Automatisierung interner Abläufe) sind die Pflichten überschaubar — wichtig ist, die eigene Anwendung früh richtig einzuordnen, statt nachträglich nachzubessern.

Datenschutz als Wettbewerbsvorteil

DSGVO-Konformität wird oft als Bremse wahrgenommen. In der Praxis ist sie ein Vertrauensargument: Wer KI auf EU-Infrastruktur, mit klaren Verträgen und sauberer Zugriffskontrolle betreibt, kann das gegenüber Kunden und Partnern offen kommunizieren. Datenschutz und produktive KI-Nutzung sind kein Widerspruch — sie sind eine Frage der richtigen Architektur von Anfang an.