DSGVO und KI: So setzen Sie Künstliche Intelligenz rechtssicher ein

KI-Chatbots, automatisierte Lead-Qualifizierung, personalisierte Inhalte – die Möglichkeiten sind beeindruckend. Aber mit jeder KI-Anwendung stellt sich die Frage: Ist das überhaupt erlaubt? Und wenn ja, was muss ich beachten?

Die kurze Antwort: Ja, Sie dürfen KI einsetzen. Aber Sie müssen einige Regeln beachten. In diesem Artikel erklären wir die wichtigsten Rechtsgrundlagen – verständlich, ohne Juristendeutsch.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für Ihre konkrete Situation empfehlen wir die Konsultation eines spezialisierten Anwalts.

Die zwei Regelwerke: DSGVO und EU AI Act

Für KI in Unternehmen sind zwei Regelwerke relevant:

1. Die DSGVO (seit 2018)

Die Datenschutz-Grundverordnung regelt, wie personenbezogene Daten verarbeitet werden dürfen. Sie gilt für jede KI-Anwendung, die mit Kundendaten arbeitet – also praktisch für alle geschäftlichen Anwendungen.

Kernprinzipien der DSGVO für KI:

• Zweckbindung: Daten dürfen nur für den angegebenen Zweck verarbeitet werden
• Datenminimierung: Nur so viele Daten erheben, wie wirklich nötig
• Transparenz: Nutzer müssen wissen, dass KI eingesetzt wird und wie ihre Daten verarbeitet werden
• Einwilligung: Für bestimmte Datenverarbeitungen brauchen Sie die aktive Zustimmung des Nutzers

2. Der EU AI Act (seit 2024, vollständig anwendbar ab 2026)

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Es klassifiziert KI-Systeme nach Risikoklassen und stellt je nach Klasse unterschiedliche Anforderungen.

Risikoklassen im Überblick:

| Risikoklasse | Beispiele | Anforderungen | |---|---|---| | Unannehmbares Risiko | Social Scoring, manipulative KI | Verboten | | Hohes Risiko | KI in Personalauswahl, Kreditvergabe | Strenge Auflagen, Zertifizierung | | Begrenztes Risiko | Chatbots, generative KI | Transparenzpflichten | | Minimales Risiko | Spamfilter, Empfehlungssysteme | Keine speziellen Auflagen |

Für die meisten Unternehmens-Chatbots und KI-Websites gilt: begrenztes Risiko. Das bedeutet vor allem Transparenzpflichten – Nutzer müssen wissen, dass sie mit einer KI interagieren.

DSGVO und Chatbots: Was Sie konkret beachten müssen

Ein KI-Chatbot auf Ihrer Website verarbeitet in der Regel personenbezogene Daten: zumindest die Chat-Eingaben, oft auch Namen, E-Mail-Adressen oder Telefonnummern. Hier sind die konkreten Pflichten:

1. Transparenzpflicht

Was: Nutzer müssen wissen, dass sie mit einer KI sprechen – nicht mit einem Menschen.

Wie: Ein deutlicher Hinweis beim Chatbot-Start, z. B.: "Sie sprechen mit unserem KI-Assistenten. Mehr Informationen finden Sie in unserem KI-Transparenzhinweis."

Tipp: Machen Sie es dezent, aber unmissverständlich. Ein kleines KI-Icon plus ein kurzer Satz reichen aus.

2. Datenschutzerklärung aktualisieren

Was: Ihre Datenschutzerklärung muss den Einsatz von KI dokumentieren: Welches System wird genutzt, welche Daten werden verarbeitet, wo werden sie gespeichert, wie lange werden sie aufbewahrt.

Wie: Ein eigener Abschnitt in der Datenschutzerklärung, z. B. "KI-Chatbot / Automatisierte Kommunikation". Wichtig: Nennen Sie den Anbieter und das Hosting-Land.

3. Rechtsgrundlage für die Datenverarbeitung

Was: Sie brauchen eine Rechtsgrundlage für die Verarbeitung der Chat-Daten.

Optionen:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragsanbahnung: Wenn der Chat zur Kontaktaufnahme oder Terminbuchung dient
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Wenn der Chat die Kundenkommunikation verbessert
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Wenn sensible Daten verarbeitet werden (z. B. Gesundheitsdaten bei Arztpraxen)

4. Auftragsverarbeitung (AVV)

Was: Wenn ein externer Dienstleister die KI betreibt (was fast immer der Fall ist), brauchen Sie einen Auftragsverarbeitungsvertrag.

Wie: Seriöse Anbieter bieten AVVs standardmäßig an. Prüfen Sie, ob der Anbieter Daten innerhalb der EU verarbeitet oder ob ein angemessenes Schutzniveau gewährleistet ist (z. B. durch Standardvertragsklauseln bei US-Anbietern).

5. Datenminimierung und Speicherdauer

Was: Speichern Sie Chat-Daten nicht länger als nötig. Definieren Sie klare Löschfristen.

Wie: Chat-Logs nach 30-90 Tagen automatisch löschen (sofern kein berechtigtes Aufbewahrungsinteresse besteht). Keine dauerhafte Speicherung von Gesprächsverläufen ohne Rechtsgrundlage.

6. Betroffenenrechte

Was: Nutzer haben das Recht auf Auskunft, Löschung und Widerspruch – auch für Chatbot-Daten.

Wie: Stellen Sie sicher, dass Sie auf Anfrage alle gespeicherten Chat-Daten eines Nutzers herausgeben oder löschen können. Ein Prozess dafür sollte vor dem Go-Live definiert sein.

EU AI Act: Die Transparenzpflichten im Detail

Für Chatbots und generative KI (Risikoklasse "begrenzt") schreibt der EU AI Act folgende Transparenzpflichten vor:

Kennzeichnungspflicht

Nutzer müssen informiert werden, dass sie mit einem KI-System interagieren. Die Kennzeichnung muss:

• Klar und verständlich sein (keine versteckten Fußnoten)
• Vor der Interaktion erfolgen (nicht erst nachher)
• Leicht wahrnehmbar sein (nicht in Grau auf Grau)

Kennzeichnung von KI-generierten Inhalten

Wenn Ihre KI Texte, Bilder oder andere Inhalte generiert, die als menschengemacht missverstanden werden könnten, müssen diese als KI-generiert gekennzeichnet werden.

Was Sie NICHT müssen

• Sie müssen nicht den Quellcode offenlegen
• Sie müssen nicht das KI-Modell im Detail erklären
• Sie müssen keine Zertifizierung durchlaufen (bei begrenztem Risiko)

7 Tipps für rechtssichere KI-Nutzung

Tipp 1: Privacy by Design

Denken Sie Datenschutz von Anfang an mit. Welche Daten erhebt der Chatbot wirklich? Brauchen Sie die E-Mail-Adresse sofort, oder erst wenn der Nutzer ein Angebot möchte? Je weniger Daten Sie erheben, desto einfacher ist die Compliance.

Tipp 2: EU-Hosting bevorzugen

Wenn möglich, wählen Sie Anbieter, die Daten innerhalb der EU verarbeiten. Das spart die Komplexität von Drittlandtransfers und Standardvertragsklauseln.

Tipp 3: Cookie-Consent beachten

Wenn Ihr Chatbot Cookies setzt (z. B. für Session-Management), muss dies im Cookie-Banner aufgeführt und die Zustimmung eingeholt werden – zumindest für nicht-essentielle Cookies.

Tipp 4: Regelmäßig überprüfen

KI-Modelle werden regelmäßig aktualisiert. Prüfen Sie mindestens halbjährlich, ob Ihre Datenschutzerklärung noch aktuell ist und ob die Datenverarbeitung noch Ihrem AVV entspricht.

Tipp 5: Consent-Logs führen

Dokumentieren Sie Einwilligungen. Wenn ein Nutzer der Datenverarbeitung zustimmt, speichern Sie Zeitpunkt, Text der Einwilligung und Kontext. Das schützt Sie im Streitfall.

Tipp 6: KI-Transparenzseite erstellen

Neben der Datenschutzerklärung empfehlen wir eine separate KI-Transparenzseite, die verständlich erklärt: Welche KI setzen wir ein? Wofür? Was passiert mit den Daten? Dies ist zwar (noch) nicht zwingend vorgeschrieben, zeigt aber Verantwortungsbewusstsein und schafft Vertrauen.

Tipp 7: Mitarbeiter schulen

Wenn Ihre Mitarbeiter KI-Tools nutzen (ChatGPT, Claude, etc.), stellen Sie klare Richtlinien auf: Keine Kundendaten in öffentliche KI-Tools eingeben. Keine vertraulichen Dokumente hochladen. Einfache Regeln, großer Effekt.

So machen wir das bei AI-Champion

DSGVO-Konformität ist bei uns kein Aufpreis, sondern Standard:

• EU-Hosting: Datenbanken in Frankfurt (Supabase EU)
• Transparenz: KI-Transparenzhinweis auf jeder Website
• Cookie-Consent: DSGVO-konformer Banner mit granularer Steuerung
• Consent-Logging: Jede Einwilligung wird mit Zeitstempel dokumentiert
• AVV: Auftragsverarbeitungsverträge mit allen Partnern
• Datensparsamkeit: Nur die Daten erheben, die wirklich gebraucht werden

Nächste Schritte

Sie möchten KI in Ihrem Unternehmen einsetzen und sicherstellen, dass alles rechtskonform ist? Wir beraten Sie gerne – nicht als Anwälte, aber als Experten für die technische Umsetzung DSGVO-konformer KI-Lösungen.

Vereinbaren Sie ein kostenfreies Erstgespräch. Wir schauen uns Ihre Situation an und zeigen Ihnen, wie Sie KI rechtssicher und profitabel einsetzen können.