AI Datenschutz DSGVO 11. April 2026 · 13 Min. Lesezeit

Künstliche Intelligenz und Datenschutz: Wie KMUs AI rechtssicher einsetzen

DSGVO & KI für Unternehmen: Art. 22 automatisierte Entscheidungen, Datenschutz-Folgenabschätzung für KI-Systeme und praktische Checkliste für KMUs.

Redaktion RechtAI · Fachlich geprüft

Juristen & Compliance-Experten, spezialisiert auf DSGVO und EU AI Act

Zuletzt geprüft am: 2026-04-11 | Quellen: eur-lex.europa.eu, gesetze-im-internet.de

TL;DR – Das Wichtigste auf einen Blick

Die DSGVO (Verordnung (EU) 2016/679) gilt vollständig für alle KI-Systeme, die personenbezogene Daten verarbeiten — es gibt keine KI-Ausnahmen.
Art. 22 DSGVO schützt Betroffene vor rein automatisierten Entscheidungen mit erheblicher Auswirkung und verpflichtet Unternehmen zur Einrichtung menschlicher Kontrollmechanismen.
Für KI-Systeme mit hohem Risiko ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO verpflichtend — und zwar vor dem Einsatz.
Verstöße können Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes nach sich ziehen (Art. 83 Abs. 5 DSGVO).
KMUs können mit klarer Checkliste und strukturierter Dokumentation die wichtigsten DSGVO-Anforderungen für KI pragmatisch und ohne eigene Rechtsabteilung umsetzen.

Warum DSGVO und KI zusammengehören

Viele Unternehmen trennen gedanklich ihr Datenschutz-Thema (DSGVO-Compliance, Verarbeitungsverzeichnis, Datenschutzbeauftragte) von ihren KI-Projekten. Diese Trennung ist ein Irrtum — und ein teurer.

Die DSGVO schützt personenbezogene Daten — also alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). KI-Systeme, die mit Mitarbeiterdaten, Kundendaten, Bewerberdaten oder auch nur mit scheinbar anonymisierten Datensätzen trainiert werden, arbeiten fast immer mit personenbezogenen Daten — zumindest in einer Phase des Prozesses.

Das bedeutet: Wenn dein Unternehmen KI einsetzt, die irgendwo Daten von Menschen verarbeitet, bist du schon mitten im DSGVO-Terrain. Das gilt für:

KI-Chatbots im Kundenservice (verarbeiten Kundennachrichten und -daten)
KI-gestützte HR-Tools (verarbeiten Bewerberdaten, Mitarbeiterleistung)
Marketing-Automatisierung mit KI (Profiling, Kundensegmentierung)
Fraud-Detection-Systeme (analysieren Nutzer- und Transaktionsverhalten)
Kreditscoring oder Bonitätsprüfung per Algorithmus
KI-Sprachassistenten für interne Prozesse (verarbeiten Mitarbeiterkommunikation)

Der EU AI Act regelt, welche KI-Systeme unter welchen Bedingungen eingesetzt werden dürfen — die DSGVO regelt, wie Daten von Menschen dabei behandelt werden müssen. Beide Regelwerke gelten gleichzeitig und ergänzen sich. Eine Einführung in den EU AI Act findest du in unserem EU AI Act Compliance Leitfaden für Unternehmen.

Die DSGVO-Grundprinzipien und was sie für KI bedeuten

Art. 5 DSGVO definiert sieben Grundsätze für jede Verarbeitung personenbezogener Daten — diese gelten für KI-Systeme genauso wie für klassische Datenbanken.

1. Zweckbindung — KI darf Daten nicht zweckfremd nutzen

Ein Datensatz, der für den Kundenservice gesammelt wurde, darf nicht ohne Weiteres für das Training eines Marketing-KI-Modells genutzt werden. Der Verarbeitungszweck muss spezifisch, eindeutig und legitim sein. In der Praxis bedeutet das: Wenn ihr ein KI-Modell auf Kundendaten trainiert, muss dieser Zweck explizit von Anfang an festgelegt und kommuniziert worden sein — nicht nachträglich ergänzt. Die Zweckkompatibilität ist nach Art. 6 Abs. 4 DSGVO in jedem Fall zu prüfen.

2. Datenminimierung — KI braucht nur die Daten, die sie wirklich braucht

Je mehr Daten ein KI-Modell bekommt, desto besser die Ergebnisse — so die technische Logik. Die DSGVO setzt hier einen Gegenpol: Nur die Daten verarbeiten, die für den konkreten Zweck tatsächlich erforderlich sind. In der Praxis bedeutet das: Beim Feature-Engineering vor dem KI-Training prüfen, welche personenbezogenen Merkmale wirklich notwendig sind und welche weggelassen werden können.

3. Richtigkeit und Rechenschaftspflicht

KI-Modelle, die auf falschen oder veralteten Daten trainiert wurden, treffen fehlerhafte Entscheidungen. Das ist nicht nur ein technisches Problem, sondern ein DSGVO-Problem: Betroffene haben das Recht auf Korrektur unrichtiger Daten (Art. 16 DSGVO). Wenn ein KI-System auf einem veralteten Datenpunkt basiert, muss dieser korrigierbar und die Auswirkung auf KI-Entscheidungen nachvollziehbar sein.

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bedeutet: Ihr müsst beweisen können, dass ihr die Grundsätze einhält — nicht nur behaupten. Dokumentation ist keine Bürokratie, sondern eure Verteidigung im Ernstfall.

Artikel 22 DSGVO: Das Recht auf menschliche Entscheidung

Einer der zentralsten und am häufigsten übersehenen Datenschutzartikel im KI-Kontext ist Art. 22 DSGVO (Volltext):

“Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.”

Wann greift Art. 22 DSGVO?

Art. 22 greift, wenn drei Bedingungen gleichzeitig erfüllt sind:

Die Entscheidung basiert ausschließlich auf automatisierter Verarbeitung (kein Mensch war sinngebend beteiligt)
Es handelt sich um Profiling oder eine sonstige automatisierte Auswertung
Die Entscheidung hat rechtliche Wirkung oder erhebliche Beeinträchtigung für die betroffene Person

Praxisbeispiele, bei denen Art. 22 DSGVO greift:

Automatische Ablehnung eines Kreditantrags durch einen Scoring-Algorithmus
KI-gestütztes Bewerber-Screening, das ohne menschliche Prüfung Kandidaten aussortiert
Automatische Kündigung eines Versicherungsvertrags durch ein Risikomodell
Algorithmusbasierte Preisgestaltung, die einzelne Kundengruppen systematisch benachteiligt
KI-Empfehlung zu Personalentscheidungen (Beförderung, Kündigung), die ungeprüft übernommen wird

Die drei Ausnahmen nach Art. 22 Abs. 2 DSGVO

Automatisierte Entscheidungen sind in bestimmten Fällen dennoch erlaubt, wenn (Art. 22 Abs. 2 DSGVO):

(a) sie für den Abschluss oder die Erfüllung eines Vertrags mit der betroffenen Person notwendig sind,
(b) sie durch Unionsrecht oder nationales Recht ausdrücklich erlaubt sind (z.B. bestimmte Verfahren zur Geldwäscheprävention), oder
(c) die betroffene Person ausdrücklich eingewilligt hat.

Wichtig: Selbst bei Ausnahmen (a) und (c) verlangt Art. 22 Abs. 3 DSGVO, dass Unternehmen sicherstellen, dass die betroffene Person:

das Recht hat, eine menschliche Überprüfung der Entscheidung zu verlangen,
ihren eigenen Standpunkt darlegen kann, und
die Entscheidung anfechten kann.

Was das für KMUs konkret bedeutet

Wenn euer KI-System eine relevante Entscheidung über eine Person trifft (z.B. Kreditlimit, Einstellungsempfehlung, Preisangebot), muss es einen menschlichen Review-Prozess geben — nicht als theoretische Möglichkeit auf Seite 12 der AGB, sondern als aktiv angebotene und leicht erreichbare Funktion. Ein verstecktes Widerspruchsformular, das kaum jemand findet, erfüllt diese Pflicht nicht.

Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Art. 35 DSGVO verpflichtet Unternehmen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) bei Verarbeitungen, die voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen bedeuten.

Wann ist eine DSFA bei KI verpflichtend?

Art. 35 Abs. 3 DSGVO nennt drei Fallgruppen, bei denen eine DSFA in jedem Fall durchzuführen ist:

Systematische und umfangreiche Auswertung persönlicher Aspekte durch automatisierte Verarbeitung einschließlich Profiling, auf deren Basis Entscheidungen mit erheblichen Auswirkungen getroffen werden — das trifft auf die meisten Profiling-basierten KI-Systeme zu.
Umfangreiche Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten, biometrische Daten oder politische Überzeugungen nach Art. 9 DSGVO.
Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche — z.B. Videoüberwachung mit KI-gestützter Gesichtserkennung.

Die deutschen Datenschutzaufsichtsbehörden (DSK) haben ergänzende Listen mit konkreten Verarbeitungsarten veröffentlicht, für die eine DSFA obligatorisch ist — darunter explizit KI-basiertes Profiling und KI-gestützte Scoring-Systeme.

Was eine DSFA für KI enthalten muss

Nach Art. 35 Abs. 7 DSGVO muss eine DSFA mindestens vier Elemente umfassen:

Systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, einschließlich der genutzten KI-Technologie und Trainingsdaten
Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum angestrebten Zweck
Bewertung der Risiken für Rechte und Freiheiten der Betroffenen, inkl. Risiko von Diskriminierung durch Bias im Modell
Geplante Abhilfemaßnahmen zur Bewältigung der identifizierten Risiken, inkl. technischer und organisatorischer Schutzmaßnahmen

Zeitpunkt ist entscheidend: Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden — nicht als nachträgliche Dokumentation einer bereits laufenden KI-Anwendung. Dies ist einer der häufigsten und kostspieligsten Fehler in der Praxis.

Besondere Risikofaktoren bei KI in der DSFA

Bei KI-Systemen gibt es spezifische Risikofaktoren, die in der DSFA adressiert werden müssen:

Bias und Diskriminierung: Können das Modell oder die Trainingsdaten bestimmte demografische Gruppen systematisch benachteiligen?
Erklärbarkeit (Explainability): Können Entscheidungen des KI-Systems nachvollzogen und erklärt werden? Besonders kritisch bei Hochrisiko-Entscheidungen.
Datendrift: Verändert sich das Modellverhalten bei geänderter Datenlage im Zeitverlauf und wer erkennt das?
Modell-Inversion und Membership Inference: Können aus dem Modell durch gezielte Angriffe Rückschlüsse auf Trainingsdaten gezogen werden?

Privacy by Design: KI-Systeme datenschutzfreundlich gestalten

Art. 25 DSGVO verlangt Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default). Für KI-Systeme bedeutet das in der Praxis:

Anonymisierung und Pseudonymisierung vor dem Training, wo möglich: Wenn das Modell keine direkten Personenbezüge benötigt, anonymisiere die Trainingsdaten.
Datensparsamkeit im Feature-Engineering: Nur die Merkmale verwenden, die für die konkrete KI-Aufgabe nachweislich notwendig sind.
Zugriffskontrolle: Nur Mitarbeiter mit legitimem, dokumentiertem Bedarf dürfen auf Trainingsdaten und Modelloutputs zugreifen.
Audit-Logs: Alle Entscheidungen des KI-Systems protokollieren, sodass eine spätere Überprüfung möglich ist — besonders wichtig für Art. 22-relevante Entscheidungen.
Retention-Policies für Modelle: Auch KI-Modelle und ihre Trainingsdaten unterliegen Löschpflichten. Wann und wie werden Modelle gelöscht oder retrained?

Praktische Checkliste: DSGVO-konforme KI in KMUs

Hier ist eine schrittweise Checkliste, die KMUs ohne eigene Rechtsabteilung durch die wichtigsten DSGVO-Anforderungen für den KI-Einsatz führt.

Phase 1: Vor dem KI-Einsatz (Pflicht)

Rechtsgrundlage festlegen (Art. 6 DSGVO): Auf welcher Basis werden personenbezogene Daten verarbeitet? Einwilligung, Vertragserfüllung oder berechtigtes Interesse?
DSFA durchführen bei hohem Risiko (Art. 35 DSGVO) — vor dem Start, nicht danach
Zweck dokumentieren: Was soll das KI-System entscheiden oder empfehlen? Ist dieser Zweck kompatibel mit dem ursprünglichen Erhebungszweck der genutzten Daten?
Art. 22 DSGVO prüfen: Trifft das System Entscheidungen mit erheblicher Auswirkung auf Personen? Wenn ja: Widerspruchsrecht und menschlichen Review-Prozess implementieren.
Informationspflichten erfüllen (Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO): Betroffene müssen über KI-gestützte Entscheidungen informiert werden — inklusive Logik, Tragweite und Auswirkungen.
AVV mit KI-Dienstleistern abschließen (Art. 28 DSGVO): Gilt auch für ChatGPT API, Azure OpenAI, AWS Bedrock und alle anderen KI-Dienste, an die Personendaten übermittelt werden.
Drittlandtransfers prüfen: Werden Daten zur KI-Verarbeitung in Länder außerhalb der EU übermittelt? Falls ja: Standardvertragsklauseln (SCC) oder Angemessenheitsbeschluss notwendig.

Phase 2: Laufender Betrieb

Verarbeitungsverzeichnis aktuell halten (Art. 30 DSGVO): KI-Systeme als eigene Verarbeitungstätigkeiten eintragen und regelmäßig aktualisieren.
Betroffenenrechte operationalisieren: Auskunft (Art. 15), Löschung (Art. 17) und Widerspruch (Art. 21) müssen technisch und organisatorisch umgesetzt sein — auch bei KI-gestützten Prozessen.
Modell-Monitoring einrichten: Kontrolliert das Modell im Zeitverlauf auf Diskriminierungsmuster (Fairness-Checks) und unerwartetes Verhalten bei geänderter Datenlage.
Datenschutzverletzungen erkennen und melden: Ein Vorfall, bei dem das KI-System unbeabsichtigt Personendaten preisgibt, ist meldepflichtig nach Art. 33 DSGVO — innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde.

Phase 3: Dokumentation

DSFA-Dokumentation dauerhaft aufbewahren und bei wesentlichen Änderungen am KI-System wiederholen.
Verarbeitungsverzeichnis quartalsweise prüfen und aktualisieren.
Schulungsnachweise für Mitarbeiter, die KI-Outputs prüfen oder Betroffenen gegenüber Auskunft erteilen.

Häufige DSGVO-Fehler beim KI-Einsatz in KMUs

Fehler 1: “Unser KI-Anbieter ist DSGVO-konform — wir sind es automatisch auch”

Falsch. Ein AVV mit OpenAI oder Microsoft deckt nur die Auftragsverarbeitung ab — also wie der Anbieter eure Daten behandelt. Wie ihr die KI einsetzt, für welche Zwecke und mit welchen Entscheidungsfolgen, liegt vollständig in eurer Verantwortung als Verantwortlicher nach Art. 4 Nr. 7 DSGVO.

Fehler 2: DSFA nachträglich erstellen

Die DSFA muss vor Beginn der Verarbeitung stehen. Eine nachträgliche DSFA ist formal unzureichend und schützt nicht vor Bußgeldern, wenn die Aufsichtsbehörde nachfragt.

Fehler 3: Art. 22 ignorieren, weil “doch immer ein Mensch die letzte Entscheidung trifft”

Art. 22 DSGVO greift bereits, wenn der Mensch die KI-Empfehlung faktisch immer ohne eigenständige Prüfung übernimmt — selbst wenn formal eine menschliche Unterschrift steht. Wenn HR-Mitarbeiter KI-Ablehnungen grundsätzlich ohne Prüfung bestätigen, ist das rechtlich eine automatisierte Entscheidung.

Fehler 4: Kein AVV mit dem KI-Anbieter

Wer personenbezogene Daten an einen KI-Dienst übergibt (z.B. Kundendaten in einem Prompt an die ChatGPT API), muss einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO haben. Ohne AVV droht ein Bußgeld — unabhängig davon, wie sicher der Anbieter tatsächlich ist.

Fehler 5: KI-Einsatz nicht in der Datenschutzerklärung kommunizieren

Wenn ein KI-System Profiling betreibt oder relevante Entscheidungen trifft, muss das in der Datenschutzerklärung transparent beschrieben sein — inklusive Logik, Tragweite und erwarteter Auswirkungen (Art. 13 Abs. 2 lit. f DSGVO). Viele Datenschutzerklärungen aus dem Jahr 2022 nennen KI schlicht nicht — das ist 2026 ein Compliance-Risiko.

DSGVO und EU AI Act: Wie beide Regelwerke zusammenwirken

Wer KI DSGVO-konform einsetzt, hat bereits viele Grundlagen für den EU AI Act gelegt — aber die beiden Regelwerke sind nicht deckungsgleich.

Thema	DSGVO	EU AI Act
Risikofolgenabschätzung	DSFA nach Art. 35 DSGVO	Konformitätsbewertung für Hochrisiko-KI
Transparenz	Informationspflichten Art. 13/14	Transparenz-Anforderungen für KI-Systeme
Menschliche Kontrolle	Art. 22 DSGVO (automatisierte Entscheidungen)	Human-in-the-Loop für Hochrisiko-KI
Dokumentation	Verarbeitungsverzeichnis Art. 30	Technische Dokumentation, internes KI-Register
Bußgeld (max.)	20 Mio. € / 4 % Jahresumsatz (Art. 83 Abs. 5)	35 Mio. € / 7 % Jahresumsatz (Art. 99 EU AI Act)

Wer seine DSGVO-Hausaufgaben gemacht hat, hat einen klaren Vorsprung für den EU AI Act — und wer umgekehrt die EU AI Act-Compliance aufbaut, kommt automatisch der DSGVO-Konformität näher. Beide Regelwerke lassen sich gut in einem einzigen KI-Compliance-Projekt angehen. Eine vollständige Schritt-für-Schritt-Anleitung zum EU AI Act findest du in unserem EU AI Act Compliance Leitfaden. Für den speziellen Fall KI im HR-Bereich lies unseren Artikel DSGVO & KI im Recruiting.

FAQ: KI und DSGVO für KMUs

1. Muss ich eine DSFA durchführen, wenn ich nur ChatGPT für Texterstellung nutze?

Wenn ihr mit der ChatGPT API personenbezogene Daten (z.B. Kundennamen, E-Mail-Adressen) an OpenAI übermittelt, braucht ihr in jedem Fall einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Eine DSFA ist zusätzlich notwendig, wenn systematisches Profiling stattfindet oder ein hohes Risiko für Betroffene besteht. Für reine Texterstellung ohne Personendaten ist die DSFA in der Regel nicht Pflicht — der AVV aber schon.

2. Gilt Art. 22 DSGVO auch bei rein interner KI-Nutzung?

Ja. Art. 22 gilt für alle Entscheidungen, die Betroffene erheblich beeinflussen — und Mitarbeiter sind ebenfalls Betroffene. Wenn KI Entscheidungen über Mitarbeiter trifft (Leistungsbewertung, Schichtplanung, Kündigungsempfehlung), greift Art. 22 DSGVO. In Deutschland gilt zusätzlich § 26 BDSG, der besondere Anforderungen an die Verarbeitung von Beschäftigtendaten stellt.

3. Dürfen wir KI-Modelle mit Kundendaten trainieren?

Nur wenn der Zweck “KI-Training” bereits beim ursprünglichen Erheben der Daten transparent kommuniziert wurde oder eine neue, spezifische Einwilligung eingeholt wurde. Altdaten, die für andere Zwecke gesammelt wurden, dürfen nicht ohne Weiteres für KI-Training genutzt werden. Die Zweckkompatibilität ist nach Art. 6 Abs. 4 DSGVO zu prüfen.

4. Was ist ein AVV und wann ist er Pflicht?

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist ein Vertrag zwischen euch als Verantwortlichem und dem KI-Dienstleister als Auftragsverarbeiter. Er regelt, wie der Anbieter eure Daten verarbeiten darf und welche technischen und organisatorischen Maßnahmen er einhält. Ihr braucht ihn immer dann, wenn ihr personenbezogene Daten an einen externen Dienstleister übergebt — also auch bei jeder KI-API-Anbindung.

5. Was passiert bei einem Datenschutzverstoß durch ein KI-System?

Datenschutzverletzungen durch KI-Systeme — z.B. unbeabsichtigte Offenlegung von Personendaten — müssen unter Umständen innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden (Art. 33 DSGVO). Bußgelder für schwerwiegende Verstöße gegen Art. 5, Art. 22 oder Art. 35 DSGVO können bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes betragen (Art. 83 Abs. 5 DSGVO).

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für individuelle DSGVO-Compliance-Fragen beim KI-Einsatz empfehlen wir die Konsultation eines auf Datenschutzrecht oder IT-Recht spezialisierten Rechtsanwalts oder eures betrieblichen Datenschutzbeauftragten.