DSGVO-Grundlagen für KI-Nutzer
Die wichtigsten DSGVO-Prinzipien für den KI-Alltag — ohne Juristen-Deutsch.
Die 6 DSGVO-Grundsätze — praktisch erklärt
Die DSGVO hat sechs Grundsätze. Klingt trocken — aber für deinen KI-Alltag sind sie überraschend relevant.
1. Rechtmäßigkeit, Transparenz
Was es bedeutet: Du brauchst eine Rechtsgrundlage, um personenbezogene Daten zu verarbeiten. Und die Betroffenen müssen wissen, was mit ihren Daten passiert.
Im KI-Alltag: Wenn du Kundendaten in ein KI-Tool eingibst, verarbeitest du diese Daten. Dafür brauchst du eine Grundlage — und der Kunde muss darüber informiert sein.
2. Zweckbindung
Was es bedeutet: Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden.
Im KI-Alltag: Kundendaten, die für die Auftragsabwicklung erhoben wurden, darfst du nicht einfach in ein KI-Tool zur Marktanalyse einspeisen.
3. Datenminimierung
Was es bedeutet: Nur so viele Daten verarbeiten, wie für den Zweck nötig.
Im KI-Alltag: Du brauchst eine E-Mail-Vorlage? Dann braucht die KI den Namen des Kunden — aber nicht seine Adresse, Bestellhistorie und Geburtsdatum.
4. Richtigkeit
Was es bedeutet: Daten müssen korrekt und aktuell sein.
Im KI-Alltag: KI-Tools können „halluzinieren" — falsche Informationen als Fakten präsentieren. Wenn du KI-Outputs als Basis für Entscheidungen nutzt, prüfe die Daten.
5. Speicherbegrenzung
Was es bedeutet: Daten nicht länger speichern als nötig.
Im KI-Alltag: Lösche Chat-Verläufe in KI-Tools, wenn du sie nicht mehr brauchst. Prüfe, ob der Anbieter Daten automatisch löscht.
6. Integrität und Vertraulichkeit
Was es bedeutet: Daten müssen angemessen geschützt werden.
Im KI-Alltag: Nutzt du ein KI-Tool im offenen WLAN im Café? Dann sind die Daten unterwegs nicht sicher.
✅ Quick Check: Du willst eine Kundenliste in ein KI-Tool eingeben, um Muster zu erkennen. Welche DSGVO-Grundsätze sind hier relevant?
(Antwort: Mindestens drei — Zweckbindung (darf ich die Daten für diesen Zweck nutzen?), Datenminimierung (brauche ich wirklich alle Felder?) und Integrität (ist das Tool sicher?). Richtige Antwort: Vorher anonymisieren.)
Rechtsgrundlagen: Wann darf ich Daten in KI eingeben?
| Rechtsgrundlage | Beispiel | Praxis |
|---|---|---|
| Einwilligung (Art. 6 Abs. 1a) | Kunde stimmt ausdrücklich zu | Selten praktikabel für KI-Nutzung |
| Vertragserfüllung (Art. 6 Abs. 1b) | Daten für Auftragsbearbeitung nötig | Nur wenn KI direkt dem Vertragszweck dient |
| Berechtigtes Interesse (Art. 6 Abs. 1f) | Effizienzsteigerung durch KI | Häufigste Grundlage — aber Interessenabwägung nötig |
In der Praxis: Für die meisten KI-Anwendungen im Büro gilt „berechtigtes Interesse" — aber du musst abwägen, ob das Interesse des Unternehmens (Effizienz) schwerer wiegt als das Recht der Betroffenen (Datenschutz). Im Zweifel: Anonymisieren.
Der Auftragsverarbeitungsvertrag (AVV)
Wenn ein KI-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet, brauchst du einen AVV (Art. 28 DSGVO).
Was im AVV stehen muss:
- Welche Daten verarbeitet werden
- Zu welchem Zweck
- Wie lange
- Welche Sicherheitsmaßnahmen der Anbieter trifft
- Ob Unterauftragnehmer beteiligt sind
- Ob Daten in Drittländer (z.B. USA) übertragen werden
Praxis: Die meisten großen KI-Anbieter (OpenAI, Anthropic, Google) bieten Standard-AVVs für Business-Kunden. Aber: Kostenlose Accounts haben oft keinen AVV — ein Risiko, das viele Unternehmen übersehen.
Der EU AI Act — Was du wissen musst
Der EU AI Act ist seit 2024 in Kraft und wird stufenweise umgesetzt:
| Zeitlinie | Was passiert |
|---|---|
| Feb 2025 | Verbotene KI-Praktiken gelten (Social Scoring, Emotionserkennung am Arbeitsplatz) |
| Aug 2025 | Pflichten für Allzweck-KI-Modelle (GPT-4, Claude, Gemini) |
| Aug 2026 | Volle Anwendung — auch für Hochrisiko-KI-Systeme |
Für deinen Alltag relevant: Wenn du KI-Systeme in Bereichen wie HR, Personalauswahl, Kreditwürdigkeit oder Bildung einsetzt, gelten besondere Pflichten. Für allgemeine Büro-KI (Texte schreiben, E-Mails, Zusammenfassungen) sind die Anforderungen geringer.
Wer ist verantwortlich?
| Rolle | Verantwortung |
|---|---|
| Du als Nutzer | Datenminimierung, keine personenbezogenen Daten ohne Grundlage eingeben |
| Dein Unternehmen | AVV abschließen, Richtlinien erstellen, Mitarbeiter schulen |
| Der KI-Anbieter | Technische Sicherheit, Datenverarbeitung gemäß AVV |
| Der Datenschutzbeauftragte | Beratung, Überwachung, Kontakt zur Aufsichtsbehörde |
Wichtig: „Ich wusste nicht, dass das nicht erlaubt ist" schützt weder dich noch dein Unternehmen.
Wichtigste Erkenntnisse
- 6 DSGVO-Grundsätze gelten auch für KI — Datenminimierung und Zweckbindung sind im Alltag am relevantesten
- Rechtsgrundlage nötig — meistens „berechtigtes Interesse", aber Abwägung erforderlich
- AVV ist Pflicht bei geschäftlicher Nutzung von KI-Cloud-Diensten
- EU AI Act bringt ab 2026 zusätzliche Pflichten — besonders für Hochrisiko-Bereiche
- Verantwortung verteilt sich — du trägst als Nutzer einen Teil
- Im Zweifel anonymisieren — das löst die meisten Datenschutz-Probleme
Nächste Lektion
Lektion 3 zeigt dir konkret, wie du die großen KI-Anbieter datenschutzkonform einsetzen kannst — mit den richtigen Einstellungen und Abos.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!