DSGVO-Grundlagen fuer KI-Einsatz
Lerne die DSGVO-Prinzipien, die beim KI-Einsatz relevant sind — Rechtsgrundlagen, Datenminimierung und Betroffenenrechte.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
Die DSGVO hat 99 Artikel — aber fuer den KI-Einsatz sind nur eine Handvoll wirklich relevant. In dieser Lektion lernst du die Grundprinzipien, die du kennen musst, bevor du KI-Tools im Unternehmen einsetzt.
Die 6 DSGVO-Prinzipien im KI-Kontext
Die DSGVO basiert auf sechs Grundprinzipien (Art. 5). Jedes davon hat Auswirkungen auf den KI-Einsatz:
| Prinzip | Bedeutung | KI-Relevanz |
|---|---|---|
| Rechtmaessigkeit | Es braucht eine Rechtsgrundlage | Welche Rechtsgrundlage fuer KI-Nutzung? |
| Zweckbindung | Daten nur fuer den angegebenen Zweck | KI-Anbieter darf Daten nicht fuer Training nutzen |
| Datenminimierung | Nur noetige Daten verarbeiten | Personenbezogene Daten vor KI-Eingabe entfernen |
| Richtigkeit | Daten muessen korrekt sein | KI-Output pruefen — Halluzinationen sind ein Risiko |
| Speicherbegrenzung | Nicht laenger als noetig speichern | Wie lange speichert der KI-Anbieter? |
| Integritaet/Vertraulichkeit | Technische Sicherheit | Verschluesselung, Zugriffskontrollen |
✅ Quick Check: Weisst du, welche Rechtsgrundlage dein Unternehmen fuer den KI-Einsatz hat? Wenn nicht, ist das die erste Baustelle.
Rechtsgrundlagen: Wann darfst du KI nutzen?
Art. 6 DSGVO listet sechs moegliche Rechtsgrundlagen. Fuer den KI-Einsatz kommen drei in Frage:
1. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)
Die haeufigste Rechtsgrundlage fuer den KI-Einsatz im Unternehmen. Voraussetzung: Eine Interessenabwaegung, die dokumentiert ist.
Wann passt es: KI fuer interne Prozesse (Zusammenfassungen, Uebersetzungen, Code-Analyse), wenn keine besonderen Kategorien personenbezogener Daten verarbeitet werden.
Wann nicht: Bei sensiblen Daten (Gesundheit, Religion, politische Meinung) oder bei Profiling mit erheblichen Auswirkungen.
2. Vertragsdurchfuehrung (Art. 6 Abs. 1 lit. b)
Wenn die KI-Verarbeitung zur Erfuellung eines Vertrags noetig ist.
Wann passt es: Kundenanfragen mit KI beantworten, Vertragsanalyse, Angebotsoptimierung.
3. Einwilligung (Art. 6 Abs. 1 lit. a)
Der Betroffene stimmt der Verarbeitung ausdruecklich zu.
Wann passt es: Wenn keine andere Rechtsgrundlage greift. Achtung: Die Einwilligung muss freiwillig, informiert und jederzeit widerrufbar sein.
Art. 22: Automatisierte Einzelentscheidungen
Ein Artikel, den viele uebersehen — und der bei KI zentral ist:
Art. 22 DSGVO verbietet Entscheidungen, die ausschliesslich auf automatisierter Verarbeitung beruhen und rechtliche oder aehnlich erhebliche Wirkung haben.
| Erlaubt | Verboten |
|---|---|
| KI schlaegt Bewerber vor, Mensch entscheidet | KI sortiert Bewerber automatisch aus |
| KI bewertet Kreditwuerdigkeit, Berater entscheidet | KI lehnt Kredit automatisch ab |
| KI priorisiert Support-Tickets | KI beendet Kundenbeziehung automatisch |
Faustregel: KI darf empfehlen, aber ein Mensch muss die finale Entscheidung treffen — zumindest bei Entscheidungen mit erheblicher Wirkung.
Datenminimierung in der Praxis
Datenminimierung ist das Prinzip, das im KI-Alltag am wichtigsten ist. So setzt du es um:
Vor der KI-Eingabe pruefen:
- Welche personenbezogenen Daten stecken im Text?
- Braucht die KI diese Daten fuer die Aufgabe?
- Kann ich die Daten anonymisieren oder pseudonymisieren?
Beispiel E-Mail-Zusammenfassung:
- Original: „Herr Mueller (mueller@firma.de) beschwert sich ueber die verspaetete Lieferung seiner Bestellung #12345."
- Anonymisiert: „Ein Kunde beschwert sich ueber eine verspaetete Lieferung."
Die KI braucht den Kontext der Beschwerde, nicht die Identitaet des Kunden.
Betroffenenrechte: Was Kunden verlangen koennen
Wenn du personenbezogene Daten in KI-Tools verarbeitest, haben die Betroffenen Rechte:
| Recht | Bedeutung | KI-Relevanz |
|---|---|---|
| Auskunft (Art. 15) | Was wird verarbeitet? | Du musst wissen, welche Daten an welches KI-Tool gehen |
| Berichtigung (Art. 16) | Falsche Daten korrigieren | KI-Output kann falsch sein — wer korrigiert? |
| Loeschung (Art. 17) | Daten loeschen lassen | Kann der KI-Anbieter Daten loeschen? |
| Widerspruch (Art. 21) | Verarbeitung stoppen | Koennen Kunden der KI-Verarbeitung widersprechen? |
Key Takeaways
- Fuer den KI-Einsatz brauchst du eine Rechtsgrundlage — die Datenschutzerklaerung allein reicht nicht
- Berechtigtes Interesse (Art. 6 lit. f) ist die haeufigste Rechtsgrundlage, erfordert aber eine dokumentierte Interessenabwaegung
- Art. 22 verbietet rein automatisierte Entscheidungen mit erheblicher Wirkung — KI darf empfehlen, Mensch entscheidet
- Datenminimierung heisst: Personenbezogene Daten vor der KI-Eingabe entfernen, wenn sie fuer die Aufgabe nicht noetig sind
- Betroffene haben Rechte (Auskunft, Loeschung, Widerspruch) — auch bei KI-Verarbeitung
Up Next
In der naechsten Lektion wird es praktisch: Wie setzt du KI-Systeme datenschutzkonform ein — von der Tool-Auswahl ueber Enterprise-Versionen bis zu konkreten Konfigurationsschritten.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!