Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
KI und DSGVO: Was Unternehmen 2026 beachten müssen | vsca
KI & DatenschutzZuletzt aktualisiert: 2026-06-23

KI und DSGVO: Was Unternehmen beim KI-Einsatz wirklich beachten müssen

Zuletzt aktualisiert: 23.06.2026

KI und DSGVO geraten in der Praxis ständig aneinander – meist dann, wenn ein Tool längst im Einsatz ist und niemand vorher geprüft hat, was mit den eingegebenen Daten passiert. Sobald Sie ein KI-System mit personenbezogenen Daten füttern – einem Lebenslauf, einer Kund:innenanfrage, einer E-Mail – greift die Datenschutz-Grundverordnung in vollem Umfang. Dieser Ratgeber zeigt Ihnen scanbar, wo beim KI-Datenschutz die typischen Stolperstellen liegen, welche Pflichten konkret gelten und wie Sie KI nutzen, ohne einen Datenschutzvorfall einzukaufen.

Zur KI-Compliance – wir prüfen Ihren KI-Einsatz datenschutzrechtlich und schließen die Lücken, bevor sie zum Vorfall werden.

Hinweis: Dieser Beitrag ist eine Orientierungshilfe und ersetzt keine Rechtsberatung im Einzelfall. Alle Angaben entsprechen dem Stand 23.06.2026.

Das Problem: KI macht Datenschutz nicht einfacher – sondern dringlicher

Künstliche Intelligenz wird im Mittelstand selten als „Projekt" eingeführt. Sie sickert ein: Ein:e Mitarbeiter:in nutzt ChatGPT für eine Bewerbungsabsage, das CRM bekommt eine KI-Funktion per Update, der Bewerbungsprozess wird mit einem Scoring-Tool beschleunigt. Jede dieser Anwendungen verarbeitet in der Regel personenbezogene Daten – und damit ist die DSGVO sofort im Spiel.

Das Tückische: Bei KI verschärfen sich gleich mehrere Datenschutzprinzipien gleichzeitig.

  • Zweckbindung (Art. 5 DSGVO): Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht beliebig in ein KI-Modell wandern.
  • Datenminimierung: KI verleitet dazu, „lieber zu viel" einzugeben – das ist das Gegenteil dessen, was die DSGVO verlangt.
  • Transparenz: Betroffene haben ein Recht zu erfahren, dass und wie ihre Daten KI-gestützt verarbeitet werden.
  • Kontrollverlust: Bei öffentlichen KI-Tools wissen Sie oft nicht, ob Eingaben zum Training verwendet werden oder wo sie gespeichert sind.

Hinzu kommt: KI und DSGVO sind nicht das einzige Regelwerk, das Sie betrifft. Parallel gilt der EU AI Act. Beide laufen nebeneinander – der AI Act regelt, ob und wie Sie ein KI-System einsetzen dürfen, die DSGVO regelt, was dabei mit personenbezogenen Daten geschehen darf. Wir denken beides zusammen; dieser Beitrag konzentriert sich auf die Datenschutzseite.

Die 6 häufigsten KI-Datenschutz-Fehler – und wie Sie sie vermeiden

1. Personenbezogene Daten in öffentliche KI-Tools kippen

Der Klassiker: Ein:e Mitarbeiter:in fügt einen kompletten Lebenslauf, eine Kund:innenliste oder ein vertrauliches Dokument in ein frei zugängliches KI-Tool ein – ohne Freigabe, ohne zu wissen, wo die Daten landen.

So vermeiden Sie es: Legen Sie verbindlich fest, welche Tools für welche Daten erlaubt sind. Für personenbezogene oder vertrauliche Daten gehören Eingaben in eine geprüfte, abgesicherte Umgebung – nicht in die kostenlose Web-Version eines beliebigen Anbieters.

2. Kein Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter

Wenn ein KI-Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Bei vielen KI-Tools wird dieser Schritt schlicht übersprungen.

So vermeiden Sie es: Vor dem produktiven Einsatz prüfen, ob eine Auftragsverarbeitung vorliegt, und den passenden AVV abschließen oder reviewen. Achten Sie dabei besonders auf Regelungen zur Nutzung Ihrer Daten für das Modelltraining und zum Speicherort.

3. Datentransfer in unsichere Drittländer übersehen

Viele KI-Anbieter sitzen außerhalb der EU. Eine Datenübermittlung in Drittländer ist nur unter zusätzlichen Voraussetzungen zulässig. Für die USA besteht aktuell ein gültiger Rahmen: Das EU-US Data Privacy Framework ist gültig – das Gericht der EU (EuG) hat die zugrunde liegende Angemessenheitsentscheidung am 3. September 2025 bestätigt. Das entbindet Sie aber nicht davon, zu prüfen, ob Ihr konkreter Anbieter unter diesem Rahmen zertifiziert ist.

So vermeiden Sie es: Klären Sie den Verarbeitungsstandort und die Transfergrundlage, bevor Sie ein Tool einführen – nicht erst, wenn eine Aufsichtsbehörde nachfragt.

4. Keine Transparenz gegenüber Betroffenen

Setzen Sie KI ein, um personenbezogene Daten zu verarbeiten, müssen die Betroffenen darüber informiert werden – etwa in der Datenschutzerklärung oder in internen Informationen für Mitarbeitende.

So vermeiden Sie es: Ergänzen Sie Ihre Datenschutzinformationen um den KI-Einsatz und benennen Sie die Zwecke verständlich.

5. Automatisierte Entscheidungen über Menschen ohne Prüfung

Trifft eine KI Entscheidungen über Menschen – Bewerber-Vorauswahl, Bonitätsbewertung, Leistungsbewertung – berührt das Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall) und potenziell die Hochrisiko-Regeln des EU AI Act zugleich. Das ist datenschutzrechtlich der heikelste Bereich überhaupt.

So vermeiden Sie es: Solche Anwendungen vor dem Einsatz rechtlich bewerten. In vielen Fällen ist menschliche Letztentscheidung erforderlich – und häufig eine Datenschutz-Folgenabschätzung.

6. Datenschutz-Folgenabschätzung (DSFA) ausgelassen

Bei KI-Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten von Personen verlangt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung – vor Beginn der Verarbeitung. Genau diese wird beim schnellen KI-Rollout oft vergessen.

So vermeiden Sie es: Früh prüfen, ob eine DSFA nötig ist, und sie dokumentiert durchführen. Das ist kein Selbstzweck, sondern Ihr Nachweis, dass Sie die Risiken bedacht haben.

KI-Datenschutz Schritt für Schritt: Ihre 5-Punkte-Checkliste

So bringen Sie KI und DSGVO ohne Reibungsverluste zusammen:

  1. Inventar erstellen: Welche KI-Systeme sind im Haus im Einsatz – inklusive der „Schatten-KI", die Teams eigeninitiativ nutzen?
  2. Datenflüsse prüfen: Welche personenbezogenen Daten gelangen in welches Tool, zu welchem Zweck, und wo werden sie verarbeitet?
  3. Rechtsgrundlagen klären: AVV, Transfergrundlage, Rechtsgrundlage der Verarbeitung und – wo nötig – Datenschutz-Folgenabschätzung absichern.
  4. KI-Richtlinie aufsetzen: Verbindlich regeln, welche Tools für welche Daten erlaubt sind und wer was freigibt.
  5. Schulen und dokumentieren: Mitarbeitende sensibilisieren und Maßnahmen so festhalten, dass Sie Ihre Konformität belegen können.

Was kostet ein Datenschutzfehler? Die Größenordnung

Datenschutzverstöße sind kein theoretisches Risiko. Der bislang höchste DSGVO-Bußgeldbescheid in Deutschland traf Vodafone mit 45 Mio. € (BfDI, 3. Juni 2025) – unter anderem wegen unzureichender Kontrolle von Auftragsverarbeitern nach Art. 28 DSGVO. Genau jener Bereich, der beim unkontrollierten KI-Einsatz besonders schnell ins Rutschen gerät. Kumuliert summieren sich die in Europa verhängten DSGVO-Bußgelder auf rund 6,1 Mrd. € (CMS Enforcement Tracker, Stand 03/2026).

Diese Zahlen sind keine Drohkulisse, sondern eine Einordnung: Auftragsverarbeitung und Kontrolle der eingesetzten Dienstleister gehören zu den am häufigsten sanktionierten Schwachstellen – und sind beim KI-Einsatz besonders relevant.

Mini-Fazit

KI und DSGVO sind kein Widerspruch – aber sie verlangen, dass Sie vor dem produktiven Einsatz nachdenken statt danach aufzuräumen. Die wichtigsten Hebel: kein unkontrolliertes Einkippen personenbezogener Daten in öffentliche Tools, ein sauberer Auftragsverarbeitungsvertrag, geklärte Transfergrundlagen, Transparenz gegenüber Betroffenen und – bei Entscheidungen über Menschen – eine Datenschutz-Folgenabschätzung. Wer KI-Datenschutz und EU AI Act zusammen denkt, nutzt die Produktivitätsvorteile von KI, ohne Bußgelder oder Reputationsschäden zu riskieren. Den vollständigen Überblick über den rechtssicheren KI-Einsatz finden Sie auf unserer Seite zur KI-Compliance; die reine Datenschutzperspektive vertiefen wir in unserer Datenschutzberatung.

Zur KI-Compliance

Sie wollen wissen, ob Ihr KI-Einsatz datenschutzkonform ist – und wo die größten Lücken sitzen? Die vsquadrat compliance advisory GmbH prüft Ihre KI-gestützten Datenverarbeitungen DSGVO-konform, erstellt oder reviewt die nötigen Auftragsverarbeitungsverträge und führt – wo erforderlich – eine Datenschutz-Folgenabschätzung durch. Pragmatisch, risikobasiert und ohne erzwungene Langfristbindung.

Zur KI-Compliance

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Über die Autorin: Tabea Lehnert ist Managing Director Legal, Compliance & Datenschutz bei der vsquadrat compliance advisory GmbH. Als Wirtschaftsjuristin (LL.M.) und TÜV-zertifizierte Datenschutzbeauftragte & Compliance Officerin liegen ihre Schwerpunkte im Datenschutz-, IT- und Vertragsrecht sowie im Aufbau von Compliance-Management-Systemen. Sie berät zu KI unter anderem in parlamentarischen Gremien sowie im Bundesministerium für Digitales und Staatsmodernisierung.

Zuletzt aktualisiert: 23.06.2026. Alle Angaben nach bestem Wissen zum Stand 23.06.2026. Dieser Text ersetzt keine Rechtsberatung im Einzelfall.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.