KI und DSGVO: Was gilt beim Einsatz im Unternehmen?

Eine Mitarbeiterin fasst ein Kundengespräch mit ChatGPT zusammen, während ein anderer Mitarbeiter das Tool nutzt, um einen Vertragsentwurf zu erstellen. Beides klingt praktisch und effizient, kann aber datenschutzrechtliche Konsequenzen haben. Denn sobald personenbezogene Daten verarbeitet werden, greift die Datenschutzgrundverordnung (DSGVO).

Lesen Sie in diesem Beitrag, welche DSGVO-Pflichten beim KI-Einsatz gelten und wie Sie KI in Ihrem Unternehmen datenschutzkonform verwenden.

Wann greift die DSGVO beim KI-Einsatz?

Die Datenschutzgrundverordnung (DSGVO) unterscheidet nicht zwischen klassischer Software und Systemen basierend auf Künstlicher Intelligenz (KI). Entscheidend ist allein, ob bei deren Verwendung personenbezogene Daten verarbeitet werden.

Genau das passiert häufig beim Einsatz von Tools wie ChatGPT oder Microsoft 365 Copilot. So können bei KI-Systemen personenbezogene Daten sowohl bei der Nutzung als auch für das Training des Modells verarbeitet werden.

Welche DSGVO-Pflichten gelten bei der Verwendung von KI-Tools in Unternehmen?

Wenn Sie in Ihrem Unternehmen KI-Tools verwenden, müssen folgende Grundsätze der DSGVO bei jeder Verarbeitung personenbezogener Daten eingehalten werden (Art 5 DSGVO):

• Rechtmäßigkeit, Treu und Glauben, Transparenz: Die Verarbeitung personenbezogener Daten muss auf rechtmäßige Weise und nach Treu und Glauben erfolgen. Betroffene Personen müssen nachvollziehen können, wie ihre Daten verarbeitet werden.
• Zweckbindung: Daten dürfen nur für einen festgelegten Zweck verarbeitet werden. Wer Daten für eine bestimmte Aufgabe in ein KI-Tool eingibt, darf diese nicht für andere Zwecke weiterverwenden lassen.
• Datenminimierung: Es dürfen nur jene Daten verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Unnötige Dateneingaben in KI-Prompts sind zu vermeiden.
• Richtigkeit: Verarbeitete Daten müssen sachlich korrekt und aktuell sein. Bei generativer KI ist besondere Vorsicht geboten, da Outputs nicht zwingend korrekt sind.
• Speicherbegrenzung: Daten dürfen nicht länger gespeichert werden als für den jeweiligen Zweck notwendig.
• Integrität und Vertraulichkeit: Das eingesetzte KI-Tool muss angemessene Sicherheitsstandards erfüllen, damit verarbeitete Daten unbefugten Dritten nicht zugänglich werden.

Zusätzlich gelten folgende DSGVO-Pflichten:

• Für die Verarbeitung personenbezogener Daten muss zumindest eine der in Art 6 DSGVO genannten Rechtsgrundlagen vorliegen – etwa eine Einwilligung, ein berechtigtes Interesse oder die Erfüllung eines Vertrags.
• Unternehmen müssen die Einhaltung der genannten Grundsätze auch nachweisen können, zB durch interne Richtlinien oder Dokumentation (Art 5. Abs 2 DSGVO).
• Trifft ein KI-System automatisierte Entscheidungen mit rechtlicher Wirkung – etwa die automatische Ablehnung von Bewerbungen – sind die besonderen Vorgaben des Art 22 DSGVO zu beachten.

Wie Sie KI im Unternehmen datenschutzkonform einsetzen

Mit den richtigen Maßnahmen lässt sich KI rechtssicher und datenschutzkonform im Unternehmen nutzen. Diese Punkte können Ihnen dabei helfen:

• Geschäftsgeheimnisse schützen: Vertrauliche Unternehmensinformationen wie Umsatzzahlen, Strategiedokumente oder Kundenlisten dürfen nicht in öffentliche KI-Tools eingegeben werden.
• Das richtige Abo wählen: Für den betrieblichen Einsatz sind Business- oder Enterprise-Versionen besser geeignet als kostenlose Modelle. Diese bieten in der Regel einen Auftragsverarbeitungsvertrag (AVV) und stellen sicher, dass Eingaben nicht für das Modelltraining verwendet werden. Sie sollten dennoch die jeweiligen Nutzungsbedingungen Ihres gewählten KI-Tools prüfen.
• Interne Richtlinien festlegen: Legen Sie vor dem Einsatz von KI-Tools fest, welche Daten damit verarbeitet werden dürfen und welche nicht. Die Österreichische Datenschutzbehörde empfiehlt dies ausdrücklich.
• Mitarbeiter:innen schulen: Beschäftigte müssen wissen, was sie in KI-Systemen eingeben dürfen und was nicht. Bieten Sie dafür interne Schulungen oder externe Seminare an, um bei Ihren Mitarbeiter:innen ein Bewusstsein zu schaffen.
• Ergebnisse menschlich prüfen: Prüfen Sie KI-generierte Outputs stets auf ihre Richtigkeit, bevor Sie diese übernehmen.

Seminar-Empfehlung

ChatGPT, Microsoft 365 Copilot und Datenschutz

ChatGPT und Microsoft 365 Copilot datenschutzkonform nutzen

Online-Seminar, Nächster Termin: 02.07.2026

Info & anmelden

Häufig gestellte Fragen zu KI und DSGVO

Was passiert, wenn mein Unternehmen gegen die DSGVO beim KI-Einsatz verstößt?

Verstöße gegen die DSGVO können empfindliche Konsequenzen haben. So können nach Art 83 DSGVO Bußgelder drohen. Zuständig in Österreich ist die Datenschutzbehörde, bei der betroffene Personen auch Beschwerde einlegen können.

Was ist der Unterschied zwischen DSGVO und KI-Verordnung?

Die DSGVO schützt personenbezogene Daten und verpflichtet Unternehmen zu technischen sowie organisatorischen Schutzmaßnahmen. Die KI-Verordnung (KI-VO) setzt den Rahmen für den generellen Umgang mit Daten im Kontext von KI-Systemen. Sie regelt, wie KI-Systeme entwickelt, eingesetzt und überwacht werden sollen.

Wer ist in meinem Unternehmen für den datenschutzkonformen KI-Einsatz verantwortlich?

Wer über Zwecke und Mittel der Datenverarbeitung entscheidet, ist datenschutzrechtlich Verantwortliche:r – unabhängig davon, ob das KI-Tool selbst entwickelt oder von einem Drittanbieter bezogen wurde.