Künstliche Intelligenz und Datenschutz gelten oft als Gegensatz. Müssen sie aber nicht sein. KI lässt sich DSGVO-konform einsetzen, mit der richtigen Rechtsgrundlage, Datensparsamkeit, Transparenz und technischen Maßnahmen wie EU-Hosting und Zugriffskontrollen. Dieser Artikel zeigt, worauf Unternehmen 2026 achten müssen, welche Daten erlaubt sind und wie Sie LLMs wie ChatGPT sicher nutzen.
Ist der Einsatz von KI überhaupt DSGVO-konform?
Ja. Die DSGVO verbietet KI nicht, sie regelt den Umgang mit personenbezogenen Daten. Solange Ihr KI-System diese Grundprinzipien einhält, ist der Einsatz zulässig:
- Rechtsgrundlage: Für jede Verarbeitung brauchen Sie eine Grundlage (z. B. berechtigtes Interesse, Vertrag oder Einwilligung).
- Zweckbindung & Datensparsamkeit: Nur die Daten verarbeiten, die für den konkreten Zweck nötig sind.
- Transparenz: Betroffene müssen wissen, dass und wie KI ihre Daten verarbeitet.
- Sicherheit: Technische und organisatorische Maßnahmen schützen die Daten.
Viele Use Cases brauchen gar keine personenbezogenen Daten, etwa ein Assistent, der Normen und technische Dokumente durchsucht. Dort ist die DSGVO-Frage schnell beantwortet.
Was ändert sich durch den EU AI Act?
Der EU AI Act ergänzt die DSGVO um eine produktsicherheitsähnliche Logik: Er stuft KI-Systeme nach Risiko ein.
- Minimales Risiko: die meisten Anwendungen (z. B. interne Assistenten), kaum zusätzliche Pflichten.
- Begrenztes Risiko: Transparenzpflicht (Nutzer müssen wissen, dass sie mit KI interagieren).
- Hohes Risiko: strenge Anforderungen (z. B. KI in der Personalauswahl oder kritischen Infrastruktur).
- Verbotene Praktiken: etwa Social Scoring.
Für den Mittelstand gilt meist: niedrige Risikoklasse, aber Dokumentation und Transparenz sind trotzdem Pflicht. Wer von Anfang an sauber dokumentiert, spart sich später Aufwand.
Welche Daten dürfen in ein KI-System?
Die wichtigste Frage in der Praxis. Eine einfache Faustregel:
Faustregel
Je sensibler die Daten, desto mehr Schutz, und desto eher gehört die Verarbeitung in eine kontrollierte Umgebung statt in ein öffentliches Tool.
- Unproblematisch: öffentlich verfügbare oder rein technische Daten (Normen, Spezifikationen, anonymisierte Inhalte).
- Mit Sorgfalt: interne Geschäftsdaten ohne Personenbezug, meist über eigene, abgesicherte Systeme.
- Besonders heikel: personenbezogene Daten und besondere Kategorien (Gesundheit, Bewerberdaten), nur mit klarer Rechtsgrundlage, Minimierung und ggf. Anonymisierung.
EU-Hosting oder US-Cloud, was ist sicherer?
Aus DSGVO-Sicht ist EU-Hosting der deutlich einfachere Weg. Werden Daten in Drittländer wie die USA übermittelt, entstehen Zusatzanforderungen (Übermittlungsgrundlage, Risikobewertung, zusätzliche Garantien). EU-Hosting umgeht das, weil die Daten den europäischen Rechtsraum nicht verlassen.
Bei soneo.ai ist EU-Hosting deshalb Standard, und für besonders sensible Fälle ist eine On-Premise-Lösung möglich, bei der die Daten Ihr Haus gar nicht erst verlassen.
Wie nutzen wir LLMs wie ChatGPT datenschutzkonform?
Die kostenlose Consumer-Version von ChatGPT gehört nicht in Geschäftsprozesse mit personenbezogenen oder vertraulichen Daten. Datenschutzkonform wird der LLM-Einsatz so:
- Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, über API- oder Enterprise-Angebote, nicht die Gratis-App.
- Datenminimierung: keine unnötigen Personen- oder Geschäftsgeheimnisse in Prompts.
- EU-Hosting für Modell und Daten, wo möglich.
- RAG statt Training: Ihr Wissen bleibt in Ihrer kontrollierten Datenbank; das Modell greift nur kontrolliert darauf zu und liefert Quellen. Mehr dazu in unserem Überblick zu RAG & LLM-Integration.
- Zugriffsrechte: Wer darf welche Inhalte abfragen?
Checkliste: DSGVO-konforme KI in 7 Schritten
- Use Case definieren und prüfen, ob überhaupt personenbezogene Daten nötig sind.
- Rechtsgrundlage festlegen (Einwilligung, Vertrag oder berechtigtes Interesse).
- Datensparsamkeit umsetzen: nur das Nötigste verarbeiten.
- Anbieter prüfen und Auftragsverarbeitungsvertrag abschließen.
- EU-Hosting wählen (oder On-Premise bei sensiblen Daten).
- Transparenz schaffen: Betroffene und Mitarbeiter informieren.
- Bei hohem Risiko: Datenschutz-Folgenabschätzung durchführen und dokumentieren.
Sie möchten KI einführen, ohne den Datenschutz zu riskieren? Wir entwickeln DSGVO- und AI-Act-konforme Lösungen aus Wien, von der Strategie bis zum Betrieb.
Kostenloses ErstgesprächFazit
DSGVO und KI sind kein Widerspruch. Mit klarer Rechtsgrundlage, Datensparsamkeit, EU-Hosting und sauberer Dokumentation lässt sich KI rechtssicher und wirkungsvoll einsetzen. Der häufigste Fehler ist nicht zu viel Vorsicht, sondern der unbedachte Einsatz öffentlicher Tools mit sensiblen Daten. Wer von Anfang an strukturiert vorgeht, nutzt die Chancen der KI, ohne rechtliches Risiko.
FAQ
Ist der Einsatz von KI DSGVO-konform?
Ja, KI lässt sich DSGVO-konform einsetzen. Entscheidend sind eine klare Rechtsgrundlage, Datensparsamkeit, Transparenz gegenüber Betroffenen und technische Maßnahmen wie EU-Hosting, Zugriffskontrollen und Auftragsverarbeitungsverträge mit den eingesetzten Anbietern.
Darf ich personenbezogene Daten in ChatGPT eingeben?
Nicht in die kostenlose Consumer-Version. Für den Unternehmenseinsatz brauchen Sie eine Lösung mit Auftragsverarbeitungsvertrag (z. B. über die API oder Enterprise-Angebote) und sollten personenbezogene Daten möglichst minimieren oder anonymisieren.
Was ändert sich durch den EU AI Act?
Der AI Act stuft KI-Systeme nach Risiko ein und bringt gestaffelte Pflichten, von Transparenz bis zu strengen Anforderungen für Hochrisiko-Systeme. Die meisten Mittelstands-Use-Cases fallen in niedrige Risikoklassen, dennoch sind Dokumentation und Transparenz Pflicht.
Ist EU-Hosting für KI Pflicht?
Nicht zwingend, aber stark empfehlenswert. EU-Hosting vereinfacht die DSGVO-Konformität erheblich, weil Datenübermittlungen in Drittländer und die damit verbundenen Zusatzanforderungen entfallen.
Brauchen wir eine Datenschutz-Folgenabschätzung (DSFA)?
Bei KI-Systemen, die personenbezogene Daten in größerem Umfang oder mit hohem Risiko verarbeiten, ist eine DSFA häufig erforderlich. Im Zweifel sollten Sie sie durchführen, sie schafft Klarheit und ist dokumentierter Nachweis Ihrer Sorgfalt.
