Datenschutz · Compliance CC-BY 4.0 · Open Cognition Commons

DSGVO und KI: Was Unternehmen beim KI-Einsatz wissen müssen

Der Einsatz von KI-Systemen in Unternehmen ist datenschutzrechtlich komplex. Art. 22 DSGVO, Rechtsgrundlagen, Transparenzpflichten und die Datenschutz-Folgenabschätzung betreffen fast jeden KI-Use-Case. OCC erklärt die wesentlichen Pflichten — praxisnah und kostenlos.

📖 ~8 Min. Lesezeit ⚖️ Gilt ab sofort (DSGVO seit 2018) 🔗 Verknüpft mit EU AI Act (Art. 22 wird präzisiert)

Warum DSGVO und KI untrennbar sind

Nahezu jedes KI-System verarbeitet personenbezogene Daten — ob im Training, im Betrieb oder bei der Ausgabe. Damit gilt die DSGVO: vollumfänglich, unabhängig davon ob das KI-System von einem Startup oder einem Konzern betrieben wird.

Gleichzeitig verschärft der EU AI Act die Anforderungen ab 2026: Hochrisiko-KI-Systeme (Art. 9 AIA) müssen Data Governance-Systeme nachweisen — was de facto eine DSFA nach DSGVO voraussetzt. Die beiden Regelwerke greifen ineinander.

OCC-Hinweis: Diese Seite erklärt die rechtlichen Grundlagen. Sie ersetzt keine individuelle Rechtsberatung. OCC stellt Open-Source-Frameworks bereit — keine Rechtsdienstleistung.

Die 5 wichtigsten DSGVO-Artikel für KI

Art. 5 DSGVO Risiko: mittel

Zweckbindung & Datenminimierung

KI-Systeme dürfen Daten nur für festgelegte, legitime Zwecke verarbeiten. Training auf historischen Daten erfordert Zweckkompatibilität. Datenminimierung schränkt Feature-Engineering ein.

Art. 6 DSGVO Risiko: hoch

Rechtsgrundlage

Jede KI-Verarbeitung braucht eine Rechtsgrundlage. Häufig genutzt: Vertragserfüllung, berechtigte Interessen (mit LIA), Einwilligung (widerruflich, daher fragil für ML-Training).

Art. 22 DSGVO Risiko: kritisch

Automatisierte Einzelentscheidungen

Vollständig automatisierte Entscheidungen mit erheblichen Auswirkungen sind verboten — außer: Einwilligung, Vertragserfüllung oder gesetzliche Grundlage. Kreditscoring, HR-Selektion, Content-Moderation betroffen.

Art. 35 DSGVO Risiko: hoch

Datenschutz-Folgenabschätzung (DSFA)

Bei hohem Risiko Pflicht: Profiling mit erheblichen Auswirkungen, systematische Überwachung öffentlicher Bereiche, Verarbeitung besonderer Kategorien in großem Umfang.

Art. 13/14 DSGVO Risiko: mittel

Informationspflichten

Betroffene müssen über KI-Verarbeitung informiert werden. Transparenz über Logik, Tragweite und angestrebte Auswirkungen automatisierter Verarbeitung (Art. 13 Abs. 2f).

Art. 22 im Detail: Automatisierte Entscheidungen

Art. 22 ist der für KI-Systeme kritischste DSGVO-Artikel. Er verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und erhebliche Auswirkungen auf Personen haben.

🚫 Verboten (ohne Ausnahme)

Automatisierte Kreditablehnung ohne menschliche Prüfung
KI-basierte Stellenablehnung (kein Mensch im Loop)
Automatische Kündigung nach Behavior-Scoring
Preisdiskriminierung via personalisiertem Profiling

✓ Erlaubt (mit Schutzmaßnahmen)

Kreditscoring mit Einwilligung + Widerspruchsrecht
KI-Empfehlungssysteme (redaktionell kuratiert)
Spam-Filter (geringe Auswirkung, keine Person betroffen)
Betrugserkennung mit menschlicher Endentscheidung

OCC-Empfehlung: Human-in-the-Loop (HITL) als Architekturprinzip — nicht als nachträgliches Pflaster. Das IIO-Framework implementiert HITL-Gates systemisch. HITL im Glossar →

Datenschutz-Folgenabschätzung (DSFA) bei KI

Eine DSFA ist Pflicht wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 DSGVO). Bei KI-Systemen gilt das für:

Systematisches Profiling

z.B.: Kundenscoring, Verhaltensanalyse, Gesundheits-Apps

Verarbeitung besonderer Datenkategorien (Art. 9)

z.B.: Biometrische Daten, Gesundheitsdaten, politische Meinungen

Überwachung öffentlicher Bereiche

z.B.: Video-KI, Bewegungsmuster-Analyse, Geotracking

Innovative Technologien

z.B.: Generative KI, LLMs mit personenbezogenen Daten als Training

Automatisierte Entscheidungen mit Rechtswirkung

z.B.: Kreditvergabe, Recruiting-KI, Strafverfolgung

Praktische Compliance-Checkliste

Keine Rechtssicherheit, aber ein solider Ausgangspunkt für die interne Prüfung. Jede ✓-Position sollte dokumentiert werden.

Inventar KI-Systeme vollständig inventarisieren (Name, Zweck, Daten, Anbieter)

Rechtsgrundlage Für jede Verarbeitung Rechtsgrundlage dokumentieren (Art. 6)

Art. 22 Prüfen: Vollständig automatisierte Entscheidungen mit erheblichen Folgen?

DSFA DSFA-Pflicht prüfen (Profiling, Überwachung, Gesundheitsdaten etc.)

Transparenz Datenschutzerklärung: KI-Systeme und ihre Logik erwähnen

Betroffenenrechte Prozesse für Auskunft, Löschung, Widerspruch bei KI-Entscheidungen

Auftragsverarbeitung AVV mit KI-Anbietern prüfen (Daten im Training? Modell-Feedback?)

Lokalität KI-Modelle lokal betreiben wo möglich (kein Datenabfluss in Cloud)

Vollständige Checkliste als Download folgt (Q3 2026). OCC-Assistent fragen →

Weiterführende OCC-Ressourcen

DSGVO Vollständige Definition im OCC-Glossar Art. 22 DSGVO Automatisierte Entscheidungen erklärt DSFA Datenschutz-Folgenabschätzung EU AI Act Zusammenspiel mit DSGVO OCC-Assistent Fragen direkt stellen — kostenlos