DSGVO-konformer KI-Einsatz — der 5-Punkte-Plan für KMU.
Du willst KI einführen, ohne in der DSGVO-Falle zu landen? Diese fünf Schritte hat dir keine Beratung erklärt — weil sie damit 5.000 € Beratungsstunden verkaufen wollen.
Disclaimer vorab: Dieser Artikel ist keine Rechtsberatung. Für deine konkreten Verträge: Datenschutzbeauftragter oder Rechtsanwalt. Aber: du kannst 90 % der DSGVO-Pflichten ohne externe Beratung erledigen, wenn du die fünf Schritte kennst.
Punkt 1: AV-Vertrag mit dem KI-Anbieter
Wenn du Cloud-KI nutzt (ChatGPT Team, Claude Pro, Microsoft Copilot), brauchst du einen Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Ohne den ist die Nutzung formal rechtswidrig — auch wenn keiner kontrolliert.
OpenAI bietet einen DPA als PDF zum Download, Microsoft ebenfalls. Anthropic hat einen, aber bisher nur auf Anfrage. Lokale KI (Snow GT, Snow ICE, Ollama) braucht KEINEN AV-Vertrag, weil keine Daten an Dritte gehen.
Punkt 2: Verzeichnis der Verarbeitungstätigkeiten (VVT)
Sobald du KI für irgendwas mit personenbezogenen Daten nutzt (Kunden-Mails, Bewerber, Mitarbeiter-Beurteilungen): ergänze dein VVT. Vorlagen gibt's beim Bayerischen Landesamt für Datenschutz kostenfrei.
Pflichtfelder: Zweck, Datenkategorien, Empfänger (z.B. "OpenAI Inc., USA"), Speicherdauer, technische Schutzmaßnahmen.
Punkt 3: Datenschutz-Folgenabschätzung (DSFA)
Bei "hohem Risiko" Pflicht (Art. 35 DSGVO). Das ist der Fall bei: automatisierten Entscheidungen über Personen (Bewerber-Screening, Kreditscoring, Mitarbeiter-Bewertung). KI im Marketing? Meist nicht. KI im HR? Meist Ja.
Eine DSFA ist kein riesiges Werk — typisch 5–10 Seiten. Risiken nennen, Maßnahmen dagegen dokumentieren, fertig.
Punkt 4: Mitarbeiter-Information & Schulung
Deine Mitarbeiter müssen wissen, was sie an KI nicht weitergeben dürfen: Kundennamen, Mail-Adressen, Daten Dritter. Eine kurze Hausordnung ("KI-Nutzungsrichtlinie") als Anlage zum Arbeitsvertrag deckt das ab.
Plus: ab 2026 verpflichtend nach EU AI Act Art. 4 — dokumentierte KI-Kompetenz. Snow Academy macht das mit Zertifikat für die Personalakte.
Punkt 5: Technisch-organisatorische Maßnahmen (TOMs)
Standard-DSGVO-Schutzmaßnahmen, angepasst an KI:
- Zugriffskontrolle: Wer darf welche KI nutzen? Nicht jeder im Unternehmen braucht Cloud-KI-Zugriff.
- Pseudonymisierung: Kundennamen durch IDs ersetzen, bevor Daten in die KI gehen.
- Lokale KI für sensible Bereiche: HR, Buchhaltung, Recht → Snow-System. Marketing, allgemeine Recherche → Cloud OK.
- Audit-Logs: Wer hat wann was mit KI bearbeitet. Bei lokalen Systemen einfach mitloggen.
Was es konkret kostet
Ohne externe Beratung: 1–2 Tage Selbstarbeit. Mit Vorlagen (LfD Bayern, BfDI): nochmal halb so viel. Externer Datenschutzbeauftragter? Hängt von Firmengröße ab — ab 20 MA in Datenverarbeitung Pflicht.
Fazit: DSGVO-konformer KI-Einsatz ist kein Hexenwerk — aber es muss gemacht werden. Wer ohne diese fünf Schritte loslegt, riskiert bei einer Beschwerde nicht nur das Bußgeld (bis 4 % Jahresumsatz), sondern auch zivilrechtliche Schadenersatzansprüche der Betroffenen. Macht's einmal richtig.
Lies weiter mit Snow Academy — ab 14 €/Monat.
Dieser Artikel ist Teil der gepflegten Snow Academy. Mit einem Privat- oder Business-Abo bekommst du vollen Zugriff auf alle Artikel, Quizze und das Zertifizierungs-Programm.