complaid
Alle Artikel
DSGVODatenschutzCompliancePraxis

DSGVO und KI: 5 Fehler, die fast jedes Unternehmen macht

·3 Min. Lesezeit·Complaid Redaktion

KI und DSGVO: ein unterschätztes Risiko

Die meisten Unternehmen haben ihre DSGVO-Prozesse längst aufgesetzt: Verarbeitungsverzeichnis, Datenschutzerklärung, Cookie-Banner. Aber bei KI-Tools greifen diese Prozesse oft nicht — weil die Nutzung unkontrolliert, dezentral und oft unbewusst stattfindet.

Hier sind die 5 häufigsten Fehler.

Fehler 1: Keine Rechtsgrundlage für die KI-Verarbeitung

Jedes Mal, wenn ein Mitarbeitender personenbezogene Daten in ein KI-Tool eingibt, findet eine Datenverarbeitung statt. Dafür braucht es eine Rechtsgrundlage nach Art. 6 DSGVO.

Was oft passiert: Niemand hat sich gefragt, auf welcher Grundlage die Datenverarbeitung durch ChatGPT, Copilot & Co. eigentlich stattfindet.

Was du tun solltest: Prüfe, ob für die KI-Tools in deinem Unternehmen eine Rechtsgrundlage definiert ist — idealerweise berechtigtes Interesse (Art. 6 Abs. 1 lit. f) oder Einwilligung.

Fehler 2: Kein Auftragsverarbeitungsvertrag (AVV)

Wenn ein KI-Anbieter Daten in deinem Auftrag verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Ohne AVV ist die Verarbeitung rechtswidrig.

Was oft passiert: Mitarbeitende nutzen kostenlose KI-Tools ohne jede vertragliche Grundlage zwischen Unternehmen und Anbieter.

Was du tun solltest: Nur KI-Tools freigeben, für die ein AVV mit dem Anbieter existiert. Die meisten Enterprise-Versionen (ChatGPT Team, Microsoft Copilot) bieten das an.

Fehler 3: Fehlende Datenschutzfolgenabschätzung

Bei KI-Verarbeitungen mit hohem Risiko — etwa im HR-Bereich oder bei automatisierten Entscheidungen — ist eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO Pflicht.

Was oft passiert: Niemand hat geprüft, ob die KI-Nutzung eine DSFA auslöst — weil die Nutzung gar nicht offiziell bekannt ist.

Was du tun solltest: Erfasse, wo KI im Unternehmen genutzt wird, und prüfe bei jeder Anwendung, ob eine DSFA erforderlich ist.

Fehler 4: Keine Information der Betroffenen

Wenn personenbezogene Daten verarbeitet werden, müssen die Betroffenen darüber informiert werden (Art. 13/14 DSGVO). Das gilt auch für die Verarbeitung durch KI.

Was oft passiert: Kundendaten werden in KI-Tools eingegeben, ohne dass die Kunden davon wissen.

Was du tun solltest: Erweitere eure Datenschutzhinweise um KI-Verarbeitungen — und sorge dafür, dass keine Kundendaten unbedacht in externe Tools gelangen.

Fehler 5: Kein Bewusstsein bei den Mitarbeitenden

Der häufigste und gefährlichste Fehler: Mitarbeitende wissen nicht, was sie falsch machen. Sie kopieren Bewerbungsunterlagen in ChatGPT, geben Kundendaten in Prompts ein oder lassen KI Verträge zusammenfassen — in gutem Glauben.

Was oft passiert: Es gibt keine Schulung, keine Richtlinie, keine klare Kommunikation zu KI und Datenschutz.

Was du tun solltest: Mitarbeitende schulen — konkret, praxisnah und regelmäßig. Genau das verlangt auch Art. 4 des EU AI Act seit Februar 2025.

Die gute Nachricht

Keiner dieser Fehler ist schwer zu beheben. Es braucht keine Mammutprojekte, sondern:

  1. Eine klare KI-Richtlinie mit erlaubten und verbotenen Nutzungen
  2. Freigegebene Tools mit Datenschutzvertrag
  3. Kurze, praxisnahe Schulungen für alle Mitarbeitenden
  4. Saubere Dokumentation der getroffenen Maßnahmen

Complaid verbindet KI-Schulung mit Datenleitplanken und internen Nachweisen. Risiko-Check starten →

KI-Compliance in deinem Unternehmen sicherstellen?

Complaid schult Mitarbeitende im sicheren Umgang mit KI — mit Lernpfaden, Leitplanken und dokumentierbaren Nachweisen.

Kurs ansehen →Risiko-Check starten