DSGVO und KI: Worauf Sie bei Daten und Cloud-Anbietern achten sollten

Die DSGVO macht KI-Projekte nicht unmöglich – sie macht sie rechtlich anspruchsvoller. Unternehmen, die KI einsetzen wollen, stehen vor der Frage: Welche Daten darf ich überhaupt verwenden? Wo dürfen diese Daten verarbeitet werden? Und was muss ich vertraglich regeln? Wer diese Fragen frühzeitig beantwortet, vermeidet teure Nachbesserungen und rechtliche Risiken.

Rechtsgrundlagen für KI-Datenverarbeitung

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Im betrieblichen KI-Kontext kommen vor allem drei in Betracht:

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Wenn ein Unternehmen KI zur internen Prozessoptimierung einsetzt und dabei Mitarbeiterdaten analysiert, kann das auf berechtigtem Interesse basieren – sofern die Interessen der Betroffenen nicht überwiegen.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn KI im Rahmen der Vertragsabwicklung mit Kunden eingesetzt wird – etwa zur automatisierten Angebotserstellung – kann dies als Vertragsgrundlage legitimiert sein.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Im Umgang mit Endkunden – etwa bei personalisierten Empfehlungen – ist oft eine ausdrückliche Einwilligung erforderlich.

Wichtig: Nicht alle Daten, die ein Unternehmen besitzt, dürfen für KI-Training oder KI-Auswertung verwendet werden. Zweckbindung bedeutet, dass Daten, die ursprünglich für einen anderen Zweck erhoben wurden, nicht ohne weiteres für KI-Projekte genutzt werden dürfen.

Drittlandübermittlung: Das Problem mit US-Anbietern

Viele der leistungsfähigsten KI-Dienste kommen aus den USA: OpenAI, Google (Gemini), Amazon (AWS Bedrock), Anthropic. Die Nutzung dieser Dienste mit personenbezogenen Daten ist nicht grundsätzlich verboten – aber rechtlich heikel.

Das Problem liegt im US-amerikanischen Recht: Der CLOUD Act erlaubt US-Behörden unter bestimmten Voraussetzungen den Zugriff auf Daten amerikanischer Unternehmen – auch wenn diese in Europa gespeichert sind. Das EU-US Data Privacy Framework, das seit Juli 2023 in Kraft ist, schafft zwar eine Grundlage für Datentransfers – es ist jedoch umstritten und könnte ähnlich wie seine Vorgänger (Privacy Shield, Safe Harbor) vor dem EuGH scheitern.

Praktische Empfehlung: Verwenden Sie US-Dienste für KI-Projekte nur dann, wenn keine personenbezogenen oder vertraulichen Unternehmensdaten übermittelt werden. Für sensible Daten gilt: EU-Anbieter oder On-Premise.

Lokale KI vs. Cloud-KI: Was passt wann?

Nicht jedes Unternehmen muss seine KI-Modelle selbst betreiben. Die Entscheidung zwischen Cloud-KI und lokaler KI hängt von der Datensensibilität ab:

• EU-Cloud-Anbieter (z. B. Telekom, IONOS, OVH, Hetzner) bieten KI-Services mit Datenhaltung in Deutschland oder der EU. Für die meisten Mittelständler ein guter Kompromiss aus Komfort und Rechtssicherheit.
• On-Premise-KI (Modelle laufen auf eigener Hardware im Unternehmen) bietet maximale Kontrolle und Datensicherheit. Sie ist sinnvoll für Unternehmen mit besonders schützenswerten Daten – etwa in der Medizintechnik, im Bereich Staatsaufträge oder im Bereich Betriebs- und Geschäftsgeheimnisse.
• Hybridmodelle kombinieren beides: Sensible Daten bleiben lokal, unkritische Auswertungen laufen in der Cloud.

In Hessen und Rheinland-Pfalz sehe ich in meiner Beratungspraxis oft, dass Unternehmen die Entscheidung zu spät treffen – nämlich dann, wenn der Cloud-Anbieter bereits gewählt und die Daten schon übermittelt wurden. Besser: Betriebsmodell und Datenschutzkonzept zuerst, Anbieterwahl danach.

Der Auftragsverarbeitungsvertrag (AVV)

Wer einen Cloud-Anbieter mit der Verarbeitung personenbezogener Daten beauftragt, muss mit diesem einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Das gilt auch dann, wenn der Anbieter ein großes Unternehmen wie Microsoft oder Google ist.

Ein AVV regelt unter anderem: den Verarbeitungszweck, die Datenkategorien, die Sicherheitsmaßnahmen des Anbieters und das Recht auf Audit. Viele Anbieter stellen Standardverträge bereit – prüfen Sie trotzdem, ob diese tatsächlich für Ihren Anwendungsfall ausreichen.

Praktische Checkliste: DSGVO-Konformität bei KI-Projekten

• Rechtsgrundlage für die Datenverarbeitung definiert?
• Zweckbindung der verwendeten Daten geprüft?
• Datenhaltung: EU oder Drittland?
• Bei Drittlandtransfer: Standard-Vertragsklauseln oder gleichwertiger Mechanismus vorhanden?
• AVV mit dem KI-Anbieter abgeschlossen?
• Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisiert?
• Datenschutz-Folgenabschätzung (DSFA) geprüft – besonders bei automatisierten Entscheidungen?
• Betroffenenrechte (Auskunft, Löschung, Widerspruch) auch im KI-System sichergestellt?

Diese Checkliste ist keine abschließende Rechtsberatung – aber sie deckt die häufigsten Lücken ab, die ich in der Praxis bei Unternehmen aus Hessen und Rheinland-Pfalz beobachte. Besonders der letzte Punkt – Betroffenenrechte im KI-System – wird oft übersehen: Wenn eine KI automatisiert Entscheidungen trifft (etwa bei Kreditprüfungen oder Personalauswahl), haben Betroffene nach Art. 22 DSGVO das Recht auf menschliche Überprüfung.

DSGVO-konformer KI-Einsatz ist kein Hexenwerk – aber er erfordert strukturiertes Vorgehen. Wer diese Punkte von Anfang an berücksichtigt, baut auf einem soliden rechtlichen Fundament.

Sie planen ein KI-Projekt und möchten es von Beginn an rechtssicher aufsetzen? Nehmen Sie Kontakt auf – ich begleite Sie durch die datenschutzrechtlichen Anforderungen und helfe bei der Anbieterwahl.