DSGVO9 Min. Lesezeit

KI und DSGVO: Was kleine Unternehmen beachten sollten

KI kann nützlich sein, aber Datenschutz muss mitgedacht werden. Der Artikel erklärt die wichtigsten Punkte verständlich und ohne juristische Übertreibung.

KI kann bei vielen Aufgaben helfen. Aber sobald Daten ins Spiel kommen, tauchen Fragen auf: Darf ich das? Benötigt das einen Auftragsverarbeitungsvertrag? Was muss ich in der Datenschutzerklärung erwähnen? Dieser Artikel gibt einen Überblick, ohne als Rechtsberatung zu dienen.

Warum KI Datenschutzfragen aufwirft

KI-Werkzeuge arbeiten mit Daten. Wer Text eingibt, gibt Information preis. Wenn diese Information personenbezogene Daten enthaelt, also Namen, Adressen, E-Mail-Adressen, Anfragen von Kunden oder Aehnliches, gelten die Regeln der DSGVO. Das betrifft nicht nur grosse Konzerne, sondern jedes Unternehmen, das KI-Werkzeuge einsetzt.

Personenbezogene Daten vermeiden

Der einfachste Schutz ist Datenvermeidung. Wenn eine Aufgabe mit KI erledigt werden kann, ohne echte Kundendaten einzugeben, sollte man das tun. Statt eine echte Kundenanfrage mit Namen und persönlichen Details in ein KI-Tool einzugeben, kann man die wesentlichen Informationen anonymisieren oder abstrahieren. Das Ergebnis ist fast immer genauso nützlich.

Ob und wie KI datenschutzkonform genutzt werden kann, hängt vom konkreten Einsatz, den Daten und dem Anbieter ab. Eine allgemeine Garantie gibt es nicht. Rechtliche Detailfragen sollten durch Datenschutzbeauftragte oder Anwälte geprüft werden.

Grundsaetze, die immer gelten

  • Datenminimierung: nur so viele Daten wie nötig eingeben
  • Zweckbindung: Daten nur für den genannten Zweck nutzen
  • Transparenz: in der Datenschutzerklärung beschreiben, welche Tools genutzt werden
  • Keine sensiblen Daten wie Gesundheitsdaten oder Finanzdaten unnoetig weitergeben
  • Anbieter prüfen: Wo werden Daten gespeichert? Gibt es einen Auftragsverarbeitungsvertrag?

KI nutzen, aber Datenschutz mitdenken?

Wir planen KI-Unterstützung mit Blick auf Datensparsamkeit, menschliche Kontrolle und saubere technische Abläufe. Rechtliche Detailfragen sollten bei Bedarf zusätzlich geprüft werden.

DSGVO-bewusst planenKontakt aufnehmen

Anbieter und Auftragsverarbeitung prüfen

Wer KI-Dienste von externen Anbietern nutzt, gibt Daten an diese Anbieter weiter. Serioeser Anbieter stellen einen Auftragsverarbeitungsvertrag zur Verfügung. Dieser Vertrag legt fest, wie der Anbieter mit den übermittelten Daten umgeht. Ob ein solcher Vertrag notwendig ist und was er enthalten muss, sollte rechtlich geprüft werden.

Sensible Daten besonders vorsichtig behandeln

Gesundheitsdaten, Daten über finanzielle Verhaeltnisse, politische Meinungen oder andere besonders schuetzenswerte Informationen sollten nicht in externe KI-Dienste eingegeben werden. Wer solche Daten verarbeitet, hat erhoehte Pflichten nach der DSGVO. Im Zweifelsfall sollte ein Datenschutzbeauftragter oder Anwalt zu Rate gezogen werden.

Mitarbeitende sensibilisieren

Nicht jede Mitarbeiterin und jeder Mitarbeiter denkt beim Schreiben einer Anfrage sofort an Datenschutz. Eine kurze Einweisung, welche Daten nicht in KI-Tools eingegeben werden duerfen, hilft mehr als lange Datenschutzrichtlinien, die niemand liest.

Wichtiger Hinweis

Die Informationen in diesem Artikel ersetzen keine rechtliche Beratung. Rechtliche Detailfragen zum Datenschutz sollten bei Bedarf durch einen Datenschutzbeauftragten oder Anwalt geprüft werden.

KI nutzen, aber Datenschutz mitdenken?

Wir planen KI-Unterstützung mit Blick auf Datensparsamkeit, menschliche Kontrolle und saubere technische Abläufe. Rechtliche Detailfragen sollten bei Bedarf zusätzlich geprüft werden.

DSGVO-bewusst planenKontakt aufnehmen

Häufige Fragen

Muss ich für den KI-Einsatz einen Datenschutzbeauftragten haben?

Ein Datenschutzbeauftragter ist erst ab bestimmten Voraussetzungen Pflicht, zum Beispiel bei systematischer Verarbeitung besonderer Datenkategorien. Trotzdem sollte KI-Einsatz, der personenbezogene Daten betrifft, immer datenschutzkonform geplant sein.

Was ist Datenminimierung?

Datenminimierung bedeutet, nur so viele Daten zu erheben und zu verarbeiten, wie für den jeweiligen Zweck wirklich notwendig sind. Bei KI heisst das: nicht mehr Informationen eingeben als nötig, um das gewuenschte Ergebnis zu erzielen.

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag regelt, wie ein externer Anbieter personenbezogene Daten in Ihrem Auftrag verarbeiten darf. Wenn Sie Kundendaten über externe Tools verarbeiten, ist ein solcher Vertrag in der Regel erforderlich. Serioeser Anbieter stellen ihn zur Verfügung.

Wann muss ich meine Datenschutzerklärung anpassen?

Immer dann, wenn neue Tools oder Dienste eingesetzt werden, die personenbezogene Daten verarbeiten. Das gilt auch für KI-Tools. Was genau in die Datenschutzerklärung muss, sollte rechtlich geprüft werden.

Darf ich ChatGPT in meinem Unternehmen einsetzen?

Das hängt davon ab, was konkret eingegeben wird und welche Version genutzt wird. Wer nur allgemeine Texte entwickeln möchte ohne Kundendaten, hat andere Anforderungen als wer Kundendaten verarbeitet. Rechtliche Beratung ist bei Unsicherheit sinnvoll.

Passende Glossarbegriffe

DSGVODatenminimierungAuftragsverarbeitung (AVV)KI-AutomatisierungChatGPT

Passende Artikel

KI

KI für kleine Unternehmen: Was sinnvoll ist und was nicht

DSGVO

DSGVO-konforme Website für kleine Unternehmen: Die wichtigsten Punkte

DSGVO

DSGVO-bewusste Automatisierung: Worauf kleine Unternehmen achten sollten

Hinweis: Die Inhalte dieses Artikels dienen der allgemeinen Information und stellen keine rechtliche, steuerliche oder datenschutzrechtliche Beratung dar. Für verbindliche Einschätzungen zu Ihrem konkreten Fall empfehlen wir, eine qualifizierte Fachberatung einzuholen.

Zurück zum Ratgeber