Datenschutzkonforme KI im Unternehmen: DSGVO-Leitfaden 2026

Was Unternehmen 2026 für datenschutzkonforme KI brauchen

Datenschutzkonforme KI bedeutet für Unternehmen in Deutschland, dass jeder KI-Einsatz vor dem Rollout rechtlich und organisatorisch geprüft wird. Dazu gehören eine passende Rechtsgrundlage nach Art. 6 DSGVO, Transparenz gegenüber Betroffenen, ein wirksamer Auftragsverarbeitungsvertrag, eine Prüfung von Drittlandtransfers sowie bei hohem Risiko eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

• Datenschutzkonforme KI ist kein Produktlabel, sondern ein dokumentierter Compliance-Prozess vor und während des Einsatzes.
• Kritische Prüfpunkte sind Rechtsgrundlage, AVV, Datenminimierung, Art. 22 DSGVO, TOMs und internationale Datentransfers.
• Seit dem 2. Februar 2025 gelten erste AI-Act-Regeln; weitere Kapitel seit dem 2. August 2025, die Grundanwendung ab dem 2. August 2026.

Datenschutzkonforme KI bedeutet für Unternehmen in Deutschland, KI-Systeme nur dann einzusetzen, wenn Rechtsgrundlage, Transparenz, Auftragsverarbeitung, Datentransfers und Risikoprüfung sauber dokumentiert sind. Wer personenbezogene Daten in Chatbots, Copilots, Suchsysteme, HR-Tools oder Analysemodelle einspeist, braucht nicht nur einen Vertrag mit dem Anbieter, sondern einen belastbaren Compliance-Prozess nach DSGVO, BDSG und je nach Einsatz auch nach dem EU AI Act.

Für viele Unternehmen ist genau das die praktische Frage hinter Suchanfragen wie “datenschutzkonforme KI”, “KI DSGVO” oder “KI datenschutzkonform nutzen”: Welche Mindestanforderungen gelten 2026 tatsächlich, bevor ein Tool freigegeben wird? Dieser Leitfaden gibt die kurze Antwort zuerst und dann die Umsetzung im Detail.

Dieser Beitrag enthält allgemeine Informationen und ersetzt keine Rechtsberatung im Einzelfall. Wenn Sie zunächst einen operativen Prüfrahmen benötigen, finden Sie ergänzend unsere DSGVO-Checkliste für KI-Tools, unsere Unterstützung zur Datenschutz-Folgenabschätzung und unseren Skill zur Auftragsverarbeitung.

Was bedeutet “datenschutzkonforme KI”?

Datenschutzkonforme KI ist kein Zertifikat und kein Werbesiegel des Anbieters. Gemeint ist, dass der konkrete KI-Einsatz in Ihrem Unternehmen die Anforderungen der Datenschutz-Grundverordnung erfüllt und intern nachweisbar gesteuert wird.

Dazu gehören insbesondere:

• eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten nach Art. 6 DSGVO
• die Erfüllung von Informationspflichten nach Art. 13 und 14 DSGVO
• die Prüfung, ob automatisierte Einzelentscheidungen nach Art. 22 DSGVO vorliegen
• eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, wenn ein hohes Risiko besteht
• ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, wenn der Anbieter als Auftragsverarbeiter tätig ist
• ein belastbarer Umgang mit Drittlandtransfers nach Kapitel V DSGVO

Im deutschen Markt kommen regelmäßig weitere Anforderungen hinzu. Bei Beschäftigtendaten ist § 26 BDSG relevant. Bei mitbestimmungspflichtigen Einführungsszenarien, etwa bei KI in HR, Produktivitätsmessung oder Wissensarbeit, ist zudem § 87 Abs. 1 Nr. 6 BetrVG früh mitzudenken.

Auch die behördliche Orientierung zeigt dieselben Prüfschwerpunkte. Die Datenschutzkonferenz (DSK) hebt in ihrer Orientierungshilfe “KI und Datenschutz” vom 6. Mai 2024 Verantwortlichkeiten, interne Regeln, Transparenz und die häufige DSFA-Pflicht hervor. Der BfDI-KI-Fragenkatalog 1.0 aus 2025 fokussiert zusätzlich auf dokumentierte Rechtsgrundlagen, Rollenverteilung, Drittlandtransfers, Vertragsmanagement und die praktische Wahrung von Betroffenenrechten.

DSGVO-Anforderungen an KI-Systeme im Überblick

Viele Teams starten die KI-Beschaffung mit der falschen Frage: “Ist das Tool DSGVO-konform?” Rechtlich sinnvoller ist: Welche Verarbeitung findet konkret statt und welche Pflichten löst sie aus?

Die folgende Übersicht ist für die meisten KI-Einführungen in Unternehmen der richtige Startpunkt:

Prüffeld	Zentrale Norm	Kernfrage für das Unternehmen
Rechtsgrundlage	Art. 6 DSGVO	Auf welcher Grundlage dürfen die Daten verarbeitet werden?
Besondere Daten	Art. 9 DSGVO	Werden Gesundheitsdaten, biometrische Daten oder ähnliche sensible Daten genutzt?
Transparenz	Art. 13/14 DSGVO	Sind Mitarbeiter, Kunden oder Bewerber ausreichend informiert?
Auftragsverarbeitung	Art. 28 DSGVO	Handelt der Anbieter in Ihrem Auftrag und liegt ein AVV vor?
TOMs und Sicherheit	Art. 32 DSGVO	Sind Zugriffe, Verschlüsselung, Löschung und Protokollierung geregelt?
DSFA	Art. 35 DSGVO	Besteht wegen Umfang, Profiling oder Folgen für Betroffene ein hohes Risiko?
Automatisierte Entscheidung	Art. 22 DSGVO	Führt die KI ohne ausreichende menschliche Kontrolle zu erheblichen Entscheidungen?
Drittlandtransfer	Kapitel V DSGVO	Werden Daten in die USA oder andere Drittländer übertragen?

Rechtsgrundlage für die Datenverarbeitung

Auch bei KI gilt der Grundsatz: Keine Verarbeitung ohne Rechtsgrundlage. In Unternehmen kommen regelmäßig drei Grundlagen in Betracht:

1. Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, wenn die Verarbeitung unmittelbar zur Leistungserbringung gegenüber dem Betroffenen erforderlich ist.
2. Rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO, wenn gesetzliche Pflichten den Einsatz tragen.
3. Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, wenn ein legitimer Unternehmenszweck vorliegt und die Interessen der Betroffenen nicht überwiegen.

Die Einwilligung wird in KI-Projekten häufig zu schnell als Standardlösung genannt. In Beschäftigungskontexten ist sie wegen des Abhängigkeitsverhältnisses oft keine robuste Grundlage. Für viele unternehmensinterne Anwendungsfälle ist daher eine saubere Interessenabwägung oder eine andere tragfähige Rechtsgrundlage wichtiger als ein vorschneller Verweis auf “Consent”.

Transparenzpflichten nach Art. 13 und 14 DSGVO

Wenn KI-Systeme personenbezogene Daten verarbeiten, müssen Betroffene verstehen können:

• welche Daten verarbeitet werden
• zu welchem Zweck die KI eingesetzt wird
• ob externe Anbieter eingebunden sind
• ob Daten in Drittländer fließen
• welche Rechte ihnen zustehen

In der Praxis scheitert Transparenz oft daran, dass Fachbereiche KI-Funktionen aktivieren, bevor Datenschutzhinweise, Betriebsvereinbarungen oder interne Richtlinien aktualisiert wurden. Gerade bei Enterprise-Search, Copilot- oder HR-Tools führt diese Lücke schnell zu unnötigem Durchsetzungsrisiko.

Automatisierte Einzelentscheidungen nach Art. 22 DSGVO

Art. 22 DSGVO wird oft erst spät geprüft, obwohl er bei KI-Projekten zentral sein kann. Relevant ist die Norm, wenn eine Entscheidung ausschließlich automatisiert getroffen wird und für Betroffene rechtliche Wirkung oder eine ähnlich erhebliche Beeinträchtigung hat.

Typische Risikofelder sind:

• automatisierte Bewerbervorauswahl
• Scoring von Kunden oder Kreditnehmern
• Leistungs- und Verhaltensbewertung von Beschäftigten
• Preis- oder Zugangsentscheidungen mit erheblicher Außenwirkung

Ein bloßes “Human in the Loop” auf dem Papier reicht nicht. Die menschliche Prüfung muss tatsächlich substanziell sein. Wenn Mitarbeitende nur automatisierte Ergebnisse bestätigen, kann Art. 22 dennoch einschlägig sein.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Eine DSFA ist kein Sonderfall nur für große Konzerne. Sie ist immer dann zu prüfen, wenn der geplante KI-Einsatz voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Besonders häufig ist das der Fall bei:

• umfangreicher Verarbeitung von Beschäftigten- oder Kundendaten
• Profiling und Scoring
• sensiblen Daten nach Art. 9 DSGVO
• systematischer Überwachung
• neuen Technologien mit schwer abschätzbaren Auswirkungen

Für die operative Durchführung bieten wir eine strukturierte Unterstützung zur Datenschutz-Folgenabschätzung an. Wenn Sie den Tool-Anbieter noch prüfen, ist unsere DSGVO-Checkliste für KI-Tools meist der sinnvollste Einstieg.

Auftragsverarbeitung und AVV-Pflicht

Sobald ein externer KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, benötigen Sie in der Regel einen Auftragsverarbeitungsvertrag. Genau hier liegt einer der häufigsten Fehler in der Praxis: Unternehmen verwechseln Marketingaussagen wie “GDPR ready” mit einer belastbaren Vertragslage.

Ein wirksamer AVV muss unter anderem regeln:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Kategorien personenbezogener Daten
• Kategorien betroffener Personen
• Weisungsgebundenheit des Anbieters
• Unterauftragsverarbeiter
• technisch-organisatorische Maßnahmen
• Unterstützung bei Betroffenenrechten und Sicherheitsvorfällen

Wenn Sie einzelne Anbieter bewerten, helfen unsere Analysen zu Anthropic und DSGVO oder zu Claude unter DSGVO-Gesichtspunkten beim Vergleich typischer Vertrags- und Transfermodelle.

Welche Datenschutzprobleme entstehen beim KI-Einsatz?

Die meisten Probleme entstehen nicht erst im Live-Betrieb, sondern bereits bei Auswahl, Konfiguration und Freigabe des Tools. Vier Risikobereiche tauchen 2026 nahezu in jedem Projekt auf.

1. Trainingsdaten und personenbezogene Daten

Viele Unternehmen möchten ausschließen, dass Prompts, Uploads oder Unternehmensdokumente in das Training von Modellen einfließen. Ob das gelingt, hängt nicht von einer Vertriebsfolie, sondern von Produktvariante, Vertrag und technischer Konfiguration ab.

Zu prüfen sind insbesondere:

• trainiert der Anbieter mit Kundendaten standardmäßig, optional oder gar nicht?
• gilt der Ausschluss nur für Enterprise-Pläne oder auch für API-Nutzung?
• ist Zero Data Retention oder eine gleichwertige Einstellung verfügbar?
• sind Support- oder Abuse-Review-Prozesse vom Training ausgeschlossen oder nicht?

Gerade bei generativer KI ist außerdem zu bedenken, dass personenbezogene Daten nicht nur im Prompt selbst enthalten sein können, sondern auch in hochgeladenen Dokumenten, Gesprächsverläufen, Wissensdatenbanken und Metadaten.

2. Zweckbindung und Datenminimierung

Die DSGVO verlangt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Bei KI-Projekten kollidiert dieser Grundsatz oft mit einem sehr offenen Einsatzverständnis nach dem Motto: “Wir testen erst einmal breit, wofür das Tool nützlich ist.”

Datenschutzkonform ist das nur selten. Unternehmen sollten vor dem Rollout definieren:

• welche Use Cases erlaubt sind
• welche Datenkategorien eingegeben werden dürfen
• welche Abteilungen das Tool nutzen dürfen
• welche Workflows ausgeschlossen sind

Eine interne KI-Richtlinie ist deshalb kein Nice-to-have, sondern ein zentraler Teil datenschutzkonformer KI-Nutzung.

3. Profiling, Scoring und Beschäftigtendatenschutz

Sobald KI Muster über Personen erkennt, priorisiert, bewertet oder Vorhersagen trifft, ist der Schritt zu Profiling oder Scoring oft klein. Das gilt nicht nur für Banken oder Versicherer, sondern auch für:

• Recruiting-Tools
• Sales- und Lead-Scoring
• Fraud-Detection-Systeme
• Produktivitäts- und Performance-Auswertungen
• Kundenservice- und Churn-Modelle

In Deutschland ist bei Beschäftigtendaten zusätzlich zu prüfen, ob § 26 BDSG und Mitbestimmungsrechte des Betriebsrats betroffen sind. Technisch innovative Systeme scheitern oft nicht an der reinen Datenverarbeitung, sondern daran, dass Mitbestimmung, Information und Governance zu spät organisiert wurden.

4. Drittlandtransfer bei US-Anbietern

Ein großer Teil der KI-Anbieter verarbeitet Daten in den USA oder nutzt US-bezogene Subprozessoren. Damit stellt sich fast immer die Frage des Drittlandtransfers.

Unternehmen müssen typischerweise prüfen:

• wo Daten gespeichert und verarbeitet werden
• welche Standardvertragsklauseln (SCC) gelten
• ob zusätzliche Schutzmaßnahmen erforderlich sind
• welche Subprozessoren beteiligt sind
• ob eine EU-Region technisch und vertraglich tatsächlich durchgängig greift

Viele Teams unterschätzen, dass “EU hosting” nicht automatisch bedeutet, dass keine Support-, Sicherheits- oder Betriebszugriffe aus Drittländern stattfinden.

Checkliste: KI datenschutzkonform im Unternehmen einsetzen

Wer KI datenschutzkonform nutzen will, sollte vor der Freigabe mindestens die folgenden Schritte dokumentieren. Diese Struktur eignet sich auch für interne Freigaben durch Legal, IT, Security und Datenschutzbeauftragte.

1. Use Case klar beschreiben. Legen Sie fest, welche Aufgabe das KI-System lösen soll, welche Abteilung es nutzt und welche Datenkategorien verarbeitet werden.
2. Rechtsgrundlage schriftlich bestimmen. Dokumentieren Sie, ob Art. 6 Abs. 1 lit. b, c oder f DSGVO trägt und warum.
3. Rollenverteilung prüfen. Klären Sie, ob der Anbieter Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsam Verantwortlicher ist.
4. AVV und Anbieterunterlagen prüfen. Sichten Sie AVV, Subprozessorliste, TOMs, Löschregeln und Sicherheitsdokumentation.
5. Drittlandtransfer bewerten. Prüfen Sie SCC, Datenstandorte, Fernzugriffe und gegebenenfalls zusätzlichen Absicherungsbedarf.
6. DSFA-Schwelle prüfen. Dokumentieren Sie, ob wegen Profiling, sensibler Daten, Überwachung oder großem Umfang eine DSFA nach Art. 35 DSGVO erforderlich ist.
7. Transparenzdokumente aktualisieren. Passen Sie Datenschutzhinweise, interne Richtlinien und gegebenenfalls Betriebsvereinbarungen an.
8. Zugriffs- und Eingaberegeln definieren. Begrenzen Sie, wer das Tool nutzen darf und welche Inhalte ausgeschlossen sind.
9. Mitarbeiter schulen. Ein AVV schützt nicht davor, dass Beschäftigte vertrauliche oder unzulässige Daten in ein Tool eingeben.
10. Regelmäßige Nachprüfung organisieren. KI-Anbieter ändern Produktfunktionen, Datenflüsse und Vertragsdokumente laufend; eine einmalige Prüfung reicht nicht dauerhaft.

Für operative Vendor-Prüfungen empfehlen wir unsere vertiefende DSGVO-Checkliste für KI-Tools. Wenn Sie bereits wissen, dass Ihre Einführung eine DSFA auslösen wird, können Sie direkt mit unserer Unterstützung zur Datenschutz-Folgenabschätzung weiterarbeiten.

KI-Verordnung (EU AI Act) und DSGVO: Zusammenspiel

Der EU AI Act ist seit dem 1. August 2024 in Kraft. Nach Art. 113 gelten Kapitel I und II seit dem 2. Februar 2025, weitere Governance- und GPAI-Vorschriften seit dem 2. August 2025 und die Verordnung im Grundsatz ab dem 2. August 2026. Art. 6 Abs. 1 und die dazugehörigen Pflichten greifen erst ab dem 2. August 2027.

Für Unternehmen ist der wichtigste Punkt: DSGVO und EU AI Act verfolgen unterschiedliche Regelungsziele und gelten nebeneinander.

• Die DSGVO fragt: Dürfen personenbezogene Daten so verarbeitet werden?
• Der EU AI Act fragt zusätzlich: Welche Pflichten gelten für das jeweilige KI-System nach Risikoklasse, Rolle und Einsatzkontext?

Das bedeutet in der Praxis:

• Ein datenschutzrechtlich zulässiger KI-Einsatz kann trotzdem zusätzliche AI-Act-Pflichten auslösen.
• Ein technisch dokumentiertes KI-System kann trotzdem DSGVO-widrig sein, wenn Rechtsgrundlage, Transparenz oder AVV fehlen.
• Unternehmen brauchen deshalb keine isolierte “AI-Act-Prüfung” oder “DSGVO-Prüfung”, sondern ein integriertes KI-Governance-Modell.

Besonders relevant ist das für Hochrisikobereiche wie Beschäftigung, Kredit, Bildung, biometrische Identifizierung oder kritische Infrastrukturen. Für die strategische Umsetzung dieser Doppelpflichten finden Sie einen Überblick auf unserer Seite zur KI-Compliance-Rechtsberatung.

Praktische Organisationsregeln für Unternehmen

Zwischen einer juristisch sauberen Theorie und einem belastbaren Rollout liegt Unternehmenspraxis. Wer datenschutzkonforme KI wirklich etablieren will, sollte interne Mindestregeln definieren.

Governance-Regel 1: Kein Fachbereich rollt KI allein aus

IT, Security, Legal, Datenschutz und der betroffene Fachbereich sollten vor dem Live-Gang eingebunden sein. Bei HR- oder Mitarbeiter-Use-Cases gehört der Betriebsrat regelmäßig früh an den Tisch.

Governance-Regel 2: Freigegebene und verbotene Use Cases schriftlich festhalten

Eine Positiv- und Negativliste verhindert, dass ein grundsätzlich zulässiges Tool später für unzulässige Zwecke verwendet wird. Typische Ausschlüsse sind:

• besondere Kategorien personenbezogener Daten ohne gesonderte Freigabe
• Mandatsgeheimnisse oder hochsensible M&A-Unterlagen
• vollautomatisierte Entscheidungen mit erheblicher Außenwirkung
• verdeckte Mitarbeiterüberwachung

Governance-Regel 3: Nicht nur den Anbieter, sondern auch die Konfiguration prüfen

Dasselbe Tool kann je nach Produktstufe, Region, API-Einstellung, Trainingsopt-out oder Speicheroption datenschutzrechtlich anders zu bewerten sein. Datenschutzkonforme KI ist deshalb immer auch eine Frage der technischen Konfiguration.

Governance-Regel 4: Dokumentation muss auditfähig sein

Spätestens bei einer Anfrage des Datenschutzbeauftragten, einer Aufsichtsbehörde oder des Betriebsrats muss das Unternehmen darlegen können, warum der Einsatz rechtlich vertretbar ist. Dazu gehören typischerweise:

• Freigabevermerk oder Assessment
• Rechtsgrundlage und Interessenabwägung
• AVV und Transferdokumentation
• DSFA oder dokumentierte Negativprüfung
• Nutzungsrichtlinie und Schulungsnachweise

Häufige Fragen

Was bedeutet datenschutzkonforme KI konkret für mein Unternehmen?

Konkret bedeutet es, dass Sie jeden KI-Einsatz wie ein reguliertes Beschaffungs- und Governance-Projekt behandeln. Vor dem Rollout müssen Sie Zweck, Datenkategorien, Rechtsgrundlage, Rollenverteilung, Anbieterunterlagen, Datentransfers und Risiken prüfen. Erst danach sollte ein Tool für Fachbereiche freigegeben werden.

Ist ChatGPT DSGVO-konform?

Die Frage lässt sich nicht pauschal mit Ja oder Nein beantworten. Entscheidend sind Tarif, Vertragslage, Datenarten, Speicher- und Trainingsregeln, Übermittlungen in Drittländer und der konkrete Use Case. Unternehmen sollten deshalb nie nur auf öffentliche Aussagen des Anbieters vertrauen, sondern eine eigene dokumentierte Prüfung durchführen.

Brauche ich für KI-Tools immer einen AVV?

Nicht für jedes Tool automatisch, aber für viele SaaS- und API-Dienste sehr wohl. Maßgeblich ist, ob der Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet. Wenn ja, ist ein AVV nach Art. 28 DSGVO Pflicht. Wenn der Anbieter Daten für eigene Zwecke nutzt, kann eine andere Rollenverteilung vorliegen, die gesondert bewertet werden muss.

Wann ist KI im Unternehmen besonders riskant?

Besonders riskant ist KI dort, wo sensible Daten, Beschäftigtendaten, Profiling, Scoring oder Entscheidungen mit erheblicher Wirkung auf Menschen betroffen sind. Gleiches gilt für verdeckte Datennutzung, unklare Drittlandtransfers und offene Eingabefelder ohne interne Richtlinien.

Reicht der EU AI Act für Compliance aus?

Nein. Der EU AI Act ersetzt die DSGVO nicht. Selbst wenn ein Anbieter sein Produkt als AI-Act-ready darstellt, bleiben Datenschutzpflichten wie Rechtsgrundlage, Transparenz, Betroffenenrechte, AVV und DSFA eigenständig bestehen. Unternehmen müssen beide Regime zusammen betrachten.

Was passiert bei Verstößen?

Verstöße gegen die DSGVO können zu aufsichtsbehördlichen Maßnahmen, Anpassungsanordnungen, Bußgeldern und Schadensersatzansprüchen führen. Zusätzlich drohen arbeitsrechtliche Konflikte, etwa bei fehlender Betriebsratsbeteiligung, sowie vertragliche und reputative Schäden, wenn sensible Daten unkontrolliert in externe KI-Systeme gelangen.

Nächster Schritt für Unternehmen

Wenn Sie datenschutzkonforme KI im Unternehmen einführen oder bestehende KI-Workflows nachträglich prüfen möchten, sollten Sie nicht mit abstrakten Policies beginnen, sondern mit dem tatsächlichen Datenfluss und dem konkreten Tool-Setup. Genau daraus ergibt sich, ob AVV, DSFA, Transferprüfung, Betriebsratsbeteiligung oder AI-Act-Klassifizierung erforderlich sind.

Compound Law unterstützt Unternehmen in Deutschland und im DACH-Raum bei KI-Beschaffung, AVV-Prüfung, Datenschutz-Governance, DSFA, AI-Act-Readiness und Vertragsverhandlungen mit Anbietern. Für eine erste operative Einordnung können Sie mit unserer DSGVO-Checkliste für KI-Tools starten oder direkt ein Gespräch über KI-Compliance-Rechtsberatung anfragen.

---

Dieser Beitrag stellt allgemeine Informationen zu datenschutzkonformer KI, DSGVO und EU AI Act bereit. Ob ein konkreter KI-Einsatz zulässig ist, hängt von Datenarten, Rollenverteilung, technischer Konfiguration, Branche und tatsächlichen Auswirkungen auf Betroffene ab und sollte im Einzelfall rechtlich geprüft werden.