Die Verordnung über künstliche Intelligenz der Europäischen Union („AI-Act“) schafft erstmals einen einheitlichen Rechtsrahmen für den Einsatz von KI-Systemen. Sie verfolgt einen risikobasierten Ansatz, ersetzt jedoch keinesfalls die DSGVO. Vielmehr gelten beide Regelwerke parallel. Sobald ein KI-System personenbezogene Daten verarbeitet, müssen Unternehmen weiterhin sämtliche datenschutzrechtlichen Vorgaben einhalten. Gerade in der Überschneidung zwischen KI-Regulierung und Datenschutz entstehen derzeit die größten Haftungs- und Compliance-Risiken.
Datenschutz bleibt zentrale Pflicht Künstliche Intelligenz hält zunehmend Einzug in den Unternehmensalltag. Ob automatisierte Bewerberauswahl, KI-gestützte Leistungsanalysen, Chatbots oder intelligente Dokumentenauswertung – die Einsatzmöglichkeiten sind vielfältig. Bereits die Eingabe personenbezogener Daten in KI-Systeme kann dabei eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellen. Dies betrifft etwa:
- Bewerberdaten in Recruiting-Tools
- Mitarbeiterdaten in Analyse- oder Überwachungssystemen
- Kundendaten in Chatbots
- Gesundheitsdaten im betrieblichen Gesundheitsmanagement
- Kommunikationsdaten in KI-gestützten Assistenzsystemen
Unternehmen müssen daher bei jedem Tool prüfen, ob für die jeweilige Verarbeitung eine ausreichende Rechtsgrundlage besteht und ob die Verarbeitung den Grundsätzen der DSGVO entspricht.
Besondere Risiken beim Einsatz von KI Der Einsatz von KI birgt datenschutzrechtlich erhebliche Stolperfallen:
1. Intransparente Datenverarbeitung Viele KI-Systeme arbeiten als sogenannte „Black Box“. Entscheidungen oder Auswertungen sind für Betroffene häufig nicht nachvollziehbar, was mit den Transparenzpflichten der DSGVO kollidiert. Unternehmen müssen dennoch erklären können, welche Daten verarbeitet werden, zu welchem Zweck dies geschieht, wie Entscheidungen zustande kommen und welche Auswirkungen die KI-Nutzung hat. Gerade bei automatisierten Entscheidungen drohen Verstöße gegen Art. 22 DSGVO.
2. Unzulässige Weitergabe personenbezogener Daten Besondere Risiken entstehen bei der Nutzung externer, frei zugänglicher KI-Anwendungen. Werden hier personenbezogene Daten eingegeben, kann oft nicht ausgeschlossen werden, dass diese weiterverarbeitet oder zum Training der Systeme genutzt werden. Ohne geeignete Verträge, technische Schutzmaßnahmen und klare interne Richtlinien drohen Bußgelder.
3. Fehlende Datenminimierung KI-Systeme arbeiten besonders effektiv mit großen Datenmengen. Dies steht im direkten Spannungsverhältnis zum datenschutzrechtlichen Grundsatz der Datenminimierung. Eine vorsorgliche oder unbegrenzte Datensammlung bleibt unzulässig; es dürfen nur Daten verarbeitet werden, die tatsächlich erforderlich sind.
4. Diskriminierungs- und Überwachungsrisiken Der AI-Act stuft bestimmte KI-Anwendungen im Beschäftigungskontext (z. B. Bewerberauswahl, Leistungsbewertung, Verhaltensanalyse) als „Hochrisiko-KI“ ein. Hier bestehen erhebliche Gefahren diskriminierender Entscheidungen oder unverhältnismäßiger Mitarbeiterüberwachung. Arbeitgeber müssen deshalb umfangreiche Kontroll-, Dokumentations- und Risikomanagementpflichten erfüllen.
Pflichten für Unternehmen Unternehmen sollten den Einsatz von KI-Systemen frühzeitig rechtlich prüfen und organisatorisch absichern. Dazu gehören insbesondere:
- Datenschutz-Folgenabschätzungen
- Klare KI-Richtlinien im Unternehmen
- Schulungen für Mitarbeiter
- Abschluss von Auftragsverarbeitungsverträgen
- Prüfung von Drittlandtransfers
- Technische und organisatorische Schutzmaßnahmen
- Dokumentation der KI-Nutzung
- Beteiligung des Betriebsrats bei mitbestimmungspflichtigen Systemen
Fazit Der AI-Act schafft neue regulatorische Anforderungen, doch der Datenschutz bleibt eines der zentralen rechtlichen Risiken. Wer KI nutzt, muss Innovation ermöglichen, aber zugleich Transparenz, Datenschutz und die Rechte von Beschäftigten und Kunden gewährleisten. Ein unkontrollierter Einsatz ohne rechtliche und technische Absicherung sollte zwingend vermieden werden.
