DSGVO und AI — Grundlagen

AI-Systeme verarbeiten Daten — und wenn diese Daten personenbezogen sind, greift die DSGVO. In dieser Lektion klären wir, wann und wie die DSGVO auf AI-Anwendungen anwendbar ist und welche Verantwortlichkeiten sich daraus ergeben.

Wann ist die DSGVO relevant für AI?

Die DSGVO greift immer dann, wenn ein AI-System personenbezogene Daten verarbeitet. Das umfasst:

Offensichtlich personenbezogen: Name, E-Mail, Telefonnummer, Foto
Indirekt personenbezogen: IP-Adressen, Standortdaten, Verhaltensmuster
AI-spezifisch problematisch: Freitext-Eingaben in Chatbots, Sprachaufnahmen, Gesichtsbilder
Trainingsdaten: Wenn das Modell mit personenbezogenen Daten trainiert wurde

Häufiger Irrtum: „Wir nutzen nur eine API"

Auch wenn Sie ein externes LLM über eine API nutzen (z. B. OpenAI, Anthropic), verarbeiten Sie personenbezogene Daten, sobald:

Nutzer Freitext eingeben, der Namen, Adressen oder andere persönliche Infos enthält
Sie Kundendaten an das Modell zur Analyse senden
Metadaten (IP, Session-ID) an den API-Provider übermittelt werden

Verantwortlichkeiten klären

Die DSGVO unterscheidet drei Rollen:

Rolle	Beschreibung	Beispiel im AI-Kontext
Verantwortlicher (Controller)	Bestimmt Zweck und Mittel der Verarbeitung	Ihr Unternehmen, das ein AI-Tool einsetzt
Auftragsverarbeiter (Processor)	Verarbeitet Daten im Auftrag des Verantwortlichen	Cloud-AI-Provider (OpenAI, Azure AI)
Gemeinsam Verantwortliche (Joint Controllers)	Bestimmen gemeinsam Zweck und Mittel	Wenn Sie mit einem Partner AI-Modelle trainieren

Entscheidend: Als Unternehmen, das ein AI-Tool einsetzt, sind Sie in der Regel der Verantwortliche — auch wenn die eigentliche AI-Verarbeitung beim Provider stattfindet. Sie tragen die Compliance-Verantwortung.

Die 7 DSGVO-Grundsätze im AI-Kontext

Grundsatz	Bedeutung für AI
Rechtmäßigkeit	Rechtsgrundlage für jede Datenverarbeitung nötig
Zweckbindung	Daten nur für den definierten AI-Zweck nutzen
Datenminimierung	Nur die Daten an die AI senden, die wirklich nötig sind
Richtigkeit	AI-Outputs auf Korrektheit prüfen, bevor sie verwendet werden
Speicherbegrenzung	Prompts und Responses nicht unbegrenzt speichern
Integrität & Vertraulichkeit	Verschlüsselung, Zugriffskontrollen, sichere APIs
Rechenschaftspflicht	Nachweis der Compliance dokumentieren

Besondere Kategorien personenbezogener Daten

AI-Systeme verarbeiten oft unbeabsichtigt sensible Daten (Art. 9 DSGVO):

Gesundheitsdaten (in Freitext-Eingaben)
Biometrische Daten (Stimme, Gesicht)
Politische Meinungen oder religiöse Überzeugungen (in Textanalysen)
Gewerkschaftszugehörigkeit (in HR-Dokumenten)

Folge: Die Verarbeitung besonderer Kategorien ist grundsätzlich verboten — es sei denn, eine der engen Ausnahmen in Art. 9 Abs. 2 DSGVO greift (z. B. ausdrückliche Einwilligung).