DSGVO-konforme KI im Unternehmen: Was geht, was nicht
Datenschutz ist beim Thema KI selten das Hindernis, als das er oft dargestellt wird – wenn man ihn von Anfang an mitdenkt. Entscheidend ist, welche Daten verarbeitet werden und wo. Wir zeigen die zwei gängigen Wege und ordnen den aktuellen rechtlichen Rahmen ein.
Zwei Wege, ein klarer Rahmen
Geht KI überhaupt DSGVO-konform?
Ja. Der Schlüssel liegt im Konzept: klare Zweckbindung, ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, Transparenz gegenüber Betroffenen und die Wahl des passenden Betriebsmodells.
Weg 1: KI in der Cloud
Microsoft 365 Copilot läuft unter Enterprise Data Protection; Inhalte werden nicht zum Training genutzt, der Datenstandort lässt sich über die EU Data Boundary berücksichtigen. Pragmatisch, weil Verträge und Zertifizierungen vorliegen.
Weg 2: KI im eigenen Haus
Für besonders sensible Daten lassen sich offene Modelle (etwa Google Gemma) lokal und abgesichert in der eigenen Umgebung betreiben. Die Daten verlassen das Haus nicht – höherer Aufwand, dafür volle Datenhoheit.
Was gilt rechtlich? (Stand 2026)
Neben der DSGVO greift der EU AI Act schrittweise: KI-Kompetenz (Art. 4) und verbotene Praktiken (Art. 5) seit Februar 2025, Pflichten für allgemeine KI-Modelle seit August 2025. Die Kennzeichnungspflicht (Art. 50) greift nach dem ‚Digital Omnibus‘ ab Dezember 2026; viele Hochrisiko-Pflichten wurden auf Ende 2027 verschoben.
Was jetzt tun?
Datenflüsse dokumentieren, AVV mit KI-Anbietern abschließen, Mitarbeitende im Umgang mit KI schulen (Art.-4-Kompetenz) und die Kennzeichnung KI-erzeugter Inhalte vorbereiten. Wir bewerten herstellerneutral, welcher Weg passt.
Hinweis
Diese Seite ist eine fachliche Einordnung, keine Rechtsberatung. Der Zeitplan des EU AI Act wurde 2026 angepasst – für verbindliche Fristen ziehen Sie bitte eine aktuelle Quelle oder Rechtsberatung hinzu.
Kurz beantwortet
Ist Microsoft 365 Copilot DSGVO-konform nutzbar?
Ja, unter Enterprise Data Protection mit AVV; Inhalte werden nicht zum Training genutzt, der Datenstandort lässt sich über die EU Data Boundary steuern.
Können wir KI ohne Cloud betreiben?
Ja, mit lokal laufenden, offenen Modellen in der eigenen Umgebung – sinnvoll bei besonders sensiblen Daten.
Müssen wir KI-Inhalte kennzeichnen?
Die Transparenzpflicht nach Art. 50 EU AI Act greift nach aktuellem Stand ab Dezember 2026 – die Kennzeichnung sollten Sie jetzt vorbereiten.