Transparenzhinweis: Dieser Artikel ist auf der Website von SkillSprinters veröffentlicht. SkillSprinters ist Anbieter einer KI-Weiterbildung und steht damit in einem Wettbewerbsverhaeltnis zu einigen der hier genannten Anbieter bzw. deren Geschäftsfeldern. Wir bemuehen uns um eine faire Darstellung anhand öffentlich zugaenglicher Informationen, sind aber nicht neutral. Alle Angaben zu Preisen und Funktionen beruhen auf öffentlich zugaenglichen Herstellerangaben. Stand der Recherche: April 2026, Angaben ohne Gewaehr. Verbindlich sind ausschließlich die Angaben der jeweiligen Anbieter.
Eine KI Datenschutz Checkliste braucht jedes Unternehmen, das ChatGPT, Microsoft Copilot oder Claude im Arbeitsalltag einsetzt. Jede Eingabe in ein KI-System kann personenbezogene Daten enthalten. Und jede Verarbeitung faellt unter die DSGVO. Die meisten Unternehmen nutzen KI laengst. Eine Richtlinie, einen Auftragsverarbeitungsvertrag oder eine Datenschutzfolgenabschätzung haben nur die wenigsten. Diese 15 Punkte schließen die Luecke.
Warum Unternehmen jetzt handeln müssen
36 Prozent der deutschen Unternehmen nutzen KI. Keine 10 Prozent haben die Datenschutzanforderungen vollständig umgesetzt. Die Aufsichtsbehörden haben KI als Prüfschwerpunkt für 2026 angekuendigt. Das BayLDA hat im Februar 2024 systematisch 350 Websites auf Cookie-Banner-Compliance geprüft. KI-Audits werden nach demselben Muster laufen.
Bei Verstoessen drohen Bussgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (Art. 83 DSGVO). Dazu Schadensersatzansprueche nach Art. 82, Unterlassungsklagen von Verbraucherschutzverbaenden und Reputationsschaden bei Kunden und Geschäftspartnern.
Die allermeisten Punkte dieser Checkliste sind einmalige Maßnahmen. Ein bis zwei Arbeitstage, dann stehst du rechtlich sauber da.
Die 15-Punkte-Checkliste
Punkt 1: Bestandsaufnahme, welche KI-Tools im Einsatz sind
Bevor du regulieren kannst, musst du wissen, was laeuft. Erstelle eine Liste aller KI-Tools, die im Unternehmen verwendet werden:
- ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google)
- Microsoft Copilot (in Office 365, Teams, Outlook)
- KI-Funktionen in bestehender Software (CRM, Buchhaltung, Marketing)
- Bild- und Video-Generierung (Midjourney, DALL-E, Flux)
- Transkriptionsdienste (Otter, Whisper)
- Chatbots auf der eigenen Website
Für jedes Tool dokumentieren: Anbieter, Sitz des Anbieters (EU oder Drittland), welche Daten eingegeben werden, wer im Unternehmen Zugriff hat.
In der Praxis ist dieser Schritt meist der aufwendigste. Wir sehen bei Firmen ab 20 Mitarbeitern regelmäßig, dass zwei Drittel aller tatsächlich genutzten KI-Tools der Geschäftsführung nicht bekannt sind. Plane dafür eine Woche ein und hol dir die Informationen aus den Teams, nicht nur aus der IT.
Punkt 2: Rechtsgrundlage für jede KI-Verarbeitung festlegen
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für KI-Nutzung kommen in Frage:
- Art. 6 Abs. 1 lit. f (berechtigtes Interesse): Wenn du KI für interne Prozessoptimierung nutzt und keine sensiblen Daten verarbeitest. Beispiel: KI-gestuetzte Textanalyse von öffentlich verfuegbaren Informationen.
- Art. 6 Abs. 1 lit. b (Vertragserfüllung): Wenn die KI-Verarbeitung für die Erfüllung eines Vertrags mit dem Betroffenen nötig ist. Beispiel: KI-Chatbot beantwortet Kundenanfragen.
- Art. 6 Abs. 1 lit. a (Einwilligung): Wenn keine andere Rechtsgrundlage greift. Beispiel: KI analysiert Bewerbungsunterlagen.
Die Rechtsgrundlage muss vor der Verarbeitung festgelegt und dokumentiert werden, nicht nachtraeglich.
Punkt 3: Auftragsverarbeitungsvertrag mit jedem KI-Anbieter
Sobald ein externes KI-Tool personenbezogene Daten verarbeitet, und das ist bei fast jeder Nutzung der Fall, ist der Anbieter dein Auftragsverarbeiter nach Art. 28 DSGVO. Du brauchst einen AVV.
OpenAI stellt unter privacy.openai.com/policies ein Data Processing Addendum bereit, das aktiv akzeptiert werden muss. Microsoft deckt Copilot über die bestehende Microsoft-DPA ab, die du als Microsoft-365-Kunde bereits unterschrieben hast. Die KI-spezifischen Klauseln solltest du trotzdem prüfen. Google laeuft über die Google-Cloud-DPA, ähnlich wie bei Microsoft. Bei Anthropic musst du den DPA separat anfordern.
Checkliste für jeden AVV: Weisungsgebundenheit, technische und organisatorische Maßnahmen, Subunternehmer-Liste, Audit-Rechte, Loeschpflichten. Fehlt etwas, nachverhandeln oder Anbieter wechseln.
Punkt 4: Drittlandtransfer prüfen und dokumentieren
Wenn der KI-Anbieter Daten in die USA oder ein anderes Drittland übertraegt, brauchst du eine zusätzliche Rechtsgrundlage für den Transfer. Seit Juli 2023 gilt der Angemessenheitsbeschluss der EU-Kommission für das EU-US Data Privacy Framework. OpenAI, Google, Microsoft und Anthropic sind unter dem DPF zertifiziert. Prüfe die Zertifizierung unter dataprivacyframework.gov.
Falls der Anbieter nicht DPF-zertifiziert ist, müssen die aktuellen EU-Standardvertragsklauseln (Version Juni 2021) vereinbart werden.
Dokumentiere: Welcher Anbieter, welches Drittland, welche Rechtsgrundlage für den Transfer, Datum der Prüfung. Plane das als jaehrlich wiederkehrende Aufgabe. Das DPF ist politisch nicht unumstritten, und eine Zertifizierung kann entzogen werden.
Punkt 5: Datenschutzfolgenabschätzung (DSFA) erstellen
Nach Art. 35 DSGVO ist eine DSFA Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt. Bei KI ist das fast immer der Fall, weil systematische Auswertung personenbezogener Daten stattfindet (Art. 35 Abs. 3 lit. a), neue Technologien im Einsatz sind (Erwaegungsgrund 91) und in vielen Fällen umfangreich verarbeitet wird (Art. 35 Abs. 3 lit. b).
Eine DSFA muss kein 50-seitiges Dokument sein. Sie beschreibt die Verarbeitung und ihren Zweck, bewertet Notwendigkeit und Verhaeltnismaessigkeit, analysiert die Risiken für Betroffene und dokumentiert die Maßnahmen zur Risikominimierung. Für typische KI-Anwendungen (Textgenerierung, Datenanalyse) reichen 5 bis 10 Seiten mit strukturierter Risikoanalyse.
Punkt 6: Verarbeitungsverzeichnis um KI-Tätigkeiten ergänzen
Dein bestehendes Verarbeitungsverzeichnis (Art. 30 DSGVO) muss um jede KI-Verarbeitung ergaenzt werden. Pro KI-Tool ein Eintrag mit: - Bezeichnung und Zweck der Verarbeitung - Kategorien betroffener Personen (Kunden, Mitarbeiter, Bewerber) - Kategorien personenbezogener Daten - Empfaenger (KI-Anbieter, ggf. Subunternehmer) - Geplante Loeschfristen - Technische und organisatorische Maßnahmen
Punkt 7: KI-Richtlinie für Mitarbeiter erstellen
Die groesste Schwachstelle ist nicht die Technik. Es ist das Verhalten der Mitarbeiter. Ohne klare Regeln landen Kundendaten, Personaldaten und Geschäftsgeheimnisse in ChatGPT.
Mindestinhalt einer KI-Richtlinie: - Welche KI-Tools dürfen genutzt werden (Positivliste) - Welche Daten dürfen NICHT eingegeben werden (z.B. Namen, Adressen, Gehaelter, Gesundheitsdaten, Kundendaten) - Anonymisierungspflicht vor der Eingabe (z.B. "Kunde A" statt "Max Müller") - Prüfpflicht für KI-generierte Inhalte (Faktencheck, Urheberrecht) - Kennzeichnungspflicht für KI-generierte Inhalte (intern und extern) - Meldepflicht bei versehentlicher Eingabe sensibler Daten
Punkt 8: Informationspflichten gegenüber Betroffenen erfüllen
Wenn du KI zur Verarbeitung personenbezogener Daten nutzt, müssen die Betroffenen darüber informiert werden (Art. 13/14 DSGVO). Kunden bekommen den Hinweis in der Datenschutzerklärung, Mitarbeiter über eine Betriebsvereinbarung oder Info-Mail, Bewerber beim Eingang der Bewerbung.
Beispieltext für die Datenschutzerklärung: "Wir setzen KI-Systeme von [Anbieter] zur [Zweck] ein. Dabei werden [Kategorien von Daten] verarbeitet. Rechtsgrundlage ist [Art. 6 Abs. 1 lit. X DSGVO]. Daten werden an [Anbieter] in [Land] übermittelt auf Basis von [DPF/SCC]."
Punkt 9: Technische Schutzmaßnahmen implementieren
- Verschluesselung: Alle Datenübertragungen an KI-Anbieter über HTTPS/TLS
- Zugriffskontrolle: Nur autorisierte Mitarbeiter dürfen KI-Tools nutzen (SSO, rollenbasierter Zugriff)
- API-Schluessel schuetzen: Keine API-Keys im Code, zentrale Verwaltung über Secrets Manager
- Logging: Protokollierung, wer wann welche Daten an welches KI-Tool übermittelt hat
- Datensparsamkeit: Nur die minimal nötigen Daten eingeben, nie mehr als nötig
Punkt 10: Training-Opt-Out bei KI-Anbietern aktivieren
Viele KI-Anbieter nutzen deine Eingaben, um ihre Modelle zu trainieren. Das ist datenschutzrechtlich problematisch, weil eingegebene Daten in zukünftige Modell-Outputs einfliessen können.
Bei OpenAI deaktivierst du das unter Settings, Data Controls, "Improve the model for everyone". In ChatGPT Team und Enterprise ist das Training-Opt-Out Standard. Microsoft nutzt bei 365 E3 und E5 keine Daten für Modelltraining, die kostenlose Bing-Chat-Version hat kein Opt-Out. Bei Google Gemini werden Workspace-Daten nicht für Training verwendet, private Accounts können das Opt-Out in den Aktivitaetseinstellungen setzen.
Punkt 11: Keine automatisierte Einzelentscheidung ohne Absicherung
Art. 22 DSGVO verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung haben. Das betrifft KI-basierte Bewerberauswahl ohne menschliche Prüfung, automatische Kreditentscheidungen und KI-basierte Leistungsbewertung von Mitarbeitern.
Lösung: Jede KI-gestuetzte Entscheidung mit rechtlicher Wirkung muss von einem Menschen geprüft und bestätigt werden. Die KI liefert einen Vorschlag, der Mensch entscheidet.
Punkt 12: Löschkonzept für KI-generierte Daten
Auch KI-generierte Daten unterliegen den Loeschpflichten der DSGVO. Definiere: - Wie lange werden Prompts/Eingaben gespeichert? - Wie lange werden KI-Outputs aufbewahrt? - Werden Chat-Verlaeufe automatisch geloescht? - Wie werden Daten beim KI-Anbieter geloescht (Aufbewahrungsdauer prüfen)?
Punkt 13: Betriebsrat einbinden (falls vorhanden)
Wenn ein Betriebsrat existiert, hat er bei der Einführung von KI-Systemen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG (Einführung technischer Einrichtungen zur Leistungs- und Verhaltenskontrolle). Auch wenn die KI nicht zur Überwachung gedacht ist: Wenn sie theoretisch dazu geeignet waere, greift die Mitbestimmung.
Punkt 14: Regelmäßige Überprüfung einplanen
Datenschutz bei KI ist keine einmalige Aktion. Plane mindestens vierteljaehrlich: - Prüfung, ob neue KI-Tools im Einsatz sind (Schatten-IT) - Prüfung, ob bestehende AVVs noch aktuell sind - Prüfung, ob DPF-Zertifizierungen der US-Anbieter noch gültig sind - Aktualisierung der DSFA bei wesentlichen Änderungen - Schulung neuer Mitarbeiter zur KI-Richtlinie
Punkt 15: KI-Kompetenz im Unternehmen aufbauen
Datenschutz bei KI funktioniert nur, wenn die Mitarbeiter verstehen, was sie tun. Investiere in Schulungen: - Was ist KI und wie funktioniert sie grundlegend? - Warum sind Dateneingaben in KI-Tools datenschutzrelevant? - Wie anonymisiere ich Daten vor der Eingabe? - Was mache ich bei einem Datenschutzvorfall?
Der kostenlose KI-Schnupperkurs von SkillSprinters ist ein geeigneter Einstieg für Teams, die KI verstehen und verantwortungsvoll nutzen sollen. Inhalte zu Datenschutz und Art. 4 KI-VO sind integriert.
Kurzversion der Checkliste zum Ausdrucken
| # | Maßnahme | Erledigt? |
|---|---|---|
| 1 | Bestandsaufnahme aller KI-Tools | ☐ |
| 2 | Rechtsgrundlage pro Tool festgelegt | ☐ |
| 3 | AVV mit jedem KI-Anbieter geschlossen | ☐ |
| 4 | Drittlandtransfer geprüft und dokumentiert | ☐ |
| 5 | DSFA erstellt | ☐ |
| 6 | Verarbeitungsverzeichnis ergänzt | ☐ |
| 7 | KI-Richtlinie für Mitarbeiter erstellt | ☐ |
| 8 | Informationspflichten erfüllt (DSE, Bewerber, MA) | ☐ |
| 9 | Technische Schutzmaßnahmen implementiert | ☐ |
| 10 | Training-Opt-Out aktiviert | ☐ |
| 11 | Automatisierte Einzelentscheidungen abgesichert | ☐ |
| 12 | Löschkonzept definiert | ☐ |
| 13 | Betriebsrat eingebunden (falls vorhanden) | ☐ |
| 14 | Vierteljährliche Überprüfung geplant | ☐ |
| 15 | Mitarbeiter geschult | ☐ |
Häufige Fragen
Brauche ich für ChatGPT wirklich einen Auftragsverarbeitungsvertrag?
Ja, sobald Mitarbeiter personenbezogene Daten eingeben (auch versehentlich). OpenAI stellt ein Data Processing Addendum (DPA) bereit, das du aktiv akzeptieren musst. Bei ChatGPT Team/Enterprise ist der AVV im Vertrag enthalten. Bei der kostenlosen Version ist der Datenschutz deutlich schlechter geregelt. Empfehlung: Mindestens ChatGPT Team nutzen.
Was passiert, wenn ein Mitarbeiter versehentlich Kundendaten in ChatGPT eingibt?
Das ist ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO, wenn ein Risiko für die Betroffenen besteht. Du musst den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde melden. Deshalb ist die KI-Richtlinie (Punkt 7) so zentral: Sie reduziert das Risiko solcher Vorfälle und dokumentiert, dass du Vorsorgemaßnahmen getroffen hast.
Ist die Nutzung von US-amerikanischen KI-Diensten überhaupt noch erlaubt?
Ja, solange der Anbieter unter dem EU-US Data Privacy Framework (DPF) zertifiziert ist. OpenAI, Microsoft, Google und Anthropic sind DPF-zertifiziert (Stand April 2026). Das DPF ist der Nachfolger des vom EuGH gekippten Privacy Shield und basiert auf einem Angemessenheitsbeschluss der EU-Kommission. Eine zusätzliche Absicherung über Standardvertragsklauseln ist sinnvoll, aber nicht zwingend erforderlich.
Wie umfangreich muss die Datenschutzfolgenabschätzung sein?
Es gibt keine vorgeschriebene Seitenzahl. Für typische KI-Anwendungen (Textgenerierung, Zusammenfassung, Übersetzung) reichen 5 bis 10 Seiten. Die Struktur muss stimmen: Beschreibung der Verarbeitung, Bewertung der Risiken, geplante Maßnahmen. Die Datenschutzkonferenz (DSK) stellt Muster-DSFAs zur Verfuegung, die als Vorlage dienen können.
Gilt die Checkliste auch für selbst gehostete KI-Modelle?
Teilweise. Bei selbst gehosteten Modellen (z.B. Llama, Mistral auf eigenen Servern) entfallen die Punkte zu Drittlandtransfer und AVV mit dem KI-Anbieter. Die uebrigen Punkte (Rechtsgrundlage, DSFA, Verarbeitungsverzeichnis, KI-Richtlinie, Informationspflichten, Loeschkonzept) gelten unverändert. Self-Hosting ist datenschutzrechtlich einfacher, aber technisch aufwaendiger.
Müssen KI-generierte Texte als solche gekennzeichnet werden?
Die DSGVO schreibt keine KI-Kennzeichnung vor. Der EU AI Act verlangt jedoch für bestimmte KI-Systeme eine Kennzeichnung. Die KI-Kompetenzpflicht (Art. 4) gilt bereits seit dem 02.02.2025, Hochrisiko-Pflichten werden ab August 2026 anwendbar. Wenn KI-generierte Inhalte als menschlich erstellt missverstanden werden könnten und das Betroffene schaedigen kann, ist eine Kennzeichnung ratsam. Intern solltest du immer kennzeichnen, um Verantwortlichkeiten klar zu halten.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.