Transparenzhinweis: Dieser Artikel ist auf der Website von SkillSprinters veroeffentlicht. SkillSprinters ist Anbieter einer KI-Weiterbildung und steht damit in einem Wettbewerbsverhaeltnis zu einigen der hier genannten Anbieter bzw. deren Geschaeftsfeldern. Wir bemuehen uns um eine faire Darstellung anhand oeffentlich zugaenglicher Informationen, sind aber nicht neutral. Alle Angaben zu Preisen und Funktionen beruhen auf oeffentlich zugaenglichen Herstellerangaben. Stand der Recherche: April 2026, Angaben ohne Gewaehr. Verbindlich sind ausschliesslich die Angaben der jeweiligen Anbieter.
Eine KI Datenschutz Checkliste braucht jedes Unternehmen, das KI-Tools wie ChatGPT, Microsoft Copilot oder Claude im Arbeitsalltag einsetzt. Denn jede Eingabe in ein KI-System kann personenbezogene Daten enthalten, und jede Verarbeitung unterliegt der DSGVO. Das Problem: Die meisten Unternehmen nutzen KI bereits, haben aber weder eine Richtlinie noch eine Datenschutzfolgenabschätzung erstellt. Diese 15-Punkte-Checkliste zeigt dir Schritt für Schritt, was du brauchst, um KI rechtskonform einzusetzen.
Das Wichtigste in Kürze
- Jede Eingabe personenbezogener Daten in ein KI-Tool ist eine Datenverarbeitung im Sinne der DSGVO
- Ohne Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter ist die Nutzung rechtswidrig
- Eine Datenschutzfolgenabschätzung (DSFA) ist bei systematischer KI-Nutzung Pflicht
- US-Anbieter (OpenAI, Google, Microsoft) sind nur mit EU-US Data Privacy Framework zulässig
- Mitarbeiter brauchen eine klare KI-Richtlinie, was sie eingeben dürfen und was nicht
- Das Verarbeitungsverzeichnis muss um KI-Tätigkeiten ergänzt werden
- Die Checkliste lässt sich in einem Tag abarbeiten und sichert das Unternehmen rechtlich ab
Warum Unternehmen jetzt handeln müssen
36 % der deutschen Unternehmen nutzen KI, aber weniger als 10 % haben die Datenschutzanforderungen vollständig umgesetzt. Die Datenschutzaufsichtsbehörden haben KI als Prüfschwerpunkt für 2026 angekündigt. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Februar 2024 bereits 350+ Websites systematisch geprüft. Ähnliche Prüfungen für KI-Nutzung sind angekündigt.
Die Risiken bei Verstößen: - Bußgelder bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO) - Schadensersatzansprüche betroffener Personen (Art. 82 DSGVO) - Unterlassungsklagen von Verbraucherschutzverbänden - Reputationsschaden bei Kunden und Geschäftspartnern
Die gute Nachricht: Mit dieser Checkliste deckst du die wesentlichen Anforderungen ab. Die meisten Punkte sind einmalige Maßnahmen, die du in ein bis zwei Tagen umsetzen kannst.
Die 15-Punkte-Checkliste
Punkt 1: Bestandsaufnahme, welche KI-Tools im Einsatz sind
Bevor du irgendetwas regulieren kannst, musst du wissen, was überhaupt genutzt wird. Erstelle eine Liste aller KI-Tools, die im Unternehmen verwendet werden:
- ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google)
- Microsoft Copilot (in Office 365, Teams, Outlook)
- KI-Funktionen in bestehender Software (CRM, Buchhaltung, Marketing)
- Bild- und Video-Generierung (Midjourney, DALL-E, Flux)
- Transkriptionsdienste (Otter, Whisper)
- Chatbots auf der eigenen Website
Für jedes Tool dokumentieren: Anbieter, Sitz des Anbieters (EU oder Drittland), welche Daten eingegeben werden, wer im Unternehmen Zugriff hat.
Punkt 2: Rechtsgrundlage für jede KI-Verarbeitung festlegen
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für KI-Nutzung kommen in Frage:
- Art. 6 Abs. 1 lit. f (berechtigtes Interesse): Wenn du KI für interne Prozessoptimierung nutzt und keine sensiblen Daten verarbeitest. Beispiel: KI-gestützte Textanalyse von öffentlich verfügbaren Informationen.
- Art. 6 Abs. 1 lit. b (Vertragserfüllung): Wenn die KI-Verarbeitung für die Erfüllung eines Vertrags mit dem Betroffenen nötig ist. Beispiel: KI-Chatbot beantwortet Kundenanfragen.
- Art. 6 Abs. 1 lit. a (Einwilligung): Wenn keine andere Rechtsgrundlage greift. Beispiel: KI analysiert Bewerbungsunterlagen.
Wichtig: Die Rechtsgrundlage muss VOR der Verarbeitung festgelegt und dokumentiert werden, nicht nachträglich.
Punkt 3: Auftragsverarbeitungsvertrag (AVV) mit jedem KI-Anbieter
Wenn ein externes KI-Tool personenbezogene Daten verarbeitet (und das ist bei fast jeder Nutzung der Fall), ist der Anbieter dein Auftragsverarbeiter nach Art. 28 DSGVO. Du brauchst einen AVV.
OpenAI (ChatGPT): AVV verfügbar unter privacy.openai.com/policies (Data Processing Addendum, DPA). Muss aktiv akzeptiert werden.
Microsoft (Copilot): Teil der bestehenden Microsoft DPA, die du als Microsoft-365-Kunde bereits akzeptiert hast. Prüfe trotzdem, ob die KI-spezifischen Klauseln enthalten sind.
Google (Gemini): Google Cloud DPA, ähnlich wie bei Microsoft als Teil der bestehenden Cloud-Vereinbarung.
Anthropic (Claude): DPA verfügbar, muss separat angefordert werden.
Checkliste AVV: Enthält er Weisungsgebundenheit, technische/organisatorische Maßnahmen, Subunternehmer-Liste, Audit-Rechte, Löschpflichten? Wenn nicht: nachverhandeln oder Anbieter wechseln.
Punkt 4: Drittlandtransfer prüfen und dokumentieren
Wenn der KI-Anbieter Daten in die USA oder ein anderes Drittland überträgt, brauchst du eine zusätzliche Rechtsgrundlage für den Transfer:
- EU-US Data Privacy Framework (DPF): Seit Juli 2023 gilt der Angemessenheitsbeschluss der EU-Kommission. OpenAI, Google, Microsoft und Anthropic sind unter dem DPF zertifiziert. Prüfe die Zertifizierung unter dataprivacyframework.gov.
- Standardvertragsklauseln (SCC): Falls der Anbieter nicht DPF-zertifiziert ist, müssen die aktuellen EU-SCCs (Version Juni 2021) vereinbart werden.
Dokumentiere: Welcher Anbieter, welches Drittland, welche Rechtsgrundlage für den Transfer (DPF oder SCC), Datum der Prüfung.
Punkt 5: Datenschutzfolgenabschätzung (DSFA) erstellen
Nach Art. 35 DSGVO ist eine DSFA Pflicht, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko" für Betroffene birgt. Bei KI ist das fast immer der Fall, weil: - Systematische Auswertung personenbezogener Daten (Art. 35 Abs. 3 lit. a) - Neue Technologien im Einsatz (Erwägungsgrund 91) - Umfangreiche Verarbeitung (Art. 35 Abs. 3 lit. b)
Eine DSFA enthält: 1. Beschreibung der Verarbeitung und ihres Zwecks 2. Bewertung der Notwendigkeit und Verhältnismäßigkeit 3. Bewertung der Risiken für Betroffene 4. Geplante Maßnahmen zur Risikominimierung
Keine Panik: Die DSFA muss kein 50-seitiges Dokument sein. Für typische KI-Anwendungen (Textgenerierung, Datenanalyse) reichen 5-10 Seiten mit strukturierter Risikoanalyse.
Punkt 6: Verarbeitungsverzeichnis um KI-Tätigkeiten ergänzen
Dein bestehendes Verarbeitungsverzeichnis (Art. 30 DSGVO) muss um jede KI-Verarbeitung ergänzt werden. Pro KI-Tool ein Eintrag mit: - Bezeichnung und Zweck der Verarbeitung - Kategorien betroffener Personen (Kunden, Mitarbeiter, Bewerber) - Kategorien personenbezogener Daten - Empfänger (KI-Anbieter, ggf. Subunternehmer) - Geplante Löschfristen - Technische und organisatorische Maßnahmen
Punkt 7: KI-Richtlinie für Mitarbeiter erstellen
Die größte Schwachstelle ist nicht die Technik, sondern das Verhalten der Mitarbeiter. Ohne klare Regeln geben Mitarbeiter Kundendaten, Personaldaten oder Geschäftsgeheimnisse in ChatGPT ein.
Mindestinhalt einer KI-Richtlinie: - Welche KI-Tools dürfen genutzt werden (Positivliste) - Welche Daten dürfen NICHT eingegeben werden (z.B. Namen, Adressen, Gehälter, Gesundheitsdaten, Kundendaten) - Anonymisierungspflicht vor der Eingabe (z.B. "Kunde A" statt "Max Müller") - Prüfpflicht für KI-generierte Inhalte (Faktencheck, Urheberrecht) - Kennzeichnungspflicht für KI-generierte Inhalte (intern und extern) - Meldepflicht bei versehentlicher Eingabe sensibler Daten
Punkt 8: Informationspflichten gegenüber Betroffenen erfüllen
Wenn du KI zur Verarbeitung personenbezogener Daten nutzt, müssen die Betroffenen darüber informiert werden (Art. 13/14 DSGVO). Das betrifft:
- Kunden: Datenschutzerklärung auf der Website um KI-Verarbeitung ergänzen
- Mitarbeiter: Information über KI-Nutzung im Betrieb (z.B. im Rahmen der Betriebsvereinbarung)
- Bewerber: Hinweis, wenn KI bei der Auswertung von Bewerbungen eingesetzt wird
Beispieltext für die Datenschutzerklärung: "Wir setzen KI-Systeme von [Anbieter] zur [Zweck] ein. Dabei werden [Kategorien von Daten] verarbeitet. Rechtsgrundlage ist [Art. 6 Abs. 1 lit. X DSGVO]. Daten werden an [Anbieter] in [Land] übermittelt auf Basis von [DPF/SCC]."
Punkt 9: Technische Schutzmaßnahmen implementieren
- Verschlüsselung: Alle Datenübertragungen an KI-Anbieter über HTTPS/TLS
- Zugriffskontrolle: Nur autorisierte Mitarbeiter dürfen KI-Tools nutzen (SSO, rollenbasierter Zugriff)
- API-Schlüssel schützen: Keine API-Keys im Code, zentrale Verwaltung über Secrets Manager
- Logging: Protokollierung, wer wann welche Daten an welches KI-Tool übermittelt hat
- Datensparsamkeit: Nur die minimal nötigen Daten eingeben, nie mehr als nötig
Punkt 10: Training-Opt-Out bei KI-Anbietern aktivieren
Viele KI-Anbieter nutzen deine Eingaben, um ihre Modelle zu trainieren. Das ist datenschutzrechtlich problematisch, weil eingegebene Daten in zukünftige Modell-Outputs einfließen können.
OpenAI (ChatGPT): Opt-Out über Settings → Data Controls → "Improve the model for everyone" deaktivieren. Oder: ChatGPT Team/Enterprise nutzen (Training Opt-Out ist dort Standard).
Microsoft Copilot: Bei Microsoft 365 E3/E5 werden Daten standardmäßig nicht für Modelltraining verwendet. Bei der kostenlosen Bing-Chat-Version gibt es kein Opt-Out.
Google Gemini: Bei Workspace-Accounts werden Daten nicht für Training verwendet. Bei privaten Accounts: Opt-Out über Aktivitätseinstellungen.
Punkt 11: Keine automatisierte Einzelentscheidung ohne Absicherung
Art. 22 DSGVO verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung haben. Das betrifft: - KI-basierte Bewerberauswahl (ohne menschliche Prüfung) - Automatische Kreditentscheidungen - KI-basierte Leistungsbewertung von Mitarbeitern
Lösung: Jede KI-gestützte Entscheidung mit rechtlicher Wirkung muss von einem Menschen geprüft und bestätigt werden. Die KI liefert einen Vorschlag, der Mensch entscheidet.
Punkt 12: Löschkonzept für KI-generierte Daten
Auch KI-generierte Daten unterliegen den Löschpflichten der DSGVO. Definiere: - Wie lange werden Prompts/Eingaben gespeichert? - Wie lange werden KI-Outputs aufbewahrt? - Werden Chat-Verläufe automatisch gelöscht? - Wie werden Daten beim KI-Anbieter gelöscht (Aufbewahrungsdauer prüfen)?
Punkt 13: Betriebsrat einbinden (falls vorhanden)
Wenn ein Betriebsrat existiert, hat er bei der Einführung von KI-Systemen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG (Einführung technischer Einrichtungen zur Leistungs- und Verhaltenskontrolle). Auch wenn die KI nicht zur Überwachung gedacht ist: Wenn sie theoretisch dazu geeignet wäre, greift die Mitbestimmung.
Punkt 14: Regelmäßige Überprüfung einplanen
Datenschutz bei KI ist keine einmalige Aktion. Plane mindestens vierteljährlich: - Prüfung, ob neue KI-Tools im Einsatz sind (schatten-IT) - Prüfung, ob bestehende AVVs noch aktuell sind - Prüfung, ob DPF-Zertifizierungen der US-Anbieter noch gültig sind - Aktualisierung der DSFA bei wesentlichen Änderungen - Schulung neuer Mitarbeiter zur KI-Richtlinie
Punkt 15: KI-Kompetenz im Unternehmen aufbauen
Datenschutz bei KI funktioniert nur, wenn die Mitarbeiter verstehen, was sie tun. Investiere in Schulungen: - Was ist KI und wie funktioniert sie grundlegend? - Warum sind Dateneingaben in KI-Tools datenschutzrelevant? - Wie anonymisiere ich Daten vor der Eingabe? - Was mache ich bei einem Datenschutzvorfall?
SkillSprinters bietet geförderte Weiterbildungen im Bereich KI und Digitalisierung an, die auch Datenschutzaspekte abdecken. Der kostenlose KI-Schnupperkurs ist ein guter Einstieg für Mitarbeiter, die KI verstehen und verantwortungsvoll nutzen sollen.
Kurzversion der Checkliste zum Ausdrucken
| # | Maßnahme | Erledigt? |
|---|---|---|
| 1 | Bestandsaufnahme aller KI-Tools | ☐ |
| 2 | Rechtsgrundlage pro Tool festgelegt | ☐ |
| 3 | AVV mit jedem KI-Anbieter geschlossen | ☐ |
| 4 | Drittlandtransfer geprüft und dokumentiert | ☐ |
| 5 | DSFA erstellt | ☐ |
| 6 | Verarbeitungsverzeichnis ergänzt | ☐ |
| 7 | KI-Richtlinie für Mitarbeiter erstellt | ☐ |
| 8 | Informationspflichten erfüllt (DSE, Bewerber, MA) | ☐ |
| 9 | Technische Schutzmaßnahmen implementiert | ☐ |
| 10 | Training-Opt-Out aktiviert | ☐ |
| 11 | Automatisierte Einzelentscheidungen abgesichert | ☐ |
| 12 | Löschkonzept definiert | ☐ |
| 13 | Betriebsrat eingebunden (falls vorhanden) | ☐ |
| 14 | Vierteljährliche Überprüfung geplant | ☐ |
| 15 | Mitarbeiter geschult | ☐ |
Häufige Fragen
Brauche ich für ChatGPT wirklich einen Auftragsverarbeitungsvertrag?
Ja, wenn Mitarbeiter personenbezogene Daten eingeben (auch versehentlich). OpenAI stellt ein Data Processing Addendum (DPA) bereit, das du aktiv akzeptieren musst. Bei ChatGPT Team/Enterprise ist der AVV im Vertrag enthalten. Bei der kostenlosen Version ist der Datenschutz deutlich schlechter geregelt. Empfehlung: Mindestens ChatGPT Team nutzen.
Was passiert, wenn ein Mitarbeiter versehentlich Kundendaten in ChatGPT eingibt?
Das ist ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO, wenn ein Risiko für die Betroffenen besteht. Du musst den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde melden. Deshalb ist die KI-Richtlinie (Punkt 7) so wichtig: Sie reduziert das Risiko solcher Vorfälle und dokumentiert, dass du Vorsorgemaßnahmen getroffen hast.
Ist die Nutzung von US-amerikanischen KI-Diensten überhaupt noch erlaubt?
Ja, solange der Anbieter unter dem EU-US Data Privacy Framework (DPF) zertifiziert ist. OpenAI, Microsoft, Google und Anthropic sind DPF-zertifiziert (Stand April 2026). Das DPF ist der Nachfolger des vom EuGH gekippten Privacy Shield und basiert auf einem Angemessenheitsbeschluss der EU-Kommission. Eine zusätzliche Absicherung über Standardvertragsklauseln ist sinnvoll, aber nicht zwingend erforderlich.
Wie umfangreich muss die Datenschutzfolgenabschätzung sein?
Es gibt keine vorgeschriebene Seitenzahl. Für typische KI-Anwendungen (Textgenerierung, Zusammenfassung, Übersetzung) reichen 5-10 Seiten. Wichtig ist die Struktur: Beschreibung der Verarbeitung, Bewertung der Risiken, geplante Maßnahmen. Die Datenschutzkonferenz (DSK) stellt Muster-DSFAs zur Verfügung, die als Vorlage dienen können.
Gilt die Checkliste auch für selbst gehostete KI-Modelle?
Teilweise. Bei selbst gehosteten Modellen (z.B. Llama, Mistral auf eigenen Servern) entfallen die Punkte zu Drittlandtransfer und AVV mit dem KI-Anbieter. Die übrigen Punkte (Rechtsgrundlage, DSFA, Verarbeitungsverzeichnis, KI-Richtlinie, Informationspflichten, Löschkonzept) gelten unverändert. Self-Hosting ist datenschutzrechtlich einfacher, aber technisch aufwändiger.
Müssen KI-generierte Texte als solche gekennzeichnet werden?
Die DSGVO schreibt keine KI-Kennzeichnung vor. Der EU AI Act verlangt jedoch für bestimmte KI-Systeme eine Kennzeichnung. Die KI-Kompetenzpflicht (Art. 4) gilt bereits seit dem 02.02.2025, Hochrisiko-Pflichten werden ab August 2026 anwendbar. Generell gilt: Wenn KI-generierte Inhalte als menschlich erstellt missverstanden werden könnten und das Betroffene schädigen kann, ist eine Kennzeichnung ratsam. Intern solltest du immer kennzeichnen, um Verantwortlichkeiten klar zu halten.
Fazit
DSGVO-konforme KI-Nutzung ist nicht kompliziert. Die 15 Punkte dieser Checkliste lassen sich in ein bis zwei Tagen abarbeiten. Der wichtigste Schritt ist der erste: Verschaffe dir einen Überblick, welche KI-Tools im Unternehmen genutzt werden, und erstelle eine KI-Richtlinie für deine Mitarbeiter. Alles andere baut darauf auf. Weitere Artikel zu KI-Compliance und Regulierung findest du im SkillSprinters Ratgeber.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.