Die aktuelle Lage #
Die europaeische Regulierungslandschaft fuer KI besteht aus zwei Saeulen:
- DSGVO (Verordnung EU 2016/679): seit 2018 in Kraft, regelt den Schutz personenbezogener Daten
- AI Act (Verordnung EU 2024/1689): tritt schrittweise ab 2025 in Kraft, regelt KI-Systeme
Beide Verordnungen bestehen nebeneinander und ueberlappen sich. Ein Unternehmen, das KI mit personenbezogenen Daten nutzt, muss beide einhalten. Das klingt kompliziert, aber in der Praxis ist die Loesung einfacher als gedacht — wenn man die richtigen Entscheidungen trifft.
Das eigentliche Problem ist nicht die regulatorische Komplexitaet. Es ist, dass 77 % der Mitarbeiter bereits KI nutzen (ChatGPT, Copilot, Gemini), ohne dass das Unternehmen die DSGVO-Auswirkungen bewertet hat. Die Einfuehrung hat bereits stattgefunden. Die Compliance nicht.
DSGVO: Die kritischen Punkte bei KI #
1. Datentransfer in Drittlaender (das Hauptproblem) #
Wenn ein Mitarbeiter ChatGPT nutzt, reisen die eingegebenen Daten zu Servern in den USA. Nach der Ungueltigerklaerung des Privacy Shield (Schrems-II-Urteil, 2020) ist die Uebermittlung personenbezogener Daten in die USA problematisch.
Das 2023 verabschiedete Data Privacy Framework (DPF) bietet eine Rechtsgrundlage, aber:
- Nicht alle Experten halten es fuer stabil (ein „Schrems III" ist wahrscheinlich)
- Es deckt nicht alle geschaeftlichen Anwendungsfaelle ab
- Standardvertragsklauseln (SVK) reichen oft allein nicht aus
Die sicherste Loesung: Den Transfer an der Wurzel beseitigen, indem KI genutzt wird, die in der EU oder On-Premise laeuft.
2. Automatisierte Entscheidungen (Art. 22 DSGVO) #
Art. 22 DSGVO legt fest, dass die betroffene Person das Recht hat, nicht einer ausschliesslich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenueber rechtliche Wirkung entfaltet oder sie in aehnlicher Weise erheblich beeintraechtigt.
In der Praxis: Wenn KI Entscheidungen trifft, die Menschen betreffen — Kreditbewertung, Personalauswahl, medizinische Diagnostik, personalisierte Preisgestaltung — sind spezifische Schutzmassnahmen erforderlich:
- Menschliche Aufsicht: Ein Mensch muss in die Entscheidung eingreifen koennen
- Recht auf Anfechtung: Die betroffene Person muss die Entscheidung anfechten koennen
- Erklaerbarkeit: Es muss moeglich sein zu erklaeren, wie die KI zu ihrer Entscheidung gelangt ist
3. Recht auf Erklaerung #
Die DSGVO (Art. 13-15) verlangt, dass die betroffene Person ueber das Bestehen einer automatisierten Entscheidungsfindung informiert wird und „aussagekraeftige Informationen ueber die involvierte Logik" erhaelt. Bei Black-Box-Modellen wie GPT-4 ist dies ein ernstes Problem.
Bei On-Premise-Open-Source-Modellen ist die Nachverfolgbarkeit besser: Man kennt das Modell, die Eingabedaten, den Prompt und die Ausgabe. Bei ORCA und MANTA wird jede Interaktion mit vollstaendigem Audit Trail protokolliert.
4. Datenminimierung vs Trainingsdaten #
Das Minimierungsprinzip (Art. 5(1)(c) DSGVO) verlangt, nur die fuer den Zweck streng notwendigen Daten zu verarbeiten. Bei Cloud-Diensten wie ChatGPT koennen eingegebene Daten zum Training zukuenftiger Modellversionen verwendet werden — eine Verarbeitung, die weit ueber den urspruenglichen Zweck hinausgeht.
Bei privater KI werden Daten nur fuer den spezifischen Zweck verwendet, fuer den der Mitarbeiter sie eingegeben hat. Kein sekundaeres Training, keine zweckfremde Nutzung.
5. Auftragsverarbeitungsvertrag (AVV) #
Wenn Sie einen Cloud-KI-Dienst nutzen, agiert der Anbieter (z.B. OpenAI) als Auftragsverarbeiter. Ein AVV gemaess Art. 28 DSGVO ist erforderlich, der Folgendes festlegt:
- Zweck und Dauer der Verarbeitung
- Art der verarbeiteten personenbezogenen Daten
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Sicherheitsmassnahmen
- Verwaltung von Unterauftragsverarbeitern
Bei On-Premise-KI gibt es keinen externen Auftragsverarbeiter. Das Unternehmen ist sowohl Verantwortlicher als auch Betreiber des Systems. Weniger vertragliche Komplexitaet, weniger Risiken.
AI Act: Wie er sich mit der DSGVO ueberschneidet #
Der AI Act ersetzt die DSGVO nicht — er ergaenzt sie. Hier die relevantesten Schnittpunkte fuer Unternehmen.
Risikostufen des AI Act #
| Stufe | Beispiele | Pflichten |
|---|---|---|
| Inakzeptables Risiko | Social Scoring, unterschwellige Manipulation | Verboten |
| Hohes Risiko | Personalauswahl, Kredit, Diagnostik, biometrische Ueberwachung | Konformitaetsbewertung, Dokumentation, menschliche Aufsicht, Transparenz |
| Begrenztes Risiko | Chatbots, Deepfakes | Transparenzpflicht (Nutzer muss wissen, dass er mit KI interagiert) |
| Minimales Risiko | Spamfilter, KI-Spiele | Keine spezifischen Pflichten |
Was sich fuer Unternehmen in der Praxis aendert #
AI-Literacy-Pflicht (seit Februar 2025 in Kraft): Alle Mitarbeiter, die KI nutzen, muessen angemessen geschult werden. Es reicht nicht, „nutzt ChatGPT" zu sagen — eine strukturierte Schulung zu Risiken, Grenzen und verantwortungsvollem Umgang ist erforderlich.
Pflichten fuer Hochrisiko-Systeme (August 2026): Wenn Ihr Unternehmen KI fuer bedeutende Entscheidungen einsetzt (HR, Kredit, Gesundheit), greifen umfangreiche Dokumentations-, Test-, Ueberwachungs- und menschliche Aufsichtspflichten.
Transparenz: Kunden und Nutzer muessen wissen, wenn sie mit einem KI-System interagieren oder wenn Inhalte von KI generiert wurden.
Der kombinierte Effekt von DSGVO + AI Act #
Ein Unternehmen, das ChatGPT zur Analyse von Bewerbungsunterlagen nutzt, muss gleichzeitig einhalten:
- DSGVO: Rechtsgrundlage fuer die Verarbeitung, DSFA, Information der Betroffenen, Recht auf Erklaerung, AVV mit OpenAI
- AI Act: Systemdokumentation, Risikobewertung, menschliche Aufsicht, Audit Trail, Mitarbeiterschulung
Mit privater On-Premise-KI vereinfachen sich viele dieser Pflichten drastisch, da Daten den Unternehmensperimeter nie verlassen und die Kontrolle vollstaendig ist.
Praktische Compliance-Checkliste (10 Punkte) #
Was Ihr Unternehmen konkret tun muss, um KI DSGVO- und AI-Act-konform zu nutzen.
1. KI-Nutzung kartieren #
Identifizieren Sie alle im Unternehmen genutzten KI-Systeme — einschliesslich Shadow AI (ChatGPT mit persoenlichen Konten der Mitarbeiter). Man kann nicht schuetzen, was man nicht kennt.
2. Risikoklassifizierung #
Klassifizieren Sie fuer jedes KI-System die Risikostufe gemaess AI Act. Die meisten geschaeftlichen Nutzungen fallen unter „begrenztes Risiko" (Chatbots, Dokumentenanalyse) oder „minimales Risiko" (Filter, Suche).
3. Rechtsgrundlage fuer die Verarbeitung #
Identifizieren Sie die DSGVO-Rechtsgrundlage fuer jede Verarbeitung personenbezogener Daten mittels KI. Die gaengigsten: Einwilligung, berechtigtes Interesse, Vertragserfuellung.
4. DSFA (falls erforderlich) #
Wenn die KI personenbezogene Daten in grossem Umfang verarbeitet, Personen profiliert oder bedeutsame automatisierte Entscheidungen trifft, fuehren Sie eine DSFA durch (Art. 35 DSGVO).
5. Information der Betroffenen #
Aktualisieren Sie die Datenschutzerklaerung um die Nutzung von KI-Systemen, unter Angabe von Zwecken, Verarbeitungslogik und Widerspruchsrecht.
6. AVV mit Anbietern #
Wenn Sie Cloud-KI nutzen, stellen Sie sicher, dass Sie mit jedem Anbieter einen AVV gemaess Art. 28 DSGVO haben. Pruefen Sie Unterauftragsverarbeiter und Klauseln zum grenzueberschreitenden Datentransfer.
7. Menschliche Aufsicht #
Definieren Sie fuer jede KI-Nutzung, die Menschen betrifft, einen Prozess menschlicher Aufsicht: Wer prueft die KI-Ausgabe, bevor sie zur endgueltigen Entscheidung wird?
8. AI Literacy #
Schulen Sie alle Mitarbeiter, die KI nutzen — von Shadow-AI-Risiken bis zu Best Practices fuer verantwortungsvollen Umgang. Dokumentieren Sie die Schulung.
9. Audit Trail #
Implementieren Sie ein Protokollierungssystem fuer alle KI-Interaktionen. Wer hat was gefragt, wann, welche Antwort wurde erhalten, welche Entscheidung wurde getroffen.
10. Periodische Ueberpruefung #
Planen Sie halbjaehrliche Ueberpruefungen der KI-Compliance: neue Nutzungen, neue Vorschriften, neue Risiken. Die Landschaft entwickelt sich schnell.
Wie private KI die Compliance vereinfacht #
Private KI On-Premise oder auf EU-Cloud beseitigt nicht alle Pflichten — Schulung, Dokumentation, menschliche Aufsicht bleiben erforderlich. Aber sie beseitigt die groessten und kostspieligsten Probleme:
| Problem | Mit oeffentlicher KI (ChatGPT) | Mit privater KI (PRISMA) |
|---|---|---|
| Grenzueberschreitender Datentransfer | Kritisch (USA) | Beseitigt |
| AVV und Unterauftragsverarbeiter | Komplex, wenig Kontrolle | Nicht erforderlich (On-Premise) |
| Daten fuer Training verwendet | Konkretes Risiko | Unmoeglich |
| Audit Trail | Vom Anbieter abhaengig | Vollstaendig und unter Ihrer Kontrolle |
| Datenpanne | Grosse Angriffsflaeche | Kontrollierter Perimeter |
| Erklaerbarkeit | Black Box | Bekanntes Modell, nachverfolgbare Prompts |
| Compliance-Kosten | Hoch (Berater, externe Audits) | Niedriger (weniger Risiken zu managen) |
PRISMA von HTX integriert Compliance by Design:
- ORCA: Jedes Gespraech wird protokolliert, Daten bleiben On-Premise, menschliche Aufsicht ist in den Workflow integriert
- MANTA: Jede generierte SQL-Abfrage ist nachverfolgt und ueberpruefbar, mit vollstaendigem Ein-/Ausgabeprotokoll
- KOI: Maximale Gesundheits-Compliance, klinischer Audit Trail, integrierte medizinische Validierung
Mythen entkraeftet #
„Wenn ich die Enterprise-Version von ChatGPT nutze, bin ich DSGVO-konform" #
Nicht automatisch. Die Enterprise-Version hat einen robusteren AVV und OpenAI erklaert, Daten nicht fuer Training zu nutzen, aber Daten werden weiterhin ueber US-Server geleitet. Das Risiko grenzueberschreitender Datentransfers bleibt.
„Die DSGVO verbietet die Nutzung von KI im Unternehmen" #
Falsch. Die DSGVO erwaehnt KI nicht einmal. Sie regelt die Verarbeitung personenbezogener Daten, mit welchen Mitteln auch immer. KI ist vollkommen legal, wenn sie unter Einhaltung der DSGVO-Grundsaetze eingesetzt wird.
„Sanktionen betreffen nur Grossunternehmen" #
Die italienische Datenschutzbehoerde hat Unternehmen aller Groessen bestraft. Die OpenAI-Strafe betrug 15 Millionen Euro, aber auch KMU haben erhebliche Bussgelder fuer DSGVO-Verstoesse erhalten, die nichts mit KI zu tun hatten.
„Die Einwilligung der Mitarbeiter reicht aus, um ChatGPT zu nutzen" #
Die Einwilligung im Arbeitsverhaeltnis ist problematisch, da sie nicht „freiwillig" erteilt wird (es besteht ein Machtungleichgewicht). Besser auf berechtigtes Interesse stuetzen, aber eine DSFA und angemessene technische Massnahmen sind weiterhin erforderlich.
„Private KI ist zu teuer fuer Compliance" #
Das Gegenteil ist wahr. Die Compliance-Kosten bei oeffentlicher KI (Rechtsberater, Audits, AVV, Sanktionsrisiko) uebersteigen oft die Kosten privater KI. Bei PRISMA ist Compliance im Preis enthalten.
Naechste Schritte #
- Kostenloses Assessment machen — Beinhaltet eine KI-Compliance-Bewertung fuer Ihr Unternehmen
- AI-Act-Leitfaden lesen — Vertiefen Sie die spezifischen Pflichten
- ORCA entdecken — Das DSGVO-konforme private ChatGPT
- Kontakt aufnehmen — Sprechen wir ueber Ihre KI-Compliance
HTX — Human Technology eXcellence. Private KI fuer europaeische Unternehmen. Triest, Italien.
FAQ
Ist ChatGPT DSGVO-konform?
Nein, nicht in der Standardkonfiguration. ChatGPT uebertraegt Daten an OpenAI-Server in den USA, wo sie dem amerikanischen CLOUD Act unterliegen. Auch die Enterprise-Version hat Probleme mit grenzueberschreitenden Datentransfers. Italien hat OpenAI bereits mit 15 Millionen Euro wegen DSGVO-Verstoessen bestraft.
Was riskiere ich, wenn meine Mitarbeiter ChatGPT mit Firmendaten nutzen?
Als Verantwortlicher haftet Ihr Unternehmen auch fuer die unautorisierte KI-Nutzung durch Mitarbeiter (Shadow AI). DSGVO-Bussgelder gehen bis zu 4 % des Jahresumsatzes. Zusaetzlich riskieren Sie Verletztung des Berufsgeheimnisses und Reputationsschaeden.
Ersetzt der AI Act die DSGVO?
Nein, beide Verordnungen bestehen nebeneinander. Die DSGVO regelt den Schutz personenbezogener Daten, der AI Act regelt KI-Systeme. Ein Unternehmen, das KI nutzt, muss beide einhalten. Private On-Premise-KI vereinfacht die Einhaltung beider gleichzeitig.
Muss ich eine DSFA durchfuehren, um KI im Unternehmen zu nutzen?
Das kommt darauf an. Wenn die KI personenbezogene Daten in grossem Umfang verarbeitet, Personen profiliert oder automatisierte Entscheidungen trifft, die Menschen betreffen, ist eine DSFA (Datenschutz-Folgenabschaetzung) gemaess Art. 35 DSGVO verpflichtend. Bei privater On-Premise-KI ist das Risiko typischerweise geringer.
Wie kann ich KI unter Einhaltung von Art. 22 DSGVO zu automatisierten Entscheidungen nutzen?
Art. 22 verbietet vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf Personen. Der Schluessel ist die Sicherstellung menschlicher Aufsicht: Die KI schlaegt vor, der Mensch entscheidet. Bei ORCA und MANTA von HTX ist dieses Prinzip im Systemdesign verankert.
Sind Open-Source-Modelle sicherer fuer die DSGVO?
On-Premise-Open-Source-Modelle beseitigen das Problem des Datentransfers an Dritte an der Wurzel — das Haupt-DSGVO-Risiko bei Cloud-Diensten wie ChatGPT. Es gibt keinen externen Auftragsverarbeiter, keinen grenzueberschreitenden Transfer, und Daten werden nicht fuer Training verwendet. Es ist die DSGVO-freundlichste Konfiguration.