Künstliche Intelligenz ist im Unternehmensalltag angekommen. ChatGPT, Microsoft Copilot, Gemini, Midjourney — KI-Tools übernehmen Texterstellung, Datenanalyse, Kundenkommunikation und vieles mehr. Gleichzeitig werfen sie eine Reihe von Rechtsfragen auf: Urheberrecht, Datenschutz, Haftung, Kennzeichnungspflichten.
Wer KI-Tools im Unternehmen einsetzt, ohne die rechtlichen Rahmenbedingungen zu kennen, handelt fahrlässig. Wer sie kennt und beachtet, schützt sein Unternehmen — und nutzt das Potenzial der Technologie ohne unnötige Risiken.
Was ist das rechtliche Problem mit ChatGPT & Co.?
KI-Generatoren wie ChatGPT kommunizieren über Text-, Bild- oder Spracheingaben mit Nutzern. Dabei sammeln sie Eingaben, Fragen, Profile und Gesprächsverläufe — und verarbeiten diese als Trainingsdaten für ihr Modell.
Das ist aus datenschutzrechtlicher Sicht problematisch:
- Personenbezogene Daten in Prompts: Wer in ChatGPT Kundennamen, Krankheitsdaten oder Vertragsdetails eingibt, überträgt personenbezogene Daten an einen US-amerikanischen Anbieter — ohne Einwilligung der Betroffenen.
- Drittlandtransfer: OpenAI verarbeitet Daten in den USA. Ohne angemessene Rechtsgrundlage ist das nach DSGVO unzulässig.
- Training mit Nutzerdaten: Viele KI-Anbieter nutzen Eingaben standardmäßig zum Modelltraining. Betroffene haben davon in der Regel keine Kenntnis — und können keine Einwilligung erteilen.
- Keine Transparenz: Für wen die Daten verarbeitet werden, auf welcher Rechtsgrundlage und wie lange — das bleibt bei vielen Anbietern unklar.
Die italienische Datenschutzbehörde hat ChatGPT 2023 zeitweise gesperrt. Andere Behörden — darunter die deutsche DSK — haben Unternehmen aufgefordert, den Einsatz zu prüfen.
DSGVO und KI: Was Unternehmen beachten müssen
Sobald eine KI personenbezogene Daten verarbeitet, gilt die DSGVO — ohne Ausnahme. Das stellt konkrete Anforderungen:
1. Rechtsgrundlage für die Verarbeitung
Jede Datenverarbeitung durch KI-Tools braucht eine Rechtsgrundlage nach Art. 6 DSGVO — Einwilligung, berechtigtes Interesse oder Vertragserfüllung. Fehlt sie, ist der Einsatz rechtswidrig.
2. Transparenz und Informationspflichten
Nutzerinnen und Nutzer müssen darüber informiert werden, dass und wie eine KI ihre Daten verarbeitet — verständlich, konkret, vollständig.
3. Automatisierte Entscheidungen nach Art. 22 DSGVO
Werden Entscheidungen vollautomatisiert getroffen — z. B. bei Kreditwürdigkeitsprüfungen, Bewerbungsauswahl oder Risikoeinschätzungen — gelten zusätzliche Rechte: Betroffene können menschliches Eingreifen und Widerspruch verlangen.
4. Datenminimierung und Zweckbindung
KI-Systeme neigen dazu, mehr Daten zu verarbeiten als nötig. Unternehmen müssen sicherstellen, dass nur die für den Zweck erforderlichen Daten eingegeben werden — und dass keine sensiblen Daten in externe KI-Systeme gelangen.
5. Auftragsverarbeitungsvertrag (AVV)
Wenn ein externes KI-Tool im Unternehmensauftrag Daten verarbeitet, ist ein AVV nach Art. 28 DSGVO notwendig. Viele Anbieter stellen diesen bereit — aber er muss aktiv abgeschlossen und geprüft werden.
Darf KI meine Eingaben zum Training nutzen?
Das ist eine der meistgestellten Fragen — und die Antwort ist: Es kommt auf die Konfiguration an.
Viele KI-Anbieter nutzen Nutzereingaben standardmäßig für das Modelltraining. Das ist datenschutzrechtlich problematisch, weil:
- Betroffene (z. B. Kunden, deren Daten eingegeben werden) keine Einwilligung erteilt haben
- Das Verarbeitungsverbot mit Erlaubnisvorbehalt der DSGVO greift
- Scraping und Crawling personenbezogener Daten automatisch DSGVO-Pflichten auslöst
Was Unternehmen tun können:
- Unternehmensversionen nutzen (z. B. ChatGPT Enterprise, Microsoft Copilot for Microsoft 365) — diese verarbeiten Daten in der Regel nicht für Training
- Training in den Einstellungen deaktivieren — wo möglich
- Interne Richtlinie aufstellen: Welche Daten dürfen in welche KI-Tools eingegeben werden?
Der EU AI Act: Was gilt ab wann?
Am 1. August 2024 ist die EU KI-Verordnung (AI Act) in Kraft getreten. Sie definiert vier Risikostufen für KI-Systeme — mit unterschiedlichen Anforderungen:
| Risikostufe | Beispiele | Anforderungen |
|—|—|—|
| Verbotene KI | Social Scoring, biometrische Massenüberwachung | Vollständiges Verbot |
| Hochrisiko-KI | Personalentscheidungen, Kreditvergabe, medizinische Diagnose | Risikomanagement, Transparenz, menschliche Kontrolle, Konformitätsbewertung |
| Geringes Risiko | Chatbots, KI-generierte Texte | Kennzeichnungspflichten |
| Minimales Risiko | Spamfilter, KI-gestützte Suche | Keine spezifischen Pflichten |
Übergangsfristen: Verbotene KI-Anwendungen gelten seit Februar 2025. Hochrisikosysteme müssen bis 2027 vollständig konform sein. Unternehmen sollten jetzt analysieren, welche ihrer KI-Systeme unter welche Kategorie fallen.
Kennzeichnungspflichten für KI-Inhalte
Wer KI-generierte Inhalte veröffentlicht, muss das zunehmend kennzeichnen — und zwar aus zwei Quellen:
1. Plattformpflichten
Google, Meta, Microsoft, TikTok und YouTube haben den EU-Verhaltenskodex gegen Desinformation unterzeichnet. Sie führen Kennzeichnungen für KI-generierte Inhalte ein — insbesondere wenn diese reale Szenen realitätsnah darstellen.
2. EU AI Act (Art. 50)
KI-Systeme, die synthetische Inhalte (Bilder, Audio, Video, Text) erzeugen, müssen diese als maschinell erstellt kennzeichnen. Das gilt für Anbieter — aber auch für Unternehmen, die KI-generierte Inhalte öffentlich einsetzen.
Praktische Konsequenz: Wer KI-generierte Marketingbilder, Videos oder Texte veröffentlicht, sollte prüfen, ob eine Kennzeichnungspflicht besteht — und diese vorsorglich umsetzen.
So unterstützen wir Sie
Wir beraten Unternehmen beim rechtssicheren Einsatz von KI-Tools — praxisnah und ohne Fachchinesisch:
- KI-Nutzungsrichtlinie für Ihr Unternehmen — was erlaubt ist, was verboten ist, welche Tools unter welchen Bedingungen genutzt werden dürfen
- Prüfung von AVV und Datenschutzerklärungen der eingesetzten KI-Anbieter
- Einordnung nach EU AI Act — welche Ihrer KI-Systeme fallen in welche Risikokategorie?
- Datenschutzfolgenabschätzung (DSFA) bei Hochrisiko-KI-Systemen
- Schulung Ihrer Mitarbeitenden — rechtssicherer Umgang mit ChatGPT, Copilot & Co.
- Eintägiges Seminar zu rechtlichen Aspekten der Künstlichen Intelligenz mit RA Ulrich Emmert und RA Horst Speichert
Sprechen Sie uns an — kostenfrei und ohne Verpflichtung.
FAQ: KI und Datenschutz
Darf ich ChatGPT für die Arbeit nutzen?
Grundsätzlich ja — aber mit klaren Einschränkungen. Keine personenbezogenen Daten (Kundennamen, Mitarbeiterdaten, Vertragsdetails) in externe KI-Tools eingeben, ohne dass ein AVV besteht und das Training mit Nutzerdaten deaktiviert ist. Eine interne KI-Nutzungsrichtlinie ist Pflicht.
Was ist der Unterschied zwischen ChatGPT und ChatGPT Enterprise?
ChatGPT Enterprise verarbeitet Eingaben nicht für das Modelltraining und bietet erweiterte Datenschutzzusagen. Für den Unternehmenseinsatz mit personenbezogenen Daten ist die Enterprise-Version datenschutzrechtlich deutlich besser geeignet — und setzt einen AVV voraus.
Was bedeutet der EU AI Act für mein Unternehmen?
Das hängt davon ab, welche KI-Systeme Sie nutzen oder entwickeln. Wer Hochrisiko-KI einsetzt — z. B. für Personalentscheidungen oder Kreditvergabe — muss ab 2027 umfangreiche Compliance-Anforderungen erfüllen. Wer KI-generierte Inhalte veröffentlicht, hat bereits jetzt Kennzeichnungspflichten. Eine Bestandsaufnahme ist der sinnvolle erste Schritt.
- → Datenschutzschulungen
- → IT-Compliance
- → Externer Datenschutzbeauftragter
