Auf dieser Seite geben wir Ihnen Antworten auf die wichtigsten Fragen zur Datenschutzgrundverordnung (DSGVO). Die Fragen und Antworten sollen Ihnen einen ersten Einblick geben, erheben keinen Anspruch auf Vollständigkeit und ersetzen auch nicht die Beratung im Einzelfall.
Neben der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Kapitel 2 Art. 5 bis 11 der DSGVO) und der Gewährleistung der Betroffenenrechte (Kapitel 3 Art. 12 bis 23 der DSGVO) sind folgende Punkte zu prüfen:
- Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten
- Anforderungen an die Auftragsverarbeitung
- Sicherstellung von technischen und organisatorischen Maßnahmen zur Gewährleistung von Datensicherheit und Datenschutz
- Die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und die Benachrichtigung von betroffenen Personen
- Gegebenenfalls die Durchführung von Datenschutz-Folgenabschätzungen
- Gegebenenfalls die Benennung eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Mitarbeiter regelmäßig mit Verarbeiteitung personenbezogener Datenverarbeitung beschäftigt sind.
Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann:
- wenn besondere Kategorien von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit, ...) verarbeitet werden.
- wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
- Datenverarbeitungen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 Datenschutzgrundverordnung (DSGVO) unterliegen.
Die Vorgaben wann ein Datenschutzbeauftragter im Unternehmen, im Verein oder in einer Behörde eingesetzt werden muss, finden sich zum einen in Artikel 37 Datenschutzgrundverordnung (DSGVO) und zum anderen in § 38 Bundesdatenschutzgesetz (BDSG-neu).
Stellt die Aufsichtsbehörde einen Verstoß gegen die Datenschutz-Grundverordnung fest, kann die Behörde verwarnen oder Anordnungen wie Verarbeitungsverbote aussprechen aber auch Geldbußen von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes verhängen.
Betroffene Personen können Klagen bei den zuständigen Gerichten einreichen und eventuell Anspruch auf Schadensersatz geltend machen.
Auftragsverarbeitung bezeichnet den Vorgang, in dem eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet. Nach Maßgabe des Art. 28 Abs. 3 DS-GVO schließen Verantwortliche und Auftragsverarbeiter über die Auftragsverarbeitung einen Vertrag.
Weitere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 13.
Jeder Verantwortliche (im Unternehmen, im Verein, ...) und jeder Auftragsverarbeiter erstellen und führen ein Verzeichnis (bzw. eine Dokumentation) aller Verarbeitungstätigkeiten bei den personenbezogenen Daten verarbeitet werden. Eine Beispiel für eine solche Verarbeitungstätigkeit im Unternehmen ist die Lohnbuchhaltung.
Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).
Das Verarbeitungsverzeichnis stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.
Wer personenbezogene Daten verarbeitet, sollte diese Daten mittels technischer und organisatorischer Maßnahmen, entsprechend dem neusten Stand der Technik, ausreichend schützen.
Der Begriff bzw. die Maßnahmen beinhalten alle konkreten Vorkehrungen, die eine Organisation (Unternehmen, Behörde, Verein, ...) trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Vorgaben zu den technischen und organisatorischen Maßnahmen sind in Art. 32 DSGVO geregelt.
Gegebenenfalls sollten folgendes Maßnahmen getroffen werden:
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
- Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
- Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Ein Beispiel: Wird ein Defekt an einer Festplatte festgestellt, sollten die gespeicherten Daten mittels einer Datensicherung gesichert sein und die Daten auf einer neuen Festplatte wiederhergestellt werden können.
Datenkategorien sind in der DSGVO nicht eindeutig gesetzlich formuliert. Man kann sagen, dass eine Datenkategorie mehrere Einzeldaten beinhaltet.
In der DSGVO sind aber einige Datenkategorien als besonders benannt, da diese einen höheren Schutzbedarf benötigen. Diese Datenkategorien sind in Art. 9 DSGVO - Verarbeitung besonderer Kategorien personenbezogener Daten - explizit benannt.
Beispielhaft können folgende Kategorien von personenbezogenen Daten genannt werden:
| Kategorie | Beschreibung |
|---|---|
| Abodaten | |
| Abrechnungsdaten | Lohnabrechnungen, Reisekosten- und Spesenabrechnungen, Leistungsabrechnung aus dem Vertrag, Steuerdaten |
| Abstammungsdaten | |
| Accountdaten | |
| Adressdaten | Straße, Hausnummer, PLZ, Ort, Land |
| allgemeine Personendaten | Name, Geburtsdatum, Alter, Geburtsort, Anschrift, Emailadresse, Telefonnummer, Foto, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, Urlaubsplanung, ... |
| Audio- und Sprachdaten | |
| Bankdaten | Name der Bank, BIC und IBAN, Kontoinhaber |
| Behandlungsdaten | |
| Behördendaten | Adresse, Kontaktdaten und Zuständigkeiten des Behördenmitarbeiters, Funktion der Behörde, Bebauungspläne, Verkehrspläne |
| Besitzmerkmale | Eigentum an einer Immobilie, Fahrzeugeigentümer /- Halter, Kfz-Kennzeichen, Fahrgestell-Nr., ... |
| Besondere Kategorien personenbezogener Daten | zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschaulichen Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zum Sexualleben oder sexuellen Orientierung, genetische (Art. 4 Nr. 13 DSGVO) und biometrische (Art. 4 Nr. 14 DSGVO) Daten sowie Gesundheitsdaten (Definition Art. 4 Nr. 15 DSGVO) |
| Bewerberdaten | Alle Daten die im Wege einer Bewerbung dem Verantwortlichen zugesendet werden, wie z.B. Personendaten, Lebenslauf, Qualifikationen, Hobbys |
| Bild- und Videodaten | |
| Bonitätsdaten | Kapitalbeteiligungen, Kredite, Ausgaben, Einnahmen, Vermögen, Schulden, usw. |
| demografische Daten | Alter, Geschlecht |
| Gewährleistungsdaten | Daten, welche besagen, wann und in welchem Umfang eine gesetzliche Gewährleistung fällig wird |
| Kennnummern | Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer, ... |
| Kommunikationsdaten | |
| Kontaktdaten | Name, Anschrift, E-Mail-Adresse, Telefonnummern |
| Leistungsdaten | Testergebnisse, Bewertungsergebnisse, Beurteilungsergebnisse |
| Lieferdaten | Waren und Warenmengen, Lieferorte und Lieferzeitpunkte, Empfänger, Versender |
| Logindaten | |
| Metadaten | eMail (Header), Fotos (exif), Office- und PDF-Dateien, Telekommunikationsdaten, Verbindungsdaten, Cookies, ... |
| Mitarbeiterdaten | Ein- und Austritt im Unternehmen, Name, Funktion, Tätigkeit, interne Kontaktdaten, wie Telefonnummer und E-Mail-Adresse |
| Nachrichteninhalte | |
| Nutzerdaten | |
| Nutzungsdaten | Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien legaldefiniert in § 15 TMG |
| Nutzungshistorie | |
| Onlinedaten | IP-Adresse, aufgerufenen Webseiten, heruntergeladenen Dokumente, Zeit des Zugriffs, Zugriffsdauer, verwendetes Endgerät, Betriebssystem, Browser, ... |
| Patientendaten | |
| Personendaten | Vor- und Nachname, Geburtsdatum, Sterbedatum, Adresse |
| Persönliche Leistungsdaten | |
| Positionsdaten | |
| Präferenzen und Vorlieben | |
| Qualifikationsdaten | Lebensläufe, Zeugnisse, Zertifikatsdaten, Fortbildungsdaten |
| sachliche Verhältnisse | Einkommen, Entgeltgruppe, Vermögen, Schulden, ... |
| Schadensdaten | Schadenart, Schadentag, Schadenort, Schadenobjekt |
| Sozialdaten | Beziehungsstatus, verheiratet, geschieden, verwitwet, Kinder |
| Stammdaten | Name, Vorname, Geburtstag, Nationalität, Fahrerlaubnisse, Behinderungen, Steuernummer, Unterhaltsverpflichtungen, Lohnpfändung |
| Studierendendaten | Teilnahme an Veranstaltungen, Noten, Beurteilungen |
| Verhaltensdaten | Abmahnungen, Ermahnungen, Belobigungen, Beurteilungen durch Vorgesetzte, Jahresgespräche |
| Versicherungsdaten | Sozialversicherungsnummer, Rentenversicherung, private Altersvorsorge, Arbeitslosen- und Pflegeversicherung |
| Vertragsdaten | Beginn, Laufzeit, Beendigung, Vergütung, Inhalt |
| Werturteile | Schulzeugnis, Arbeitszeugnis, ... |
Die Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren, das Unternehmen und Organisationen dabei unterstützt, die Risiken einer Datenverarbeitung auf die Privatsphäre und Freiheiten betroffener Personen zu bewerten und angemessene Maßnahmen zur Risikominimierung zu ergreifen. Eine DSFA ist erforderlich, wenn eine Datenverarbeitung ein hohes Risiko darstellt.
Als hohes Risiko gelten beispielsweise Verarbeitungen von besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) oder umfassende Überwachungsmaßnahmen. Eine DSFA kann aber auch erforderlich sein, wenn eine große Menge personenbezogener Daten verarbeitet wird oder wenn neue Technologien oder Verfahren eingesetzt werden.
Ein weiteres Beispiel für eine riskante Datenverarbeitung ist die Videoüberwachung. Hier müssen beispielsweise Fragen der Zugangskontrolle, der Aufbewahrungsdauer der Aufnahmen und der Information betroffener Personen geklärt werden.
Der DSFA-Prozess besteht aus mehreren Schritten, wie z.B. der Beschreibung der Datenverarbeitung, der Identifikation von Risiken und der Bewertung der Wahrscheinlichkeit und Schwere möglicher Auswirkungen auf die Rechte und Freiheiten betroffener Personen. Basierend auf der Bewertung werden Maßnahmen zur Risikominimierung entwickelt und dokumentiert.
Eine DSFA sollte immer von einem Datenschutzbeauftragten oder einer anderen qualifizierten Person durchgeführt werden. Bei Unsicherheiten oder Fragen zur DSFA stehen wir Ihnen gerne zur Verfügung.
Gemäß der Artikel 33 DSGVO sind Verantwortliche (im Unternehmen, in der Behörde aber auch im Verein) dazu verpflichtet, bei Datenschutzverletzungen (Datenpannen) Maßnahmen zu ergreifen und diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Diese Meldepflicht besteht dann, wenn eine Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Das bedeutet, dass Verantwortliche nicht nur verpflichtet sind, Datenpannen zu vermeiden, sondern auch angemessene Maßnahmen ergreifen müssen, um im Falle einer Datenschutzverletzung schnell und effektiv reagieren zu können.
Wenn eine Datenschutzverletzung stattfindet, ist es wichtig, dass Verantwortliche schnell handeln und die betroffenen Personen unverzüglich informieren. Die Benachrichtigung sollte in klarer und einfacher Sprache erfolgen und die Art der Verletzung, die betroffenen Datenkategorien und die möglichen Auswirkungen für die betroffenen Personen erläutern. Die betroffenen Personen sollten auch darüber informiert werden, welche Schutzmaßnahmen sie ergreifen können, um sich selbst zu schützen.
Es ist auch wichtig zu beachten, dass Verantwortliche nicht nur verpflichtet sind, Datenschutzverletzungen zu melden, sondern auch Maßnahmen ergreifen müssen, um zukünftige Verletzungen zu vermeiden. Verantwortliche sollten sicherstellen, dass sie über geeignete Sicherheitsmaßnahmen verfügen, um personenbezogene Daten vor unbefugtem Zugriff und Missbrauch zu schützen. Es empfiehlt sich, einen Notfallplan zu erstellen, der beschreibt, wie der Verantwortliche im Falle einer Datenschutzverletzung vorgehen wird, um sicherzustellen, dass alle erforderlichen Maßnahmen schnell ergriffen werden können.
Zusammenfassend ist es für Verantwortliche wichtig, ein Verfahren für den Umgang mit Datenschutzverletzungen und den damit verbundenen Meldepflichten zu haben. Dies umfasst nicht nur die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde, sondern auch die Information betroffener Personen und die Ergreifung geeigneter Maßnahmen zur Verhinderung zukünftiger Verletzungen.
Im Sinne der Datenschutz-Grundverordnung (DSGVO) sind Betroffene natürliche Personen, deren personenbezogene Daten von einem Verantwortlichen verarbeitet werden.
Das können zum Beispiel Kunden, Mitarbeiter, Website-Besucher oder Patienten sein. Die DSGVO schützt die Grundrechte und Grundfreiheiten der betroffenen Personen und verpflichtet die Verantwortlichen dazu, ihre personenbezogenen Daten nur unter bestimmten Voraussetzungen zu erheben, zu speichern, zu nutzen und zu übermitteln.
Zur Beantwortung dieser Frage beziehen wir uns auf die Definition von Artikel 4 Nr. 2 (Begriffsbestimmungen) der DSGVO.
Im Sinne der Datenschutz-Grundverordnung (DSGVO) bezieht sich die Art der Verarbeitung auf die spezifischen Methoden und Vorgänge, die bei der Handhabung personenbezogener Daten angewendet werden. Dazu gehören alle Aktivitäten, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob diese automatisiert erfolgen oder nicht. Beispiele für solche Verarbeitungsvorgänge umfassen:
- Erheben: Das Sammeln von Daten, z.B. durch Formulare oder Online-Registrierungen.
- Erfassen: Die Speicherung von Daten in einer Datenbank oder einem anderen Speichermedium.
- Organisation: Die Strukturierung und Anordnung von Daten.
- Ordnen: Das Sortieren und Systematisieren von Daten nach bestimmten Kriterien.
- Speichern: Das Behalten von Daten über einen bestimmten Zeitraum.
- Anpassen oder Verändern: Änderungen an den Daten, wie z.B. das Aktualisieren von Informationen.
- Auslesen: Das Abrufen von Daten aus einer Datenbank oder einem anderen Speichermedium.
- Abfragen: Das Stellen von Anfragen an eine Datenbank oder ein System, um bestimmte Daten zu erhalten.
- Verwenden: Die Nutzung von Daten für bestimmte Zwecke, z.B. für Analysen oder Marketing.
- Offenlegen durch Übermittlung: Das Weitergeben von Daten an Dritte, z.B. durch Versand von E-Mails oder Datentransfers.
- Verbreiten oder eine andere Form der Bereitstellung: Die Veröffentlichung von Daten, z.B. auf einer Website.
- Abgleichen oder Verknüpfen: Das Kombinieren von Daten aus verschiedenen Quellen.
- Einschränken: Die Beschränkung der Verarbeitung, z.B. durch Sperren bestimmter Daten.
- Löschen oder Vernichten: Das Entfernen oder Zerstören von Daten.
Diese Vorgänge müssen im Einklang mit den Grundsätzen und Anforderungen der DSGVO erfolgen, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Die DSGVO verlangt Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit bei der Verarbeitung personenbezogener Daten.
Nach der DSGVO ist jede Verarbeitung personenbezogener Daten verboten, es sei denn, es gibt eine Rechtsgrundlage. Die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ist dabei nur eine von mehreren möglichen Rechtsgrundlagen.
Die 6 Rechtsgrundlagen im Überblick
Die Einwilligung ist also nicht immer notwendig – folgende Alternativen können sie ersetzen:
- Einwilligung (Art. 6 Abs. 1 lit. a) – bewusste, freiwillige Zustimmung der betroffenen Person
- Vertragserfüllung (Art. 6 Abs. 1 lit. b) – Daten sind zur Vertragsausführung notwendig (z. B. Lieferadresse beim Online-Kauf)
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) – gesetzliche Pflicht zur Verarbeitung (z. B. Steuerrecht, Buchführung)
- Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d) – Schutz von Leben und körperlicher Unversehrtheit
- Öffentliches Interesse / öffentliche Gewalt (Art. 6 Abs. 1 lit. e) – z. B. Behörden
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – wenn das Interesse des Unternehmens die Interessen der betroffenen Person überwiegt
Anforderungen an eine wirksame Einwilligung
Damit eine Einwilligung rechtlich gültig ist, muss sie folgende Voraussetzungen erfüllen:
- Freiwillig – keine Nachteile bei Verweigerung
- Informiert – die Person muss wissen, wozu sie zustimmt
- Eindeutig – aktive Handlung (z. B. Checkbox anklicken), kein vorausgefülltes Formular
- Spezifisch – für jeden Zweck separat
- Widerrufbar – jederzeit und so einfach wie die Zustimmung selbst
- Dokumentiert – Sie müssen nachweisen können, dass die Einwilligung erteilt wurde
Eine Einwilligung kann jederzeit für die Zukunft widerrufen werden.
Ja, grundsätzlich schon. Aber die Antwort hängt entscheidend davon ab, wie Sie das Tool einsetzen und welche Daten dabei im Spiel sind.
Solange Sie ein KI-Tool ausschließlich für allgemeine Aufgaben nutzen, bei denen keine personenbezogenen Daten eingegeben werden, etwa zur Ideenentwicklung, Textstrukturierung oder internen Recherche mit fiktiven Inhalten, ist der rechtliche Rahmen überschaubar.
Kritisch wird es, sobald personenbezogene Daten ins Spiel kommen. Namen, E-Mail-Adressen, Kundennummern oder Gesundheitsdaten fallen unter die Datenschutz-Grundverordnung (DSGVO). Wer solche Daten in ein KI-Tool eingibt, ohne die dafür nötigen rechtlichen Voraussetzungen erfüllt zu haben, begeht einen DSGVO-Verstoß. Und die Verantwortung dafür liegt beim Unternehmen, nicht bei dem Mitarbeitenden, der die Eingabe gemacht hat.
Wichtig zu wissen: Die kostenlose Version der meisten KI-Tools ist für den geschäftlichen Einsatz mit personenbezogenen Daten in der Regel nicht geeignet. Viele Anbieter nutzen Eingaben aus kostenlosen Konten standardmäßig zum Weitertraining ihrer Modelle, was datenschutzrechtlich problematisch ist. Wer das Tool beruflich einsetzen möchte, sollte prüfen, ob eine Business- oder Enterprise-Version verfügbar ist, bei der diese Datennutzung vertraglich ausgeschlossen wird.
Die entscheidende Frage ist also nicht ob, sondern wie KI-Tools im Unternehmen genutzt werden. Ein klarer Blick auf den Einsatzzweck und die dabei verarbeiteten Daten ist der erste und wichtigste Schritt.
Wer KI-Tools im Unternehmen einsetzt und dabei personenbezogene Daten verarbeitet, muss mehrere Anforderungen der DSGVO erfüllen. Die wichtigsten im Überblick:
Rechtsgrundlage prüfen
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO, zum Beispiel eine Einwilligung der betroffenen Person oder ein berechtigtes Interesse des Unternehmens.
Auftragsverarbeitungsvertrag abschließen
Wenn ein externer Anbieter im Auftrag Ihres Unternehmens personenbezogene Daten verarbeitet, was bei cloudbasierten KI-Tools regelmäßig der Fall ist, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Ohne diesen Vertrag ist der Einsatz des Tools rechtswidrig.
Drittlandtransfer beachten
Viele KI-Anbieter, darunter OpenAI, haben ihren Sitz in den USA. Damit Daten rechtmäßig dorthin übermittelt werden dürfen, müssen geeignete Garantien vorliegen, etwa durch eine Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework.
Datenschutz-Folgenabschätzung durchführen
Wenn durch den KI-Einsatz ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht, etwa durch Profiling oder automatisierte Entscheidungen, schreibt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) vor.
Training mit eigenen Daten ausschließen
Stellen Sie sicher, dass der Anbieter die von Ihnen eingegebenen Daten nicht zum Weitertraining des Modells verwendet. Das sollte vertraglich geregelt und technisch nachvollziehbar sein.
Transparenz gegenüber Betroffenen sicherstellen
Wenn Kunden, Mitarbeitende oder andere Personen durch den KI-Einsatz Daten von sich einbringen, haben sie das Recht, darüber informiert zu werden. Das betrifft auch Ihre Datenschutzerklärung.
Interne Richtlinien und Schulungen einführen
Mitarbeitende sollten wissen, was sie dürfen und was nicht. Eine klare interne KI-Nutzungsrichtlinie und regelmäßige Schulungen reduzieren das Risiko unbeabsichtigter Verstöße erheblich.
Ein Punkt, der in der Praxis oft unterschätzt wird
KI-Systeme gelten datenschutzrechtlich häufig als „Black Box". Was mit den eingegebenen Daten innerhalb des Modells geschieht, ist von außen kaum nachvollziehbar. Das macht es schwer, die geforderte Transparenz gegenüber betroffenen Personen vollständig herzustellen. Das ist kein Grund, auf KI zu verzichten, aber ein sehr guter Grund, den Einsatz sorgfältig zu planen und rechtlich abzusichern.
Der EU AI Act (Verordnung EU 2024/1689) ist seit dem 1. August 2024 in Kraft und wird schrittweise verbindlich. Er ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz und gilt für alle Unternehmen, die KI-Systeme in der EU anbieten oder nutzen, unabhängig davon, wo das Unternehmen seinen Sitz hat.
Vier Risikoklassen, vier unterschiedliche Anforderungen
Der AI Act unterscheidet KI-Anwendungen nach ihrem Risiko in vier Kategorien. Anwendungen mit inakzeptablem Risiko sind vollständig verboten, darunter Systeme zur biometrischen Massenüberwachung im öffentlichen Raum oder KI, die Menschen durch unterschwellige Techniken manipuliert. Diese Verbote gelten seit dem 2. Februar 2025. Anwendungen mit hohem Risiko, etwa im Personalwesen, in der Kreditvergabe oder in sicherheitskritischen Infrastrukturen, unterliegen strengen Dokumentations- und Überwachungspflichten. Anwendungen mit begrenztem Risiko, wie Chatbots, müssen vor allem Transparenzanforderungen erfüllen.
Nutzerinnen und Nutzer müssen wissen, dass sie mit einer KI interagieren. Anwendungen mit minimalem Risiko, etwa einfache Spamfilter, unterliegen kaum zusätzlichen Anforderungen.
Was gilt bereits heute für alle Unternehmen?
Seit dem 2. Februar 2025 ist Artikel 4 des AI Act in Kraft. Er verpflichtet alle Unternehmen, die KI-Systeme anbieten oder nutzen, dafür zu sorgen, dass ihre Mitarbeitenden über ein ausreichendes Maß an KI-Kompetenz verfügen. Was das konkret bedeutet, hängt vom jeweiligen Einsatzkontext ab. Die Pflicht zur KI-Kompetenz gilt aber unabhängig davon, welche Risikoklasse das eingesetzte System hat.
Gilt das auch für kleine Unternehmen?
Der AI Act macht grundsätzlich keine Ausnahme für kleine oder mittlere Unternehmen. Die Intensität der Pflichten hängt jedoch stark davon ab, welche Art von KI-System eingesetzt wird und in welcher Rolle das Unternehmen auftritt. Wer ein bestehendes KI-Tool wie ChatGPT im Arbeitsalltag nutzt, ist in der Regel Betreiber und hat deutlich weniger umfangreiche Pflichten als ein Unternehmen, das eigene KI-Produkte entwickelt und auf den Markt bringt. Einen guten Überblick über die Pflichten je nach Unternehmensrolle bietet die Informationsseite der Europäischen Kommission.
Ein guter Ausgangspunkt für jedes Unternehmen ist die ehrliche Bestandsaufnahme:
- Welche KI-Tools werden bereits genutzt, auch inoffiziell durch einzelne Mitarbeitende?
- Welche Daten fließen dabei?
- Und in welcher Rolle tritt das Unternehmen auf?
Wer diese Fragen beantwortet hat, kann gezielt entscheiden, welche Maßnahmen sinnvoll und notwendig sind.
Wir werden die Fragen und Antworten von Zeit zu Zeit ergänzen.
