Quellenlage
DSGVO Grundlagen für KI-Projekte: Was vor dem ersten Prompt geklärt sein muss
Haris Muranović · 04. Juni 2025 · 7 Min.
Die meisten KI-Projekte, die scheitern, scheitern nicht an der Technik. Der Prototyp funktioniert, die Ergebnisse überzeugen, das Team will ausrollen. Dann stellt jemand die Frage, welche Daten da eigentlich verarbeitet werden und auf welcher Grundlage, und das Projekt steht. Nicht, weil die Antwort zwingend negativ ausfallen müsste, sondern weil sie nie gestellt wurde, als sie noch billig zu beantworten war.
Die DSGVO Grundlagen für ein KI-Projekt sind kein Spezialwissen für Juristen. Es sind vier Fragen, die jeder Projektverantwortliche vor dem ersten produktiven Prompt beantworten können sollte: Sind personenbezogene Daten im Spiel. Wer ist wofür verantwortlich. Welchem Zweck dient die Verarbeitung, und ist der Datenumfang dafür nötig. Und was genau macht der Anbieter mit den Daten.
Dieser Artikel geht die vier Fragen in der Reihenfolge durch, in der sie sich im Projekt stellen. Er ersetzt keine Rechtsberatung, aber er sorgt dafür, dass das Gespräch mit dem Datenschutzbeauftragten oder der Kanzlei vorbereitet stattfindet statt panisch.
Wann personenbezogene Daten überhaupt im Spiel sind
Der Begriff ist deutlich weiter, als viele annehmen. Personenbezogen ist nicht nur der Datensatz mit Name und Geburtsdatum, sondern jede Information, die sich einer identifizierbaren Person zuordnen lässt. Bei KI-Projekten sind die typischen Kandidaten unauffällig: Freitextfelder in Support-Tickets, E-Mail-Verläufe, Besprechungsnotizen, Vertragsdokumente mit Ansprechpartnern, Log-Daten mit Benutzerkennungen. Wer einen Chatbot auf interne Dokumente setzt, verarbeitet mit hoher Wahrscheinlichkeit personenbezogene Daten, auch wenn das Projekt offiziell nur um Produktwissen geht.
Wichtig ist auch die Unterscheidung zwischen Pseudonymisierung und Anonymisierung. Pseudonymisierte Daten, bei denen der Bezug über eine Zuordnungstabelle wiederherstellbar ist, bleiben personenbezogen. Echte Anonymisierung, bei der die Identifizierung praktisch ausgeschlossen ist, ist bei Freitexten schwer zu erreichen, weil der Kontext oft verräterischer ist als der Name. Die ehrliche Standardannahme für die meisten KI-Projekte mit Unternehmensdaten lautet daher: Ja, personenbezogene Daten sind im Spiel.
Verantwortlicher und Auftragsverarbeiter: wer trägt welche Pflichten
Die DSGVO verteilt die Pflichten nach Rollen. Verantwortlicher ist, wer über Zwecke und Mittel der Verarbeitung entscheidet. Das ist bei einem KI-Projekt praktisch immer das eigene Unternehmen, nicht der Anbieter des Werkzeugs. Diese Rolle lässt sich nicht abgeben: Wer ein KI-Werkzeug einsetzt, bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich, auch wenn die Technik komplett extern läuft.
Der KI-Anbieter ist in der Regel Auftragsverarbeiter: Er verarbeitet die Daten nach Weisung des Unternehmens. Dafür braucht es einen Vertrag zur Auftragsverarbeitung, der regelt, was der Anbieter darf und was nicht. Aufmerksamkeit verdient der Fall, in dem der Anbieter die Eingaben zusätzlich für eigene Zwecke nutzen will, typischerweise zum Training seiner Modelle. Dann verlässt er die Rolle des reinen Auftragsverarbeiters, und die rechtliche Lage wird deutlich komplizierter. Für die Praxis heißt das: Diese Nutzung entweder vertraglich ausschließen oder das Vorhaben grundlegend neu bewerten.
Zweckbindung und Datenminimierung konkret
Zwei Grundprinzipien der DSGVO entscheiden über den Zuschnitt des Projekts. Zweckbindung bedeutet, dass Daten für festgelegte Zwecke erhoben wurden und nicht beliebig für neue Zwecke weiterverwendet werden dürfen. Kundendaten, die für die Vertragsabwicklung erhoben wurden, lassen sich nicht automatisch für ein KI-Analyseprojekt nutzen. Die Frage, ob der neue Zweck mit dem ursprünglichen vereinbar ist, gehört an den Projektanfang, nicht in den Rollout.
Datenminimierung bedeutet, dass der Datenumfang dem Zweck angemessen sein muss. Für KI-Projekte ist das eine gesunde Design-Vorgabe: Nicht der gesamte Dokumentenbestand wandert in das System, sondern die Felder und Quellen, die der Anwendungsfall tatsächlich braucht. Wer einen Assistenten für Produktdokumentation baut, braucht keine Personalakten im Index. Das Prinzip reduziert nebenbei auch das technische Risiko, denn Daten, die nicht im System sind, können nicht abfließen.
Fragen an den Anbieter vor Vertragsabschluss
Die vierte Grundlage ist Sorgfalt bei der Anbieterauswahl. Diese Fragen sollten vor der Unterschrift schriftlich beantwortet sein:
- Wo werden die Daten verarbeitet und gespeichert, und lässt sich die Verarbeitung auf die EU beschränken.
- Werden Eingaben und Ausgaben zum Training von Modellen verwendet, und lässt sich das vertraglich ausschließen.
- Welche Unterauftragsverarbeiter sind eingebunden, und wie wird über Änderungen informiert.
- Wie lange werden Eingaben, Ausgaben und Protokolle gespeichert, und wie funktioniert die Löschung.
- Liegt ein prüffähiger Vertrag zur Auftragsverarbeitung vor, und welche technischen Schutzmaßnahmen sind dokumentiert.
Ein Anbieter, der diese Fragen nur vage beantwortet, nimmt einem die Entscheidung ab.
Fazit
Die DSGVO ist für KI-Projekte kein Verhinderungsinstrument, aber sie bestraft Nachlässigkeit am Projektanfang mit Stillstand am Projektende. Wer vier Dinge früh klärt, nimmt dem Thema den Schrecken: die realistische Annahme, dass personenbezogene Daten im Spiel sind, die eigene Rolle als Verantwortlicher samt Vertrag mit dem Anbieter, einen sauber definierten Zweck mit minimiertem Datenumfang und schriftliche Antworten des Anbieters auf die harten Fragen. Mit diesen Grundlagen wird das Gespräch mit Datenschutz und Rechtsabteilung von einer Hürde zu einem Arbeitsschritt.
Sprechen wir über Ihr Vorhaben.
Unverbindliches Erstgespräch. Wir melden uns zeitnah bei Ihnen.
Erstgespräch anfragen →