KI datenschutzkonform im Unternhemen Header

KI wird zunehmend zum Standard. Welche Vorschriften und Stolpersteine gibt es, um KI datenschutzkonform im Unternehmen einzusetzen?

KI datenschutzkonform im Unternehmen nutzen

Das Potenzial heben – gesetzliche Vorschriften einhalten

20. August 2025  Die Nutzung von Künstlicher Intelligenz (KI) ist längst kein Experimentierfeld oder Nice-to-Have mehr, sondern ein ernst zu nehmender Faktor für zukünftige Wettbewerbsfähigkeit. Die Technologie wird zunehmend zum Standard. Setzen Unternehmen intelligente Algorithmen kompetent ein, können sie souverän auf die steigenden Anforderungen eines dynamischen und globalisierten Marktes reagieren. Die Technologie hat das Potenzial, als Katalysator für Innovationen zu dienen: Mit ihrer Hilfe entstehen neue Produkte, Dienstleistungen und Geschäftsmodelle. Auf deren Basis können Unternehmen ihre Marktposition stärken und sich von ihren Mitbewerbern abheben.

Persönliche Daten, IT-Sicherheit und ethische Verantwortung
Allerdings sind beim Einsatz der mächtigen Technologie gesetzliche Anforderungen zu beachten, die insbesondere den Umgang mit persönlichen Daten regulieren, die IT-Sicherheit gewährleisten und einen ethischen Rahmen setzen. Um ihrer Verantwortung gerecht zu werden, sollten Unternehmen die Vorgaben der Europäische Datenschutz-Grundverordnung (EU-DSGVO) und der EU-Verordnung über künstliche Intelligenz, auch bekannt als AI-Act, kennen und einhalten. So lassen sich die Möglichkeiten der KI voll ausschöpfen, ohne einen Konflikt mit den geltenden Gesetzen, hohe Geldstrafen und einen Vertrauensverlust bei den Kunden zu riskieren.

Vielfältige Einsatzmöglichkeiten für Effizienz und datenbasierte Entscheidungen
KI-Tools unterstützen Unternehmen bereits in vielen Geschäftsbereichen: Intelligente Algorithmen automatisieren zeitaufwändige Prozesse und revolutionieren das Dokumentenmanagement. Zum Beispiel, indem sie Verträge in der Beschaffungsabteilung, Bewerbungsunterlagen in der Personalabteilung oder Rechnungen in der Buchhaltung automatisch scannen und relevante Informationen extrahieren. RPA-Tools (Robotic Process Automation) managen Bestellungen oder pflegen Kundendaten. KI-gesteuerte Chatbots, virtuelle Assistenten und automatisierte Ticket-Systeme entlasten den personalintensiven Kundenservice, kategorisieren, priorisieren und beantworten Anfragen schnell und präzise rund um die Uhr. Im Bereich Predictive Analytics sagen KI-Tools Verkaufszahlen voraus oder den Bedarf an bestimmten Produkten und helfen so dabei, die Geschäftsentwicklung zu steuern. In der Produktion sagt die KI drohende Fehler an den Maschinen vorher und optimiert die Wartung der Maschinen. In der Logistik überwachen die Algorithmen die Lagerbestände und lösen Nachbestellungen automatisch aus.

KI datenschutzkonform im Unternehmen

Die DSGVO: personenbezogene Daten schützen

Für mittelständische Unternehmen, die personenbezogene Daten verarbeiten, ergibt sich der größte Handlungsbedarf aus der DSGVO. Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) ist eine Verordnung der Europäischen Union, die einheitliche Datenschutzstandards innerhalb der EU schafft. Sie regelt die Verarbeitung personenbezogener Daten und gibt Betroffenen mehr Kontrolle über ihre Daten. Wer KI-gestützte Anwendungen in seinem Unternehmen einsetzt, die personenbezogene Daten verarbeiten, muss sicherstellen und nachweisen können, dass die geltenden Datenschutzanforderungen eingehalten werden. Dies umfasst Einwilligung, Transparenz, Zweckbindung, Datensicherheit, automatisierte Entscheidungen, Datenaufbewahrung, Auftragsverarbeitung, Datenanalyse, Audits und Compliance. Konkret bedeutet dies, dass unter anderem folgende Aspekte gewährleistet sein müssen:

  • Von Personen, deren personenbezogenen Daten durch KI verarbeitet werden, muss in den meisten Fällen eine Einwilligung hierfür eingeholt werden. Dies gilt insbesondere für sensible Daten, wie etwa Gesundheitsdaten. Ausnahme: Eine andere rechtliche Grundlage wie die Erfüllung eines Vertrags oder eine rechtliche Verpflichtung ist gegeben.
  • Personenbezogene Daten dürfen ausschließlich für klar definierte, legitime Zwecke verarbeitet werden. KI-Systeme dürfen keine Daten in einer Weise verwenden, die über den ursprünglichen Zweck hinausgeht.
  • Gegenüber allen Personen, deren Daten verarbeitet werden, muss Transparenz über die Verwendung und Speicherung bestehen. Das heißt, Unternehmen müssen die betroffenen Personen darüber informieren, welche Daten sie zu welchem Zweck verarbeiten, wie lange sie die Daten speichern, und welche Rechte die Personen in Bezug auf ihre Daten haben.
  • Personen, deren Daten für automatisierte Entscheidungen verarbeitet werden, haben ein Recht auf Erklärung. Bei Kreditvergaben oder Personalentscheidungen, die ausschließlich auf automatisierten Prozessen beruhen, müssen Unternehmen auf Anfrage eine Erklärung zu den Gründen ihrer Entscheidungen liefern können. Die betroffenen Personen müssen außerdem die Möglichkeit haben, die Entscheidungen anzufechten.
  • Unternehmen müssen nachweisen können, dass das Recht auf Löschung der Daten (Recht auf Vergessenwerden) und Widerspruch gegen die Datennutzung umgesetzt wird.
  • Über Verschlüsselung und Automatisierung muss die Datensicherheit gewährleistet sein. Das heißt, Unternehmen müssen durch technische und organisatorische Sicherheitsmaßnahmen dafür sorgen, dass alle durch KI verarbeiteten Daten vor unbefugtem Zugriff, Verlust oder Missbrauch geschützt sind. Dies umfasst die Implementierung von Verschlüsselungstechnologien, sichere Speichersysteme und regelmäßige Sicherheitsaudits.
  • Wer große Datenmengen verarbeitet, muss darüber hinaus regelmäßige Risikobewertungen durchführen, um mögliche Sicherheitslücken zu identifizieren und zu schließen.
    Verstöße gegen die DSGVO können zu Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes führen – jeweils der höhere Betrag. Zudem untergräbt das Unternehmen durch eine Verletzung der Vorgaben das Vertrauen seiner Kunden. Denn sie können nicht sicher sein, dass ihre Daten sicher und verantwortungsbewusst behandelt werden.

Der AI-Act (KI-Verordnung): Risikobewertung für Rechte und Freiheiten
Die EU-Verordnung über künstliche Intelligenz (AI-Act) regelt die Bereiche Bias und Diskriminierung, Transparenz bei KI-Systemen, ethische Überlegungen sowie Audits und Compliance. Der AI-Act soll dafür sorgen, die Entwicklung und die Nutzung der KI-Technologie sicher und ethisch zu gestalten. Das Ziel ist es, den Einsatz von KI zu regulieren, Risiken zu minimieren und gleichzeitig die Innovationskraft der Technologie zu fördern. Die Verordnung unterteilt KI-Anwendungen in die vier Kategorien Minimalrisiko, Begrenztes Risiko, Hohes Risiko und Unannehmbares Risiko. Die Kategorien bewerten jeweils das Risiko für die Rechte und Freiheiten der vom Einsatz von KI-Systemen betroffenen Personen.

Relevante Risikokategorien für KI im Unternehmen

Für mittelständische Unternehmen in Deutschland sind in der Regel die Kategorien Minimalrisiko und Begrenztes Risiko relevant.

Minimalrisiko:

  • In diese Kategorie fallen KI-Anwendungen, die für einfache Automatisierungen oder für nicht-personenbezogene Daten verwendet werden.
  • Beispiele sind Marketing-Tools zu Analyse allgemeiner Nutzerdaten, Empfehlungssysteme auf E-Commerce-Websites oder einfach Chatbots, die keine sensiblen Daten verarbeiten.
  • An Unternehmen in dieser Kategorie stellt der AI Act keine hohen Anforderungen. Es muss allerdings sichergestellt sein, dass die KI-Systeme niemanden diskriminieren oder unethisch sind.
  • Und auch bei minimalriskanten Anwendungen sollten Unternehmen die betroffenen Personen darüber informieren, dass sie mit einem KI-System interagieren – Stichwort Transparenz.
  • Zudem sollte sichergestellt sein, dass die KI-Anwendungen keine Schäden verursachen oder Rechte der betroffenen Personen verletzen – Stichwort Verantwortung.

Begrenztes Risiko:

  • Bei den KI-Anwendungen dieser Kategorie besteht ein gewisses, aber begrenztes Risiko für die betroffenen Personen. An Unternehmen, die solche Systeme einsetzen, werden höhere Anforderungen gestellt, da sie zwar sensible, aber nicht extrem risikobehaftete Daten verarbeiten.
  • Beispiele sind KI-Algorithmen, die in der Personalabteilung eingesetzt werden, um Bewerbungen zu analysieren oder im Finanzwesen Entscheidungsprozesse unterstützen, etwa bei der Vergabe von Krediten.
  • Wichtige Anforderungen in dieser Kategorie sind: Dokumentation und Transparenz, Nachvollziehbarkeit, Wartung und regelmäßige Prüfungen.
Beispiele aus den jeweiligen Risikokategorien

Hohes Risiko:

  • KI-Systeme dieser Kategorie können ein signifikantes Risiko für die Rechte und Freiheiten von Menschen darstellen. KI-Systeme, die in sensiblen Bereichen wie dem Gesundheitswesen, der Strafjustiz oder im Finanzwesen eingesetzt werden, können als hohes Risiko gelten, wenn ihre Entscheidungen erhebliche Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen haben.
  • Beispiele sind KI-Systeme für die medizinische Diagnose oder für die automatische Analyse von Überwachungsmaterial der Polizei.
  • Mittelständische Unternehmen sind in der Regel nicht direkt in Bereichen wie der Strafjustiz oder dem Gesundheitswesen tätig. In der Finanzbranche, im Versicherungswesen oder bei der Bereitstellung von Gesundheitsdiensten wird die Kategorie jedoch für sie relevant.
  • In diesem Fall müssen die Unternehmen sehr strenge Anforderungen erfüllen. Dazu gehören Transparenz und Erklärbarkeit, regelmäßige Sicherheitstests, ethische Überlegungen und Bias-Prüfungen, also die Vermeidung von Diskriminierung durch unbeabsichtigte Verzerrung.

Der AI Act sieht maximale Strafen von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes bei besonders gravierenden Verstößen vor, wie etwa verbotenen Anwendungen. Die Nicht-Einhaltung von Transparenzpflichten oder Mängel bei der Risikoanalyse von Hochrisiko-KI-Systemen werden mit Höchststrafen bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes geahndet. Für unzureichende Dokumentation und fehlende Kooperation mit den Aufsichtsbehörden drohen Strafen von bis zu 7,5 Millionen Euro oder 1,5 Prozent des Jahresumsatzes. Es gilt jeweils der höhere Betrag. Für mittelständische Unternehmen und Start-ups gibt es in Einzelfällen abgestufte, geringere Sätze.

In den kommenden Monaten zeigen wir hier auf, wie wir selbst und unsere Kunden KI im Unternehmen einführen und umsetzen.

KI-Beratung, Bild von einem Kochbuch für Künstliche Intelligenz

Hier zeigen wir, wie wir KI mit unseren Kunden in Unternehmen einsetzen.

Franka Theis
Strategic Account Managerin Cyber Security

E-Mail: Franka.Theis@systag.com
Telefon: +49 7123 / 92 02 – 16

Nachricht senden
Fake Rechnungen 2025 – aktuelle Maschen, Zahlen und SchutzmaßnahmenFake Rechnungen Teaser 2SYSTAG GmbH
Skip to content