← Blog

24. Januar 2026

DSGVO KI-Compliance: 7 häufige Fehler vermeiden

Wer KI nutzt und dabei personenbezogene Daten verarbeitet, muss die DSGVO einhalten. In der Praxis passieren immer wieder dieselben Fehler. Diese sieben Punkte helfen, typische Fallstricke zu vermeiden.

1. Keine Rechtsgrundlage für die KI-Verarbeitung

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage (Art. 6 DSGVO). „Wir nutzen halt KI“ reicht nicht. Typisch: Vertragserfüllung, berechtigtes Interesse oder Einwilligung. Die Grundlage muss vor der Verarbeitung feststehen und dokumentiert sein.

2. Daten an US-Cloud oder KI-Anbieter ohne Absicherung

ChatGPT, Copilot und viele SaaS-Tools verarbeiten Daten oft in den USA. Ohne geeignete Garantien (Standardvertragsklauseln, ggf. Zusatzmaßnahmen) ist der Drittlandtransfer rechtswidrig. Prüfen Sie AV-Verträge und Datenfluss vor dem Einsatz.

3. Fehlende oder unvollständige Dokumentation

Verzeichnis der Verarbeitungstätigkeiten (VVT), Technisch-organisatorische Maßnahmen (TOM), ggf. Datenschutz-Folgenabschätzung (DSFA): Ohne Dokumentation fehlt die Nachweispflicht. KI-Use-Cases sollten explizit erfasst und regelmäßig aktualisiert werden.

4. Keine Transparenz gegenüber Betroffenen

Betroffene müssen u. a. erfahren, dass automatisierte Verarbeitung (inkl. KI) stattfindet, zu welchem Zweck und auf welcher Grundlage. Fehlt das in der Datenschutzerklärung oder in konkreten Hinweisen, ist Art. 13/14 DSGVO verletzt.

5. Automatisierte Einzelentscheidungen ohne Absicherung

Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung, die ausschließlich automatisiert getroffen werden, unterliegen strengen Auflagen (Art. 22 DSGVO). Oft ist menschliche Beteiligung oder zumindest die Möglichkeit zum Widerspruch nötig.

6. Zu lange oder ungeregelte Speicherdauer

Daten dürfen nur so lange gespeichert werden, wie es der Zweck erfordert. Bei KI oft vergessen: Trainingsdaten, Logs, Exporte. Legen Sie Löschfristen fest und setzen Sie sie um.

7. Keine Prüfung vor „einfachem“ KI-Einsatz

Auch „harmlos“ wirkende Tools (z. B. Schreibassistenten, Übersetzer) verarbeiten mitunter personenbezogene oder sensible Inhalte. Jeder Use-Case sollte mindestens einmal datenschutzrechtlich eingeordnet werden.

KI-Use-Cases systematisch einordnen?

Unser Governance-System hilft bei der Einordnung nach AI Act & DSGVO - inkl. Protokoll für Ihre Dokumentation.

Jetzt kostenlos testen