Während generative KI-Tools wie ChatGPT und Gemini im Unternehmensalltag ankommen, stellen viele Führungskräfte die falsche Frage. Es geht nicht darum: „Können wir es nutzen?“, sondern vielmehr: „Nutzen wir es verantwortungsbewusst?“ Für CEOs, CIOs und Compliance-Verantwortliche in den Bereichen Finanzen, Gesundheit und im öffentlichen Sektor steigen die rechtlichen Risiken rasant an.

Die DSGVO ist klar: Sobald Ihr Unternehmen personenbezogene Daten verarbeitet, bleibt die Verantwortung bei Ihnen unabhängig davon, welches KI-Tool im Einsatz ist. Gleichzeitig entstehen durch generative KI neue blinde Flecken, die viele Organisationen unterschätzen..

Nehmen wir den Grundsatz der Datenminimierung: Schon das Kopieren einer Kundendatei in ein Prompt kann problematisch sein, weil mehr personenbezogene Daten verarbeitet werden als nötig. Viele Tools behandeln Eingaben nicht automatisch differenziert nach Sensibilität. Kritisch wird es besonders dann, wenn kein Auftragsverarbeitungsvertrag (AVV) vorliegt, weil damit oft unklar ist, wie Eingaben gespeichert oder weiterverwendet werden.

Transparenz und Kontrolle sind genauso wichtig. In vielen generativen KI-Tools ist nicht ausreichend nachvollziehbar, was mit Eingaben passiert, wie lange sie gespeichert werden und wer darauf zugreifen kann. Gleichzeitig verlangt die DSGVO, dass Betroffene informiert werden und Rechte wie Auskunft, Berichtigung oder Löschung praktisch umsetzbar sind. Genau das wird schwierig, wenn Tool-Setups diese Rechte nicht sauber unterstützen. Parallel steigt der regulatorische Druck. Der EU AI Act bringt zusätzliche Pflichten für bestimmte Anwendungsfälle, besonders dort, wo Entscheidungen Menschen betreffen, etwa in HR, Gesundheit oder Finanzdienstleistungen. In der Praxis bedeutet das: DSGVO und AI Act müssen gemeinsam gedacht werden, nicht getrennt.

Was ist das Risiko?

Es geht nicht nur um Bußgelder. Entscheidend sind Vertrauensverlust, behördliche Prüfungen und operative Schäden, wenn personenbezogene oder vertrauliche Daten in falsche Hände geraten oder KI-Ausgaben falsche Entscheidungen auslösen. Die Antwort ist nicht Verzicht, sondern belastbare Governance: klare Regeln, Zugriffskontrolle, nachvollziehbare Verarbeitung, Schulung der Teams und Anbieter, die EU-Datenschutzanforderungen nachweislich unterstützen.