Künstliche Intelligenz ist längst im Arbeitsalltag angekommen. Mitarbeitende nutzen generative KI-Systeme für Recherchen, Textentwürfe, Code, Übersetzungen oder zur Auswertung von Daten. Was Effizienz verspricht, birgt jedoch erhebliche datenschutzrechtliche Risiken – insbesondere dann, wenn Beschäftigte personenbezogene Daten in externe KI-Systeme eingeben. Für Unternehmen entsteht hier ein Spannungsfeld zwischen Innovationsdruck und Compliance-Pflichten, das oft unterschätzt wird.
Das Kernproblem: Kontrollverlust über Daten
Ein zentrales Risiko liegt im Verlust der Kontrolle über eingegebene Informationen. Viele KI-Systeme, insbesondere cloudbasierte Dienste mit Serverstandorten außerhalb der EU, verarbeiten Eingaben nicht nur zur unmittelbaren Antwortgenerierung, sondern speichern sie zumindest temporär oder nutzen sie zur Systemverbesserung. Sobald Mitarbeitende personenbezogene Daten, Geschäftsgeheimnisse oder vertrauliche Kundeninformationen eingeben, verlässt die jeweilige Information den unmittelbaren Einflussbereich des Unternehmens. Aus datenschutzrechtlicher Sicht stellt dies eine Übermittlung an einen Dritten dar – mit allen daraus folgenden Pflichten und Haftungsfragen.
Personenbezogene Daten im Fokus
Die rechtlichen Vorgaben des Datenschutzes greifen bei der Verarbeitung von Informationen, die einen Rückschluss auf eine natürliche Person zulassen. Umfasst sind nicht nur Angaben wie Namen, Kontaktdaten oder Gesundheitsinformationen, sondern auch Informationen, die mittelbare Rückschlüsse auf Personen zulassen – wie Fotos, Kennzeichen oder IP-Adressen. Aber auch Kontextinformationen können ausreichen, um eine Person identifizierbar zu machen. Erfolgt die Verarbeitung ohne geeignete Rechtsgrundlage oder ohne ausreichende Transparenz, drohen Verstöße gegen die DSGVO – inklusive Bußgeldern, Schadensersatzansprüchen und Reputationsschäden.
Mitarbeiter als Risikofaktor
Mitarbeitende greifen häufig eigenständig auf frei verfügbare KI-Tools zurück, ohne dass diese vom Unternehmen freigegeben, geprüft oder vertraglich eingebunden wurden. Aus Sicht des Datenschutzes ist besonders heikel, wenn hierbei auf Anonymisierung verzichtet wurde: Das Unternehmen ist häufig Verantwortlicher für die Datenverarbeitung, selbst wenn es keine Kenntnis von der konkreten Nutzung hatte. Ein Organisationsverschulden liegt schnell nahe, wenn es an klaren Vorgaben, Schulungen oder technischen Schutzmaßnahmen fehlt.
Datenlecks und Haftungsverschärfung
Kommt es durch KI-Nutzung zu einer Datenschutzverletzung – etwa durch unbefugte Weiterverwendung von Trainingsdaten oder durch Sicherheitslücken beim Anbieter – trägt das Unternehmen als Verantwortlicher ein erhebliches (Mit-)Haftungsrisiko. Die Rechtsprechung stellt zunehmend strengere Anforderungen an technische und organisatorische Maßnahmen. Bereits der Kontrollverlust über Daten stellt einen Datenschutzverstoß dar, auch ohne dass ein konkreter Missbrauch nachgewiesen werden muss.
KI als Öffentlichkeit – ein unterschätztes Risiko
Ein weiteres Risiko liegt in der dauerhaften Verfügbarkeit einmal eingegebener Informationen. Moderne KI-Systeme können Konversationen speichern, kontextbezogen weiterverwenden oder in Nutzerprofilen verarbeiten. Was als einmalige Anfrage gedacht war, kann später erneut auftauchen – etwa in anderen Antwortkontexten oder Auswertungen. Für Unternehmen ist kaum überprüfbar, ob und wie lange sensible Informationen gespeichert bleiben oder wie Geschäftsgeheimnisse anderen Nutzern verfügbar gemacht werden: Das kann bis zum Investitionsverlust führen, wenn Geschäftsgeheimnisse, Prozesse oder Erfindungen von der KI in vorbekanntes und allgemeinzugängliches Wissen überführt werden.
Was Unternehmen jetzt tun sollten
Unternehmen sind gut beraten, KI-Nutzung nicht dem Zufall zu überlassen. Erforderlich ist ein strukturiertes Governance-Konzept, das Datenschutz, IT-Sicherheit und Arbeitsorganisation zusammenführt. Dazu gehören klare Nutzungsrichtlinien für Mitarbeitende, Schulungen zur Sensibilisierung, technische Beschränkungen für besonders sensible Daten sowie eine sorgfältige Prüfung und Auswahl von KI-Anbietern. Ebenso wichtig ist die Dokumentation: Datenschutz-Folgenabschätzungen, Verarbeitungsverzeichnisse und interne Freigabeprozesse sollten an die Arbeitspraxis angepasst werden.
Fazit
KI kann ein wertsteigerndes Werkzeug sein – wenn sie kontrolliert und rechtskonform eingesetzt wird. Die größte Gefahr liegt weniger in der Technologie selbst als im unbedachten Umgang mit Daten durch Mitarbeitende. Unternehmen, die jetzt klare Regeln schaffen und insbesondere den Datenschutz als integralen Bestandteil ihrer KI-Strategie verstehen, reduzieren nicht nur rechtliche Risiken, sondern schaffen auch Vertrauen bei Kunden, Partnern und Beschäftigten.
