DSGVO-Audit-Tool
für KI & Automatisierung

Der Einsatz von Künstlicher Intelligenz (KI) – etwa zur Analyse von E-Mails oder zur Verarbeitung interner Daten – bietet Unternehmen große Effizienzgewinne. Gleichzeitig stellt sich die zentrale Frage: Ist das überhaupt DSGVO-konform möglich?

Die kurze Antwort: Ja – unter klaren Voraussetzungen. Neben der DSGVO ist inzwischen auch der EU AI Act (seit August 2024 in Kraft, gestaffelte Anwendbarkeit) zu beachten.

1. Verarbeitung personenbezogener Daten mit KI
Sobald KI mit Daten wie Namen, E-Mail-Inhalten oder anderen identifizierbaren Informationen arbeitet, handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne der DSGVO.

Diese Verarbeitung ist erlaubt, wenn:

• eine gültige Rechtsgrundlage vorliegt
• ein klarer Zweck definiert ist
• die Verarbeitung auf das notwendige Maß beschränkt wird
• die Betroffenen transparent informiert werden

2. Die wichtigsten Rechtsgrundlagen in der Praxis

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Greift nur, wenn die KI-Verarbeitung objektiv erforderlich ist, um einen Vertrag oder eine vorvertragliche Anfrage zu erfüllen – nicht bereits, wenn sie nützlich oder effizient ist.

Typische Anwendungsfälle:

• direkte Bearbeitung einer konkreten Kundenanfrage
• Erfüllung einer vom Kunden ausdrücklich gewünschten Leistung

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
In der Praxis die häufigste Grundlage für interne KI-Anwendungen, insbesondere bei Effizienzsteigerung und Automatisierung.

Typische Zwecke:

• Klassifizierung und Priorisierung von E-Mails
• Zusammenfassung oder Kategorisierung interner Kommunikation
• Generierung von Antwortvorschlägen (mit menschlicher Freigabe)
• Prozessoptimierung

Wichtig: Es muss eine dokumentierte Interessenabwägung erfolgen. Entscheidend sind dabei die Eingriffsintensität, die vernünftigen Erwartungen der Betroffenen und die Frage, ob mildere Mittel verfügbar sind.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
In der Praxis seltener geeignet, weil sie freiwillig, informiert und jederzeit widerrufbar sein muss. Im Beschäftigtenkontext ist die Freiwilligkeit zudem kritisch zu prüfen. Einsatz vor allem bei Marketing oder optionalen Funktionen.

3. Besonderheiten bei sensiblen Daten (Art. 9 DSGVO)
Bei besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, religiöse oder politische Überzeugungen, Gewerkschaftszugehörigkeit) reicht Art. 6 DSGVO nicht aus. Hier ist zusätzlich eine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO erforderlich – in der Praxis meist die ausdrückliche Einwilligung.

Da KI-Systeme Inhalte schwer vorfiltern können, besteht hier ein erhöhtes Risiko, dass sensible Daten unbeabsichtigt mitverarbeitet werden.

4. Zweckbindung und Erforderlichkeit
Die DSGVO verlangt, dass jede Verarbeitung einem klar definierten Zweck dient und tatsächlich erforderlich ist. KI darf nur eingesetzt werden, wenn sie zur Zielerreichung beiträgt – nicht "weil es technisch möglich ist".

5. Keine vollautomatisierten Entscheidungen (Art. 22 DSGVO)
Art. 22 DSGVO verbietet grundsätzlich ausschließlich automatisierte Entscheidungen, die gegenüber Betroffenen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

In der Praxis bedeutet das: KI darf vorschlagen, kategorisieren und unterstützen – die finale Entscheidung in sensiblen Bereichen (z. B. Bewerberauswahl, Vertragskündigungen, Bonitätsbewertung) muss ein Mensch treffen und verantworten.

6. Auftragsverarbeitung und Drittlandtransfer
Ein in der Praxis zentraler, oft übersehener Punkt: Wer externe KI-Dienste nutzt (z. B. OpenAI, Microsoft Copilot, Microsoft Azure OpenAI, Anthropic Claude), übermittelt personenbezogene Daten an Dritte.

Erforderlich ist:

• ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
• bei US-Anbietern: Prüfung der Grundlage für den Drittlandtransfer (EU-US Data Privacy Framework, Standardvertragsklauseln, ggf. zusätzliche Schutzmaßnahmen)
• Prüfung, ob der Anbieter eingegebene Daten zu eigenen Trainingszwecken verwendet – in Enterprise-/Business-Tarifen ist dies meist ausgeschlossen, in kostenlosen Varianten oft nicht

7. Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Bei KI-Systemen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten der Betroffenen ist eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend. Das betrifft insbesondere:

• umfassende Analyse von Mitarbeiter- oder Kundenkommunikation
• systematische Bewertung persönlicher Aspekte (Profiling)
• großflächige Verarbeitung sensibler Daten

Die Aufsichtsbehörden veröffentlichen hierzu "Muss-Listen", an denen sich Unternehmen orientieren sollten.

8. Beschäftigtendatenschutz und Mitbestimmung
Werden Mitarbeiter-E-Mails oder interne Kommunikation mit KI analysiert, gelten zusätzliche Anforderungen:

• § 26 BDSG als besondere Rechtsgrundlage im Beschäftigungskontext (eine Reform zum Beschäftigtendatenschutz ist in Vorbereitung)
• Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG, wenn die KI geeignet ist, Leistung oder Verhalten der Beschäftigten zu überwachen – das ist bei den meisten KI-Tools der Fall
• klare Regelungen zur privaten Nutzung dienstlicher E-Mail-Accounts, da sonst das Fernmeldegeheimnis berührt sein kann

9. EU AI Act - zusätzliche Pflichten neben der DSGVO
Der AI Act ergänzt die DSGVO um produktsicherheitsrechtliche Anforderungen. Je nach Einsatzzweck kann ein KI-System eingestuft werden als:

• verboten (z. B. Emotionserkennung am Arbeitsplatz, Social Scoring)
• hochriskant (z. B. KI im Personalbereich, Bonitätsbewertung) – mit umfangreichen Dokumentations-, Transparenz- und Aufsichtspflichten
• mit Transparenzpflichten (z. B. Chatbots, generierte Inhalte)
• mit geringem Risiko (z. B. Spamfilter, E-Mail-Kategorisierung)

Die meisten Pflichten für Hochrisiko-Systeme werden ab August 2026 vollständig anwendbar.

10. Transparenz gegenüber Nutzern
Unternehmen müssen in der Datenschutzerklärung und ggf. in separaten Hinweisen klar kommunizieren:

• dass KI eingesetzt wird
• zu welchem Zweck und auf welcher Rechtsgrundlage
• welche Daten verarbeitet werden
• ob eine Übermittlung in Drittländer stattfindet
• welche Rechte Betroffene haben (Auskunft, Widerspruch, Löschung)

11. Technische und organisatorische Maßnahmen
Für eine DSGVO-konforme KI-Nutzung sind außerdem erforderlich:

• Datenminimierung (nur notwendige Inhalte verarbeiten, sensible Daten möglichst vorab filtern)
• sichere Datenübertragung und -speicherung (Verschlüsselung)
• Zugriffs- und Rollenkonzepte
• Protokollierung und Dokumentation der Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten
• interne Richtlinien und Mitarbeiterschulungen zur KI-Nutzung
• regelmäßige Überprüfung der eingesetzten Modelle und Anbieter

12. Typische zulässige Anwendungsfälle

• Automatisierte Bearbeitung und Routing von Kundenanfragen
• E-Mail-Klassifizierung und Priorisierung
• Zusammenfassung von Inhalten und Threads
• Erstellung von Antwortvorschlägen mit menschlicher Freigabe
• Interne Prozess- und Wissensorganisation

13. Grenzen und Risiken
Besondere Vorsicht gilt bei:

• vollautomatisierten Entscheidungen mit Wirkung für Betroffene
• Verarbeitung sensibler Daten nach Art. 9 DSGVO
• Nutzung kostenloser KI-Tools ohne AVV oder mit Trainingsnutzung der Eingaben
• unklarer oder nachträglich erweiterter Zweckdefinition
• Einsatz im Beschäftigtenkontext ohne Einbindung des Betriebsrats

14. Fazit
Der Einsatz von KI zur Verarbeitung von E-Mails und internen Daten ist DSGVO-konform möglich, wenn:

• eine passende Rechtsgrundlage gewählt und dokumentiert ist
• der Zweck klar definiert und begrenzt wird
• nur notwendige Daten verarbeitet werden
• Auftragsverarbeitung und Drittlandtransfer rechtssicher geregelt sind
• eine DSFA geprüft und ggf. durchgeführt wurde
• Transparenz, Sicherheit und menschliche Kontrolle gewährleistet sind
• Anforderungen aus Beschäftigtendatenschutz und AI Act mitgedacht werden

Unternehmen sollten KI daher nicht nur technisch, sondern auch datenschutz- und regulierungsrechtlich bewusst einsetzen – idealerweise mit Einbindung des Datenschutzbeauftragten und, wo relevant, des Betriebsrats.

Hinweis: Dieser Beitrag gibt einen allgemeinen Überblick und ersetzt keine individuelle Rechtsberatung. Für konkrete Projekte empfiehlt sich die Prüfung durch Datenschutzbeauftragte oder Fachanwälte.