DSGVO und KI: Pflichten für Datenschutzbeauftragte

Q: Darf ich ChatGPT mit Kundendaten nutzen?

Nur nach dokumentierter Prüfung. Datenschutzbeauftragte müssen vor der Nutzung von Kundendaten in ChatGPT, Copilot oder ähnlichen Systemen Rechtsgrundlage, Zweckbindung, TOMs, Anbieterbedingungen, internationale Datentransfers und Informationspflichten prüfen. Ohne Freigabeprozess ist der Einsatz regelmäßig zu riskant.

Q: Brauche ich eine DSFA für KI?

Oft ja, wenn KI zu Profiling, Scoring, Bewerberauswahl, Leistungsbewertung oder anderen Verarbeitungen mit hohem Risiko führt. Maßgeblich ist Art. 35 DSGVO, ergänzt durch Blacklists der Aufsichtsbehörden und die DSK-Orientierungshilfe zu KI und Datenschutz.

Q: Welche Rechtsgrundlage gilt für KI-Verarbeitung?

Es gibt keine spezielle KI-Rechtsgrundlage. Datenschutzbeauftragte müssen je nach Use Case prüfen, ob etwa Vertragserfüllung, berechtigtes Interesse, gesetzliche Pflicht oder Einwilligung tragfähig ist. Die Rechtsgrundlage muss zum konkreten Zweck und zur konkreten Datenverarbeitung passen.

Q: Wie wirkt sich der AI Act auf die DSGVO-Compliance aus?

Der AI Act ersetzt die DSGVO nicht, sondern ergänzt sie. Neben Datenschutzpflichten kommen Betreiberpflichten, Dokumentationsanforderungen, KI-Kompetenz, menschliche Aufsicht und bei Hochrisiko-KI gegebenenfalls eine Grundrechte-Folgenabschätzung hinzu.

Q: Braucht mein Unternehmen einen KI-Beauftragten neben dem DSB?

Nicht zwingend. Der AI Act schafft keine generelle Pflichtrolle namens KI-Beauftragter. In vielen Unternehmen ist aber eine klare Governance-Aufteilung sinnvoll, bei der der DSB Datenschutz und Betroffenenrechte steuert und eine weitere Rolle die operative KI-Governance verantwortet.

Die DSGVO und der EU AI Act bilden zusammen den regulatorischen Rahmen für den Einsatz von KI-Systemen mit personenbezogenen Daten — Datenschutzbeauftragte müssen beide Regelwerke beherrschen. Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht aus Art. 4 AI Act; für Hochrisiko-KI kommen insbesondere Daten-Governance nach Art. 10 und Betreiberpflichten nach Art. 26 AI Act hinzu. Gleichzeitig bleiben Art. 5, 6, 22, 35 und 37 bis 39 DSGVO sowie Anforderungen an Datensicherheit nach Art. 32 DSGVO und in NIS2-relevanten Umgebungen hochrelevant.

Letzte Aktualisierung: 20. März 2026

Für die operative Einordnung helfen ergänzend unsere Beiträge zu KI-Verordnung vs. DSGVO, AI Act für Datenschutzbeauftragte, ISO 42001, AI Act, NIS2 und DSGVO im Vergleich und zur EU AI Act Schulung.

Warum Datenschutzbeauftragte 2026 eine neue Schnittstellenrolle haben

Datenschutzbeauftragte werden 2026 zur Übersetzungsstelle zwischen Datenschutzrecht, KI-Governance und Fachbereichspraxis. Art. 37 bis 39 DSGVO verpflichten Unternehmen weiterhin zur Benennung, Einbindung und Beratung des DSB, wenn die gesetzlichen Voraussetzungen erfüllt sind. Der AI Act macht den DSB zwar nicht automatisch zum KI-Beauftragten, erweitert aber die Zahl der Vorgänge, bei denen Datenschutz nicht mehr isoliert betrachtet werden kann.

Praktisch entstehen neue Aufgaben an drei Stellen gleichzeitig. Erstens müssen DSB KI-Anwendungen schneller identifizieren, die personenbezogene Daten verarbeiten, Entscheidungen vorbereiten oder Mitarbeitende und Kunden betreffen. Zweitens müssen sie klassische Datenschutzprüfungen mit AI-Act-Fragen kombinieren, etwa mit Betreiberpflichten nach Art. 26 AI Act und Anforderungen an menschliche Aufsicht. Drittens müssen sie enger mit IT, HR, Einkauf, Informationssicherheit und Geschäftsführung zusammenarbeiten, weil ChatGPT, Microsoft Copilot oder branchenspezifische KI-Tools nicht nur ein Datenschutzthema sind.

Wichtig ist dabei eine Präzisierung: Die Grundrechte-Folgenabschätzung für bestimmte Hochrisiko-KI ist im finalen AI Act in Art. 27 geregelt. Art. 26 bleibt für Betreiber trotzdem zentral, weil dort Nutzungspflichten, Überwachung und der Umgang mit Anbieterinformationen geregelt werden. Für Datenschutzbeauftragte bedeutet das: DSFA und Grundrechteprüfung müssen oft koordiniert, aber rechtlich sauber getrennt werden.

DSGVO-Pflichten bei KI: Was unverändert gilt und was jetzt wichtiger wird

Die DSGVO gilt bei KI unverändert weiter. Neu ist nicht der Wegfall alter Pflichten, sondern die höhere Fehlerrate in der Praxis. Gerade bei generativer KI, Assistenzsystemen und Bewertungsmodellen geraten Grundprinzipien der DSGVO schneller unter Druck als bei klassischen Fachanwendungen.

Art. 5 DSGVO: Datenminimierung bleibt der erste Prüfpunkt

Art. 5 DSGVO verlangt Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität. Für KI-Projekte ist vor allem die Datenminimierung kritisch, weil Fachbereiche häufig zu viele Rohdaten in Prompts, Trainingsumgebungen oder Copilot-Oberflächen einspielen. Der typische Fehler lautet nicht "wir haben gar keine Regeln", sondern "wir haben ein nützliches Tool und prüfen erst später, welche Daten dort gelandet sind".

Für DSB heißt das konkret: Vor jedem produktiven KI-Einsatz sollte geklärt sein, welche Datenkategorien überhaupt erforderlich sind, ob Pseudonymisierung möglich ist und welche Eingaben technisch oder organisatorisch verboten werden müssen. Genau hier knüpfen auch die DSK-Orientierungshilfe zu KI und Datenschutz und der BfDI-KI-Fragenkatalog an: Beide verlangen in der Sache, dass Verantwortliche Datenflüsse, Speicherorte, Trainingsnutzung, Zugriffsmöglichkeiten und Löschung nachvollziehbar prüfen.

Art. 6 DSGVO: Es gibt keine eigene KI-Rechtsgrundlage

Art. 6 DSGVO bleibt die Kernnorm für die Frage, ob eine Verarbeitung zulässig ist. Datenschutzbeauftragte müssen deshalb für jeden KI-Use-Case dieselbe Grundfrage beantworten wie bei anderer Software: Auf welche Rechtsgrundlage stützt sich die konkrete Verarbeitung personenbezogener Daten?

Die Antwort fällt je nach Szenario unterschiedlich aus. Interne Wissenssuche kann auf berechtigte Interessen gestützt werden, wenn Interessenabwägung, Zweck und Schutzmaßnahmen tragfähig sind. Recruiting- oder Leistungskontexte sind deutlich sensibler. Einwilligungen wirken bei KI oft attraktiv, sind aber in Beschäftigungsverhältnissen oder bei komplexen, sich verändernden Systemen rechtlich oft die schwächere Lösung. Wer diese Abgrenzung vertiefen will, findet die systematische Gegenüberstellung in KI-Verordnung vs. DSGVO.

Art. 13 und 14 DSGVO: Informationspflichten werden durch KI sichtbarer

Art. 13 und 14 DSGVO verlangen verständliche Informationen über Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Betroffenenrechte. KI verschärft dieses Thema, weil Fachbereiche häufig nur das Tool benennen, aber nicht erklären können, welche Rolle die KI im Entscheidungsprozess tatsächlich spielt.

Für Datenschutzbeauftragte ist deshalb entscheidend, dass Datenschutzhinweise nicht nur "KI wird eingesetzt" sagen. Sie müssen beantworten, welche Daten in das System fließen, ob ein Anbieter eingebunden ist, ob Ausgaben menschlich geprüft werden und ob Betroffene mit Profiling oder Bewertung rechnen müssen. Bei externen Datenquellen oder indirekt erhobenen Daten kommen zusätzlich Art. 14-Pflichten ins Spiel. Gerade in Bewerbungs- oder Kundenscoring-Prozessen sollten DSB deshalb Informationspflichten und automatisierte Entscheidungen nach Art. 22 DSGVO zusammen denken.

DSFA bei KI: Wann Art. 35 DSGVO praktisch zwingend wird

Eine Datenschutz-Folgenabschätzung ist bei KI nicht immer Pflicht, aber deutlich häufiger als viele Unternehmen annehmen. Art. 35 DSGVO greift immer dann, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. KI-gestütztes Profiling, Bewerbervorauswahl, Scoring, Verhaltensanalyse, Beschäftigtenüberwachung und sensible Kundensegmentierung sind typische Auslöser.

Die DSK-Orientierungshilfe zu KI und Datenschutz macht deutlich, dass KI-Anwendungen wegen Intransparenz, Komplexität, Skalierung und Fehlerfolgen besonders schnell in DSFA-pflichtige Konstellationen rutschen. Zusätzlich sind Blacklists der Aufsichtsbehörden relevant. Wer etwa Beschäftigtendaten verarbeitet, sollte außerdem die arbeitsrechtliche Sensibilität nach BDSG und die Mitbestimmungsperspektive mitdenken.

Für die Praxis empfiehlt sich ein einfaches Raster:

Prüfen Sie, ob das System Personen bewertet, priorisiert oder vorhersagt.
Prüfen Sie, ob sensible Daten, große Datenmengen oder Beschäftigtendaten betroffen sind.
Prüfen Sie, ob Entscheidungen faktisch automatisiert vorbereitet oder vorgegeben werden.
Prüfen Sie, ob Betroffene die Logik und Folgen realistisch nachvollziehen können.
Prüfen Sie, ob zusätzlich eine Grundrechte-Folgenabschätzung nach Art. 27 AI Act notwendig sein kann.

Die DSFA sollte bei KI als Living Document geführt werden. Modellwechsel, neue Datenquellen, zusätzliche Prompt-Funktionen, veränderte Speicherregeln oder neue Nutzergruppen können die Risikobewertung wesentlich verändern. Für DSB ist deshalb der operative Anschlussartikel DSFA für KI-Systeme besonders relevant.

BfDI und Landesaufsicht: Was die aktuelle Guidance zu ChatGPT, Copilot und KI am Arbeitsplatz verlangt

Die deutsche Aufsichtslinie ist klar: Generative KI ist kein rechtsfreier Experimentierraum. Die DSK-Orientierungshilfe vom 6. Mai 2024 behandelt KI ausdrücklich als datenschutzrechtlich voll regulierte Verarbeitung. Der BfDI hat am 20. Mai 2025 zusätzlich einen KI-Fragenkatalog veröffentlicht, der Verantwortliche zu Datenquellen, Personenbezug, Trainingsbezug, Löschung, Rechtsgrundlage und technischen Schutzmaßnahmen strukturiert befragt.

Für ChatGPT, Copilot und ähnliche Systeme ergeben sich daraus drei praktische Leitlinien. Erstens müssen Unternehmen vor dem Rollout dokumentieren, welche Daten eingegeben werden dürfen und welche nicht. Zweitens muss geprüft sein, ob Anbieter Eingaben für Training, Verbesserung oder Protokollierung verwenden und welche vertraglichen und technischen Einstellungen verfügbar sind. Drittens muss der Arbeitsplatzkontext besonders streng betrachtet werden, weil Beschäftigtendaten, Leistungsdaten, interne Kommunikation und vertrauliche Informationen schnell betroffen sind.

Die Folge ist für DSB sehr konkret: Ein allgemeines "Bitte keine sensiblen Daten eingeben" reicht nicht. Erforderlich sind Freigaberegeln, Rollenrechte, verlässliche TOMs, klare Verbotsfälle und eine dokumentierte Schulung. Genau an dieser Schnittstelle zwischen Tool-Nutzung, Datenschutz und AI-Act-Kompetenzpflicht setzt auch unser Beitrag ChatGPT im Unternehmen und dem AI Act an.

Zusammenarbeit mit KI-Verantwortlichen: Wer macht was?

Datenschutzbeauftragte sollten KI-Governance weder monopolisieren noch erst im Nachgang kommentieren. In der Praxis funktioniert ein Drei-Linien-Modell am besten: Der Fachbereich verantwortet Zweck und Einsatz, IT oder ein KI-Verantwortlicher steuert Toolauswahl, Betrieb und Anbieterunterlagen, und der DSB prüft Datenschutz, Betroffenenrechte, DSFA und dokumentierte Freigaben. So bleibt die unabhängige Beratungsrolle aus Art. 38 und 39 DSGVO erhalten, ohne dass Datenschutz allein alle KI-Risiken tragen muss.

Besonders wichtig ist diese Aufteilung bei Beschaffung und Einführung. Wenn ein Anbieter mit "EU-Hosting", "Enterprise-Sicherheit" oder "Copilot-ready" wirbt, beantwortet das noch keine DSGVO-Fragen. Der DSB sollte deshalb früh Zugang zu Vertragsdokumenten, TOMs, Löschregeln, Unterauftragsverarbeitern, Trainingsoptionen und Audit-Nachweisen erhalten. Parallel muss das Unternehmen prüfen, ob zusätzlich AI-Act-Dokumentation, Human-Oversight-Prozesse oder sektorspezifische Sicherheitsanforderungen relevant sind. Genau dort greifen Datenschutz, ISO 42001 und AI Act, NIS2 und DSGVO im Vergleich organisatorisch ineinander.

Art. 22 DSGVO: Automatisierte Einzelentscheidungen bleiben das rote Tuch

Art. 22 DSGVO ist bei KI besonders relevant, weil Unternehmen menschliche Beteiligung häufig überschätzen. Eine Entscheidung ist nicht schon deshalb unproblematisch, weil am Ende formal ein Mensch klickt. Wenn die Person faktisch nur den KI-Vorschlag bestätigt, keine echte Prüftiefe hat oder keine Möglichkeit zum Abweichen nutzt, kann weiterhin eine ausschließlich automatisierte Entscheidung vorliegen.

Für Datenschutzbeauftragte ergeben sich daraus drei Prüfpflichten. Erstens muss geklärt werden, ob die Entscheidung rechtliche Wirkung oder ähnlich erhebliche Auswirkungen hat, etwa bei Bewerbung, Kredit, Versicherung, Zugang, Preisgestaltung oder Leistungsbewertung. Zweitens muss geprüft werden, ob eine echte menschliche Überprüfung eingebaut ist. Drittens müssen Betroffenenrechte, Informationspflichten und Eskalationswege dokumentiert sein.

Der AI Act verschärft diese Debatte nicht durch Ersatz, sondern durch Ergänzung. Hochrisiko-KI verlangt zusätzliche Transparenz, Betreiberkontrollen und menschliche Aufsicht. DSGVO Art. 22 schützt dagegen die betroffene Person gegen unzulässige automatisierte Entscheidungsmacht. Beide Ebenen müssen deshalb gemeinsam beurteilt werden. Die Detailanalyse finden Sie in unserem Beitrag Automatisierte Entscheidungen nach DSGVO und KI.

DSGVO-Pflichten vs. AI-Act-Pflichten bei KI-Einsatz

Die wichtigste Managementbotschaft lautet: Der AI Act ersetzt keine DSGVO-Pflicht, und die DSGVO beantwortet nicht alle KI-Fragen. Datenschutzbeauftragte sollten beide Ebenen parallel in der Governance verankern.

Prüffeld	DSGVO	AI Act	Was der DSB praktisch tun sollte
Rechtsgrundlage	Art. 6 DSGVO	Keine eigene Datenschutz-Rechtsgrundlage	Use Case und Datenfluss einzeln bewerten.
Datenminimierung	Art. 5 DSGVO	Bei Hochrisiko-KI zusätzlich Daten-Governance nach Art. 10	Prompt-Regeln, Pseudonymisierung und Freigaben definieren.
Informationspflichten	Art. 13 und 14 DSGVO	Je nach System zusätzliche Transparenzpflichten	Hinweise zur KI-Rolle und zum Prozess ergänzen.
Automatisierte Entscheidungen	Art. 22 DSGVO	Menschliche Aufsicht und Betreiberpflichten	Echte Human Review statt bloßer Abzeichnung prüfen.
Folgenabschätzung	Art. 35 DSGVO	Bei bestimmten Hochrisiko-Fällen Art. 27 AI Act	DSFA und Grundrechteprüfung verzahnen.
Rollen und Governance	Art. 37 bis 39 DSGVO	Art. 4, 26 und weitere Betreiberpflichten	DSB, Fachbereich, IT und Management sauber abgrenzen.

Wer diese Doppelstruktur sauber aufbauen will, sollte zusätzlich die Managementperspektive über ISO 42001 und AI Act, NIS2 und DSGVO im Vergleich betrachten. Gerade bei produktiver KI in regulierten Umgebungen greifen Datenschutz, Informationssicherheit und KI-Governance ineinander.

Checkliste für Datenschutzbeauftragte: 10 Prüfpunkte vor dem KI-Einsatz

Datenschutzbeauftragte brauchen vor dem Go-live keine abstrakte Grundsatzdiskussion, sondern einen belastbaren Prüfpfad. Die folgenden zehn Punkte decken die meisten Praxisfälle ab:

Use Case beschreiben: Welche konkrete Aufgabe erfüllt das KI-System, und in welchem Fachprozess wird es eingesetzt?
Datenkategorien erfassen: Werden personenbezogene, sensible oder Beschäftigtendaten verarbeitet?
Rechtsgrundlage festlegen: Welche Norm aus Art. 6 DSGVO trägt die Verarbeitung?
Anbieterprüfung dokumentieren: Wo werden Daten verarbeitet, gespeichert oder für Training genutzt?
TOMs bewerten: Sind Zugriffsschutz, Protokollierung, Löschung, Rollenrechte und Vertragspflichten ausreichend?
Informationspflichten aktualisieren: Müssen Art. 13 oder 14-Hinweise ergänzt werden?
Art. 22-Risiko prüfen: Hat die KI rechtliche oder ähnlich erhebliche Auswirkungen auf Betroffene?
DSFA-Trigger prüfen: Liegt ein hohes Risiko nach Art. 35 DSGVO vor?
AI-Act-Pflichten ergänzen: Sind Betreiberpflichten, menschliche Aufsicht und gegebenenfalls Art. 27 AI Act relevant?
Schulung und Freigabe nachweisen: Haben Nutzer rollenspezifische Regeln verstanden und dokumentiert absolviert?

Diese Checkliste ersetzt keine Rechtsberatung, schafft aber einen wiederholbaren Mindeststandard. Wenn Sie den Kompetenznachweis parallel absichern wollen, ist unsere EU AI Act Schulung der pragmatische nächste Schritt für Management, Datenschutz, HR und Fachbereiche.

Fazit: DSB müssen Datenschutz und KI-Governance gemeinsam führen

Datenschutzbeauftragte brauchen 2026 keinen völlig neuen Beruf, aber ein deutlich breiteres Betriebssystem. DSGVO-Pflichten aus Art. 5, 6, 13, 14, 22, 35 und 37 bis 39 bleiben voll wirksam. Der AI Act ergänzt diese Pflichten um KI-Kompetenz, Betreiberverantwortung, zusätzliche Dokumentation und bei bestimmten Hochrisiko-Konstellationen um eine Grundrechte-Folgenabschätzung.

Für Unternehmen ist der richtige Weg deshalb klar: KI-Inventar aufbauen, DSB früh einbinden, DSFA und AI-Act-Prüfung verzahnen, generative KI am Arbeitsplatz sauber regeln und Schulungen dokumentieren. Wenn Sie dafür eine kompakte, rechtlich saubere Grundlage suchen, nutzen Sie die EU AI Act Schulung und vertiefen Sie danach AI Act für Datenschutzbeauftragte, KI-Verordnung vs. DSGVO und DSFA für KI-Systeme.

FAQ: DSGVO und KI für Datenschutzbeauftragte

Darf ich ChatGPT mit Kundendaten nutzen?

Nur nach dokumentierter Prüfung von Rechtsgrundlage, Anbieterarchitektur, Datentransfers, TOMs und Nutzungsregeln. Ohne Freigabeprozess sollten Kundendaten nicht in offene KI-Systeme eingegeben werden.

Brauche ich eine DSFA für KI?

Oft ja, wenn Profiling, Scoring, Bewerberauswahl, Beschäftigtendaten oder andere Hochrisiko-Verarbeitungen betroffen sind. Maßgeblich ist Art. 35 DSGVO, ergänzt durch die Orientierungshilfen der Aufsichtsbehörden.

Welche Rechtsgrundlage gilt für KI-Verarbeitung?

Es gibt keine eigene KI-Rechtsgrundlage. Die passende Rechtsgrundlage ergibt sich aus dem konkreten Zweck und dem jeweiligen Verarbeitungsvorgang.

Wie wirkt sich der AI Act auf die DSGVO-Compliance aus?

Der AI Act ergänzt Datenschutzpflichten um Betreiberpflichten, Kompetenznachweise, menschliche Aufsicht und zusätzliche Prüfungen bei Hochrisiko-KI. Beide Regime gelten kumulativ.

Braucht mein Unternehmen einen KI-Beauftragten neben dem DSB?

Nicht zwingend. Viele Unternehmen fahren aber besser mit einer klar getrennten Governance, in der der DSB Datenschutz und Betroffenenrechte verantwortet und eine weitere Rolle die operative KI-Steuerung koordiniert.

DSGVO und KI — Was Datenschutzbeauftragte wissen müssen