Darf ich ChatGPT mit Kundendaten nutzen?

Nur mit einer tragfähigen Datenschutzgrundlage, klaren Eingaberegeln, einem geprüften Anbieter-Setup und ohne unkontrollierte Offenlegung sensibler Daten. Für das Recht auf Erklärung ist zusätzlich relevant, ob aus den Eingaben oder Ausgaben Entscheidungen über Personen entstehen.

Brauche ich eine DSFA für KI?

Häufig ja, wenn die KI Personen systematisch bewertet, Profiling betreibt, sensible Daten nutzt oder Entscheidungen mit rechtlichen oder ähnlich erheblichen Folgen vorbereitet. Gerade bei Recruiting, Kreditvergabe oder Versicherung ist eine Datenschutz-Folgenabschätzung oft naheliegend.

Muss ich KI-Entscheidungen erklären können?

Ja, wenn Ihre KI personenbezogene Entscheidungen mit erheblichen Auswirkungen trifft oder vorbereitet. Unter der DSGVO folgt das aus Informations-, Auskunfts- und Schutzrechten; der AI Act ergänzt für bestimmte Hochrisiko-KI-Systeme ein ausdrückliches Recht auf klare und aussagekräftige Erklärungen.

Was ist der Unterschied zwischen DSGVO- und AI Act-Erklärpflicht?

Die DSGVO schützt Betroffene vor rein automatisierten Einzelentscheidungen und verlangt verständliche Informationen über Logik, Bedeutung und Folgen. Art. 86 AI Act ist enger, aber ausdrücklicher: Er betrifft bestimmte Hochrisiko-KI-Systeme und fokussiert die Rolle des KI-Systems im Entscheidungsverfahren sowie die Hauptelemente der Entscheidung.

Welche technischen Methoden gibt es für KI-Erklärbarkeit?

In der Praxis werden vor allem LIME, SHAP, Counterfactual Explanations, Feature Importance und bei Bild- oder Sprachmodellen auch Attention Maps genutzt. Keine Methode ersetzt die rechtliche Bewertung; sie liefert nur Bausteine für eine verständliche Erklärung.

Recht auf Erklärung bei KI: DSGVO + AI Act Pflicht

Recht auf Erklärung bei KI-Entscheidungen

Das Recht auf Erklärung bei KI-Entscheidungen ergibt sich aus DSGVO Art. 13, 14, 15 und 22 und wird durch die AI-Act-Pflichten aus Art. 13, 14 und 86 für bestimmte Hochrisiko-KI-Systeme erheblich erweitert. Betroffene müssen verstehen können, warum eine KI ihr Bewerbungsverfahren beeinflusst, einen Kredit nicht empfiehlt oder einen Versicherungsfall auffällig einstuft. Für Unternehmen heißt das: Nicht nur die Entscheidung selbst, sondern auch die Rolle des Systems, die verwendeten Daten und die menschliche Kontrolle müssen nachvollziehbar sein.

Kurzantwort: Unter der DSGVO gibt es kein isoliertes, ausdrücklich so bezeichnetes allgemeines "Recht auf Erklärung". Das Recht ergibt sich aus dem Zusammenspiel von Informationspflichten, Auskunftsrechten und Schutzrechten gegen rein automatisierte Entscheidungen. Der AI Act geht einen Schritt weiter und schafft in Art. 86 ein ausdrücklich benanntes Recht auf klare und aussagekräftige Erklärungen für bestimmte Entscheidungen auf Basis von Hochrisiko-KI. Wer KI in sensiblen Personenkontexten einsetzt, sollte deshalb beides zusammendenken.

Letzte Aktualisierung: 20. März 2026

Wenn Sie zuerst die Grundlagen sortieren möchten, lesen Sie ergänzend KI-Verordnung vs. DSGVO, DSGVO und KI-Datenschutz, AI Act Hochrisiko-KI nach Annex III, den Glossarbegriff Hochrisiko-KI-System sowie unsere EU AI Act Schulung. Für die Governance-Perspektive sind außerdem AI Act vs. NIS2 vs. DSGVO und der ISO-42001-Hub relevant.

DSGVO-Grundlage: Erklärung folgt aus Transparenz, Auskunft und Schutzrechten

Die DSGVO verlangt Erklärbarkeit nicht in einem einzelnen Schlagwort, sondern über mehrere Rechte gleichzeitig. Art. 13 und 14 verpflichten Verantwortliche, bei der Datenerhebung oder nachträglich aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidung bereitzustellen. Art. 15 DSGVO ergänzt das über das Auskunftsrecht. Art. 22 DSGVO schützt Betroffene davor, ausschließlich automatisierten Entscheidungen unterworfen zu werden, die rechtliche Wirkung entfalten oder sie ähnlich erheblich beeinträchtigen.

Für die Praxis ist Art. 22 Abs. 3 zentral. Wenn eine automatisierte Entscheidung ausnahmsweise zulässig ist, müssen Unternehmen mindestens das Recht auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung sichern. Diese Rechte funktionieren nur, wenn die betroffene Person die Entscheidung überhaupt verstehen kann. Genau deshalb sprechen Juristen und Gerichte vom faktischen Recht auf Erklärung im Datenschutzrecht.

Wichtig ist die Abgrenzung: Eine formale menschliche Unterschrift reicht nicht aus, um eine Entscheidung aus Art. 22 DSGVO herauszunehmen. Wenn der Mensch die KI-Ausgabe praktisch immer übernimmt oder mangels Zeit, Fachwissen oder Leitlinien gar nicht sinnvoll prüfen kann, bleibt die Entscheidung rechtlich hochproblematisch. Wer automatisierte Entscheidungen sauber einordnen will, muss deshalb nicht nur auf das Organigramm schauen, sondern auf die tatsächliche Entscheidungspraxis.

AI Act Art. 86: Das ausdrücklich neue Recht bei Hochrisiko-KI

Art. 86 AI Act ist neu, weil er das Recht auf Erklärung ausdrücklich benennt. Danach hat jede betroffene Person gegenüber dem Betreiber Anspruch auf klare und aussagekräftige Erklärungen zur Rolle des KI-Systems im Entscheidungsverfahren und zu den Hauptelementen der getroffenen Entscheidung, wenn drei Voraussetzungen zusammenkommen: Erstens beruht die Entscheidung auf der Ausgabe eines Hochrisiko-KI-Systems nach Anhang III, wobei die in Nr. 2 genannten Systeme ausgenommen sind. Zweitens erzeugt die Entscheidung rechtliche Wirkungen oder ähnlich erhebliche Auswirkungen. Drittens sieht die betroffene Person einen nachteiligen Effekt auf Gesundheit, Sicherheit oder Grundrechte.

Unternehmen sollten den Anwendungsbereich aber nicht zu weit und nicht zu eng lesen. Art. 86 gilt nicht für jedes KI-System und auch nicht für jede Empfehlung eines Modells. Die Norm richtet sich an Betreiber, nicht nur an Anbieter. Sie ist außerdem auf bestimmte Hochrisiko-Konstellationen begrenzt und gilt laut Art. 86 Abs. 3 nur insoweit, wie ein entsprechendes Recht nicht bereits anderweitig im Unionsrecht vorgesehen ist. Neu ist also nicht, dass Betroffene erstmals überhaupt etwas erfahren dürfen. Neu ist, dass der AI Act bei bestimmten Hochrisiko-Entscheidungen ein ausdrückliches eigenständiges Erklärungsrecht mit KI-spezifischem Fokus schafft.

Der praktische Unterschied zur DSGVO ist entscheidend: Die DSGVO fragt vor allem nach der automatisierten Einzelentscheidung über personenbezogene Daten. Art. 86 AI Act fragt nach der Rolle des Hochrisiko-KI-Systems im Entscheidungsverfahren. Deshalb kann ein Unternehmen auch dann erklärungspflichtig sein, wenn formal noch ein Mensch eingebunden ist. Genau diese Lücke macht Art. 86 für Betreiber sensibler Systeme so relevant.

Vergleich: Erklärpflichten nach Regulierung und Risikostufe

Die schnellste Orientierung liefert eine Gegenüberstellung der Regime:

Kontext	DSGVO	AI Act	Praxisfolge
Rein automatisierte Entscheidung über Personen	Art. 13, 14, 15, 22 relevant	Nicht automatisch relevant	Verständliche Information, Auskunft und Anfechtungsmöglichkeit sind zwingend.
Hochrisiko-KI mit Mensch im Prozess	Art. 22 greift nur bei tatsächlich rein automatisierter Entscheidung	Art. 86 kann trotzdem greifen	Auch scheinbar hybride Prozesse brauchen belastbare Erklärungen.
Niedrigrisiko-KI ohne erhebliche Personenwirkung	Nur bei Personenbezug und spezifischen Rechten	Kein Art. 86	Erklärbarkeit bleibt sinnvoll, aber nicht in gleicher Dichte rechtlich erzwungen.
Recruiting, Kredit, Versicherung	Regelmäßig besonders sensibel	Oft Hochrisiko oder nah an Hochrisiko	Doppelte Prüfung aus Datenschutz, Grundrechten und KI-Governance nötig.

Explainable AI: LIME, SHAP und Attention Maps sind Mittel, nicht die Antwort

Technische Erklärbarkeit ist die operative Grundlage, aber keine vollständige Rechtslösung. Verfahren wie LIME erklären lokal, welche Merkmale für eine konkrete Einzelprognose besonders einflussreich waren. SHAP zeigt den Beitrag einzelner Merkmale mathematisch konsistenter und eignet sich oft besser für dokumentierbare Feature-Beiträge. Attention Maps visualisieren bei Bild-, Text- oder multimodalen Modellen, welche Eingabebereiche ein Modell besonders gewichtet hat.

Für juristische Zwecke reicht es jedoch nicht, einen Plot zu exportieren. Eine brauchbare Erklärung muss mindestens vier Ebenen verbinden: den Entscheidungskontext, die genutzten Datenkategorien, die Hauptfaktoren des Ergebnisses und die menschlichen Korrekturmöglichkeiten. Besonders praxistauglich sind deshalb zusätzliche Counterfactual Explanations wie: "Mit stabil höherem Einkommen oder geringerer Ausfallwahrscheinlichkeit wäre das Ergebnis anders ausgefallen." Solche Aussagen helfen Betroffenen meist deutlich mehr als bloße Modellgrafiken.

Wichtig ist auch die methodische Ehrlichkeit. Attention ist nicht automatisch Erklärung, Korrelation ist nicht Kausalität und ein SHAP-Wert erklärt noch keine rechtliche Zulässigkeit. Wer DSGVO und KI-Datenschutz ernst nimmt, sollte XAI deshalb als Nachweis- und Kommunikationswerkzeug behandeln, nicht als Feigenblatt für Black-Box-Entscheidungen.

Erklärungstiefe hängt vom Kontext ab

Die Tiefe einer Erklärung ist nicht in jedem Fall identisch. In der Kreditvergabe müssen Betroffene typischerweise verstehen können, welche Datenarten, Risikomerkmale und Schwellen das Ergebnis beeinflusst haben, weil die Entscheidung unmittelbare wirtschaftliche und rechtliche Folgen haben kann. Das EuGH-Urteil zur SCHUFA vom 7. Dezember 2023 hat genau diese Sensibilität betont: Wenn ein Score das Verhalten Dritter maßgeblich prägt, kann bereits darin eine relevante automatisierte Entscheidung liegen.

Im Bewerbungsverfahren ist der Grundrechtsbezug noch offensichtlicher. Wird eine KI zur Vorauswahl, Rangbildung oder Ablehnung eingesetzt, sind Transparenz, Diskriminierungsrisiken und echte menschliche Überprüfung zentral. Hier sollten Unternehmen nicht nur generische Aussagen wie "Die KI bewertet Qualifikation" liefern, sondern Kriteriengruppen, Gewichtungslogiken, Eskalationswege und Widerspruchsprozesse dokumentieren. Das ergänzt auch den Beitrag AI Act Hochrisiko-KI nach Annex III.

In der Versicherung hängt die Erklärungstiefe vom Einzelfall ab. Bei bloßer Schadenspriorisierung ohne erhebliche Personenwirkung kann die Pflicht geringer ausfallen. Bei Prämienbildung, Betrugsverdacht, Leistungsablehnung oder Risikoklassifizierung steigt sie deutlich. Das Grundmuster lautet: Je näher eine KI an Rechten, Chancen, Zugang oder wirtschaftlicher Belastung einer Person arbeitet, desto substanzieller muss die Erklärung sein.

EuGH und nationale Gerichte schärfen den Maßstab

Der EuGH hat mit dem SCHUFA-Urteil (C-634/21) klargestellt, dass ein Score schon dann hochrelevant sein kann, wenn Dritte ihr Verhalten daran maßgeblich ausrichten. Für Unternehmen ist das wichtig, weil der technische Zwischenschritt "nur ein Score" datenschutzrechtlich nicht entschärft, wenn er praktisch die Entscheidung lenkt.

Noch konkreter wurde der EuGH mit Dun & Bradstreet Austria (C-203/22) am 27. Februar 2025. Nach der Mitteilung des Gerichtshofs muss der Verantwortliche die tatsächlich angewandte Vorgehensweise und die Prinzipien so beschreiben, dass die betroffene Person nachvollziehen kann, welche Daten wie genutzt wurden. Ein bloßes Offenlegen des Algorithmus genügt nicht. Geschäftsgeheimnisse rechtfertigen also keine totale Black Box.

Auch nationale Gerichte ziehen die Transparenzschraube an. Beim österreichischen AMS-Algorithmus hat der Verwaltungsgerichtshof laut offiziellem Parlamentsbericht hervorgehoben, dass Profiling nach Art. 22 DSGVO vorliegen kann, wenn automatisch errechnete Arbeitsmarktchancen das Handeln der Sachbearbeitung maßgeblich bestimmen. In den Niederlanden erklärte die Rechtbank Den Haag das System SyRI am 5. Februar 2020 wegen unverhältnismäßigen Eingriffs in Art. 8 EMRK für rechtswidrig. Der rote Faden dieser Entscheidungen ist eindeutig: Intransparente, kaum anfechtbare oder nur scheinbar menschlich kontrollierte Systeme geraten vor Gericht zunehmend unter Druck.

Praxistipps: Erklärungskonzept statt Einzelantworten

Unternehmen sollten Erklärungen nicht erst schreiben, wenn eine Beschwerde eingeht. Sinnvoll ist ein Erklärungskonzept je sensibler KI-Anwendung. Dieses Konzept sollte festhalten, welche Entscheidungen betroffen sind, welche Rechtsgrundlagen greifen, welche Datenkategorien verwendet werden, welche XAI-Methoden verfügbar sind und wie eine verständliche Antwort in Alltagssprache formuliert wird.

Zweitens braucht es dokumentierte Übersetzungen zwischen Technik, Recht und Betrieb. Data Science kann Feature-Beiträge liefern, Compliance bewertet den Rechtsrahmen und der Fachbereich erklärt die tatsächliche Nutzung im Prozess. Ohne diese Übersetzung entstehen entweder unverständliche Technikantworten oder juristisch saubere, aber inhaltlich leere Texte.

Drittens müssen Unternehmen verständliche Sprache trainieren. Betroffene brauchen keine Modellarchitektur mit Layer-Namen, sondern klare Aussagen dazu, welche Faktoren relevant waren, wie stark die KI die Entscheidung beeinflusst hat, wo menschliche Prüfung stattfand und wie eine Anfechtung möglich ist. Gerade dafür ist eine EU AI Act Schulung sinnvoll, weil sie technische, organisatorische und rechtliche Rollen an einem gemeinsamen Standard ausrichtet.

Viertens sollten sensible Organisationen die Schnittstellen zu Governance-Regimen mitdenken. Wenn ein fehlerhaftes KI-System in regulierten Umgebungen zu Betriebsstörungen, Datenpannen oder sicherheitsrelevanten Fehlentscheidungen führt, berührt das nicht nur DSGVO und AI Act, sondern unter Umständen auch Melde- und Resilienzthemen aus AI Act vs. NIS2 vs. DSGVO sowie Governance-Anforderungen aus dem ISO-42001-Hub.

Fazit

Das Recht auf Erklärung bei KI ist keine theoretische Debatte mehr, sondern ein operativer Prüfstein für Unternehmen. Unter der DSGVO folgt es aus Informationspflichten, Auskunft und Schutzrechten gegen rein automatisierte Entscheidungen. Der AI Act legt mit Art. 86 für bestimmte Hochrisiko-KI ein ausdrücklich neues Erklärungsrecht darüber. Wer sensible KI-Systeme einsetzt, muss daher juristische Rechte, technische Erklärbarkeit und verständliche Kommunikation zusammenführen.

Wenn Sie Erklärungspflichten, Hochrisiko-Einstufung und praktische Rollen sauber aufsetzen möchten, ist unsere EU AI Act Schulung der schnellste Einstieg. Ergänzend helfen die Beiträge KI-Verordnung vs. DSGVO, DSGVO und KI-Datenschutz und AI Act Hochrisiko-KI nach Annex III dabei, Ihre konkreten Anwendungsfälle belastbar einzuordnen.

Recht auf Erklärung bei KI-Entscheidungen - DSGVO und AI Act