KI-Systeme sind in vielen Berufsfeldern einsetzbar – egal ob über Apps auf dem Desktop oder dem Smartphone. Wer jedoch KI im beruflichen Kontext nutzt, muss unabhängig vom gewählten System bestimmte rechtliche Voraussetzungen der KI-Nutzung im Unternehmen erfüllen. Dieser Artikel gibt einen kompakten Überblick.
Verantwortlicher und Betreiber: Zwei Rollen – eine Person
Im Datenschutzrecht ist der Verantwortliche die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Parallel dazu definiert die KI-Verordnung den Betreiber als jede natürliche oder juristische Person, die ein KI-System in eigener Verantwortung verwendet – sofern dies nicht ausschließlich im privaten Rahmen geschieht.
In der Praxis fallen beide Rollen bei Unternehmen, Selbständigen und Vereinen regelmäßig zusammen, weil die Nutzung eines KI-Systems in aller Regel mit der Verarbeitung personenbezogener Daten verbunden ist. Daraus folgt: Wer ein KI-System betreibt, trägt zugleich die datenschutzrechtliche Gesamtverantwortung.
Rechtsgrundlage für die Datenverarbeitung nach Art. 6 DSGVO
Jede Verarbeitung personenbezogener Daten – also auch durch KI-Systeme – setzt eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO voraus. In der Praxis kommen für Verantwortliche dabei vor allem drei Grundlagen in Betracht:
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Dies wird in den meisten Fällen die einschlägige Rechtsgrundlage sein. Erforderlich ist jedoch stets eine sorgfältige Interessenabwägung, bei der die Interessen der betroffenen Personen angemessen berücksichtigt werden müssen. Ebenso sind die besonderen Anforderungen an die Informationspflichten einzuhalten.
Vertragsbeziehung (Art. 6 Abs. 1 lit. b DSGVO): Eine Verarbeitung zu vertraglichen oder vorvertraglichen Zwecken kann rechtmäßig sein. Allerdings hat der EuGH die Anforderungen an die Erforderlichkeit für vertragliche Zwecke erheblich konkretisiert, sodass diese Grundlage kaum anwendbar ist.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Eine Einwilligung ist grundsätzlich möglich, stellt jedoch hohe Anforderungen – insbesondere an die Freiwilligkeit. In Arbeitsverhältnissen ist echte Freiwilligkeit selten gegeben. Außerdem ist die Einwilligung jederzeit widerrufbar, was die Verarbeitung auf eine unsichere Grundlage stellt.
Auftragsverarbeitung: Vertrag mit dem KI-Anbieter zwingend erforderlich
Wer ein KI-System eines externen Anbieters zu beruflichen Zwecken nutzt, hat einen Auftragsverarbeitungsvertrag abzuschließen, Der Anbieter verarbeitet personenbezogene Daten im Namen des Verantwortlichen. Auch wenn alle Anbieter den Auftragsverarbeitungvertrag zur Verfügung stellen, verbleiben die datenschutzrechtlichen Pflichten beim Verantwortlichen.
Dabei gilt: Viele Anbieter stellen einen solchen Vertrag erst im Rahmen ihrer Enterprise- oder Unternehmensversion bereit. Die Auswahl des konkreten KI-Systems beeinflusst damit unmittelbar, ob eine rechtskonforme Nutzung überhaupt möglich ist.
Sitzt der Anbieter außerhalb der EU, sind zusätzlich die Vorgaben der DSGVO zum Drittstaatentransfer einzuhalten – etwa durch den Einsatz von Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.
Berufsgeheimnisträger: Erhöhte Anforderungen wegen Verschwiegenheitspflicht
Für Personen, die dem Berufsgeheimnis nach § 203 StGB unterliegen – darunter z.B. Ärzte, Rechtsanwälte, Steuerberater aber auch Sozialpädagogen – gelten besondere Anforderungen. Bereits die theoretische Möglichkeit des Zugriffs von Mitarbeitenden des KI-Anbieters auf nicht anonymisierte Berufsgeheimnisse genügt, um den Tatbestand des „Offenbarens“ zu erfüllen.
Daher dürfen Berufsgeheimnisträger ausschließlich Anbieter einsetzen, die sich vertraglich auf die berufsrechtliche Verschwiegenheit verpflichten lassen.
Sozialdatenschutz: Zusätzliche Anforderungen nach § 80 SGB X
Werden im Rahmen der KI-Nutzung Sozialdaten verarbeitet, sind neben Art. 28 DSGVO auch die Anforderungen des § 80 SGB X einzuhalten. Dies betrifft auch Einrichtungen der freien Wohlfahrtspflege und der Jugendhilfe, die häufig durch Vereinbarungen auf den Schutz von Sozialdaten verpflichtet sind.
Für besonders schutzwürdige Sozialdaten im Sinne des § 76 SGB X sowie für Daten, die dem § 203 StGB unterfallen, ist eine Auftragsverarbeitung häufig nur zulässig, wenn die betroffene Person zuvor eingewilligt hat.
KI-Kompetenz: Pflicht nach Art. 4 der EU-KI-Verordnung
Schließlich verpflichtet Art. 4 der EU-KI-Verordnung Betreiber dazu, sicherzustellen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. KI-Kompetenz umfasst dabei die Fähigkeiten, Kenntnisse und das Verständnis, die notwendig sind, um KI-Systeme sachkundig einzusetzen und sich der damit verbundenen Chancen und Risiken bewusst zu sein (vgl. Art. 3 Nr. 56 KI-VO).
Diese Anforderung gilt für alle Personen, die im Auftrag des Betreibers mit dem Betrieb und der Nutzung von KI-Systemen befasst sind.
Fazit: Rechtliche Voraussetzungen der KI-Nutzung im Unternehmen frühzeitig klären
Die rechtlichen Voraussetzungen der KI-Nutzung im Unternehmen sind vielschichtig und hängen stark vom jeweiligen Anwendungsfall ab. Dennoch lässt sich festhalten: Ohne eine geeignete Rechtsgrundlage, einen Auftragsverarbeitungsvertrag mit dem Anbieter und ausreichender KI-Kompetenz der Mitarbeitenden ist ein rechtskonformer Einsatz von KI-Systemen nicht möglich. Berufsgeheimnisträger und Einrichtungen im sozialen Bereich müssen darüber hinaus besondere Anforderungen aufgrund ihrer Verpflichtung zur Verschwiegenheit beachten. Wer diese Voraussetzungen frühzeitig klärt, legt die Grundlage für eine rechtssichere und nachhaltige KI-Nutzung.
Dieser Beitrag wurde von RA Christof Kolyvas verfasst. Bei Fragen zum Datenschutz für Unternehmen, Selbständige und Vereine:
Tel: +49 234 29831858 | Mail: anwalt@kolyvas.legal
Stand: Juni 2026