KI im Unternehmensalltag: Neue KI-Funktionen und Datenschutz

Künstliche Intelligenz ist längst im Alltag von Unternehmen angekommen. Oft nicht in Form einer großen neuen Software, sondern als scheinbar kleines Update in bereits genutzten Tools: Videokonferenzsysteme, CRM, HR-Lösungen, Kollaborationstools oder Office-Suiten. Plötzlich gibt es eine „KI-Unterstützung“, einen „Copilot“ oder „Smart Suggestions“. Genau hier lauern datenschutzrechtliche Risiken. Unternehmen müssen sicherstellen, dass der Einsatz von KI-Funktionen den Vorgaben der DSGVO, den Informationspflichten gegenüber Betroffenen und – zunehmend – der KI-Verordnung entspricht.

Verantwortlichkeiten beim Einsatz von KI-Funktionen

Der Vorteil eines strukturierten Vorgehens bei Einführung von KI besteht darin, dass man „Schatten-IT“ vermiedet und unzulässige Datenverarbeitungen von Mitarbeitern minimiert. Im Unternehmen beginnt datenschutzkonformer KI-Einsatz immer bei der Geschäftsführung. Sie trägt die Gesamtverantwortung und sollte diese bewusst wahrnehmen, indem sie einen KI-Beauftragten oder ein KI-Team benennt. Ideal besetzt ist ein Team aus IT, Datenschutzbeauftragtem und Management, bei Bedarf erweitert um Informationssicherheit, Compliance und Fachbereiche. Dieses KI-Team koordiniert künftig alle Themen rund um künstliche Intelligenz im Unternehmen, legt einheitliche Prozesse fest und stellt sicher, dass Datenschutz von Anfang an mitgedacht wird.

Zentrale Grundlage für die Arbeit des KI-Teams ist eine von der Geschäftsführung verabschiedete KI-Leitlinie. Sie definiert Ziele, Grenzen und Rahmenbedingungen für den Einsatz von KI im Unternehmen und zeigt, in welchen Bereichen KI ausdrücklich erlaubt, eingeschränkt oder ausgeschlossen ist. Auch datenschutzrechtliche Grundsätze wie Datenminimierung, Zweckbindung, Umgang mit Drittländern und Transparenz gegenüber Beschäftigten, Kunden sowie Bewerbern sollten in dieser Leitlinie klar formuliert werden.

KI-Leitlinie, -Register und Toolliste für Überblick und Steuerung

Damit Unternehmen bei KI-Funktionen in bestehenden Tools den Überblick behalten, braucht es Struktur. Das KI-Team erstellt und pflegt eine zentrale Toolliste inklusive KI-Register. In dieser Liste erfasst man sämtliche eingesetzte Softwarelösungen inklusive Cloud-Diensten. Zu jedem Tool werden Zweck, typische Datenarten, betroffene Personengruppen, Rechtsgrundlagen, Anbieter und KI-Features dokumentiert. Die Toolliste mit KI-Register stellt sicher, dass jederzeit nachvollziehbar ist, welche KI-Funktion in welchem Tool auf welcher datenschutzrechtlichen Basis eingesetzt wird. Damit legen Unternehmen die Grundlage für eine saubere Dokumentation und eine spätere Nachweisführung gegenüber Aufsichtsbehörden.

Tool Owner als Frühwarnsystem für neue KI-Funktionen

Ein wesentlicher Erfolgsfaktor für datenschutzkonformen KI-Einsatz sind klar benannte Tool Owner. Für jedes Tool gibt es also eine verantwortliche Person, meist aus dem jeweiligen Fachbereich, in dem das Tool eingesetzt wird. Diese Person kennt das Tool, die Prozesse und die Nutzergruppen und fungiert als Schnittstelle zwischen Anbieter, KI-Team und Anwendern.

Die Tool Owner beobachten Produktankündigungen, Release Notes, Changelogs und Newsletter der Anbieter sowie die Inhalte und Funktionen des Tool selbst. Sobald ersichtlich ist, dass neue KI-Funktionen eingeführt oder bestehende deutlich erweitert werden, informieren sie das KI-Team. Gleichzeitig sensibilisieren sie die Mitarbeitenden im Umgang mit „ihrem“ Tool. Beschäftigte werden so ermutigt, neue KI-Buttons oder automatische Funktionen zu melden, wenn diese noch nicht offiziell angekündigt wurden. So entsteht ein Frühwarnsystem, das hilft, unkontrollierte Nutzung von KI-Features zu vermeiden.

Prüfschritte bei neuen KI-Funktionen in Tools

Erhält ein Tool neue KI-Funktionen, startet das KI-Team einen standardisierten Prüfprozess. Zunächst wird geklärt, ob und in welchem Umfang personenbezogene Daten betroffen sind. Dabei geht es nicht nur um offensichtliche Daten von Kunden oder Mitarbeiter, sondern auch um Kommunikationsinhalte, Chatverläufe oder Dateianhänge, die von der KI analysiert oder zusammengefasst werden.

Im nächsten Schritt prüft man die vertraglichen Grundlagen. Der aktuelle Auftragsverarbeitungsvertrag beziehungsweise Data Processing Agreement muss widerspiegeln, dass KI-Funktionen genutzt werden. Unternehmen sollten insbesondere darauf achten, ob der Anbieter Daten zu eigenen Trainingszwecken verwendet, welche Unterauftragsverarbeiter eingebunden sind und ob eine Datenübertragung in Drittländer wie die USA stattfindet.

Parallel werden Rechtsgrundlage und Informationspflichten überprüft. Die bestehenden Datenschutzhinweise für Beschäftigte, Kunden oder Bewerber werden angepasst, damit der KI-Einsatz transparent dargestellt wird. Gleichzeitig ist sicherzustellen, dass Betroffenenrechte wie Auskunft, Löschung, Berichtigung oder Widerspruch auch bei KI-gestützten Verarbeitungen zuverlässig erfüllt werden können. Dementsprechend ergänzt man auch das Verzeichnis der Verarbeitungstätigkeiten entsprechend.

Kriterienkatalog und Datenschutz-Folgenabschätzung

Um die Risiken von KI-Funktionen strukturiert zu bewerten, nutzt das KI-Team einen Kriterienkatalog. Dieser schaut gezielt auf Aspekte wie große Datenmengen, besondere Kategorien personenbezogener Daten, Minderjährige als Betroffene, automatisierte Entscheidungen mit erheblichen Auswirkungen, Scoring oder Profiling, Datenübermittlung in Drittländer, systematische Überwachung sowie das Zusammenführen von Datensätzen aus verschiedenen Quellen.

Ergibt die Prüfung, dass mindestens zwei dieser Kriterien erfüllt sind, ist in der Regel eine vertiefte Analyse erforderlich. In vielen Fällen wird dies auf eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO hinauslaufen. In dieser werden Risiken für die Rechte und Freiheiten der Betroffenen identifiziert und geeignete technische und organisatorische Maßnahmen festgelegt, um diese Risiken zu minimieren.

KI-Richtlinie, Schulung der Mitarbeitenden & laufende Sensibilisierung

Neben der technischen und rechtlichen Prüfung ist die organisatorische Einbettung entscheidend. Das KI-Team entwickelt eine unternehmensweite KI-Richtlinie für alle Mitarbeitenden. Darin wird beschrieben, welche KI-Funktionen in welchen Tools erlaubt sind, welche Inhalte auf keinen Fall über KI verarbeitet werden dürfen und wie mit KI-Vorschlägen umzugehen ist. Klarheit besteht auch darüber, an wen sich Mitarbeitende bei Unsicherheiten wenden können.

Diese Richtlinie sowie weitere Vorgaben des KI-Teams geben den Mitarbeitenden eine geregelten Rahmen, um KI-Anwendungen im Unternehmen sicher einzusetzen. Mithilfe von Schulungen und Sensibilisierungen zum Thema KI und Datenschutz werden die Mitarbeitenden darüber hinaus bestens auf die sich schnell wandelnden Gegebenheiten eingestellt. Denn Mitarbeitende, die die Vorgaben verstehen und umsetzen sind unbezahlbar. Auch sie können auf neue KI-Funktionen aufmerksam machen, im unternehmerischen Alltag mit gesundem Menschenverstand agieren und somit dem Unternehmen Bußgelder oder Rufschädigung ersparen.

Kennzeichnungspflichten und Blick in die Zukunft

Neben der DSGVO gewinnt die europäische KI-Verordnung für Unternehmen zunehmend an Bedeutung. Sie verlangt eine Einordnung der eingesetzten KI-Systeme in Risikoklassen und sieht für bestimmte Anwendungen zusätzliche Dokumentations- und Risikomanagementpflichten vor. Besonders relevant im Unternehmensalltag sind die Transparenz- und Kennzeichnungspflichten: Wenn Personen mit KI-Systemen interagieren oder wenn Inhalte wie Texte, Bilder, Audios oder Videos von KI generiert werden, müssen diese als KI-Inhalte erkenntlich sein.

Unternehmen sollten daher schon jetzt interne Standards entwickeln, wie man KI-generierte Inhalte im Intranet, auf Websites, in Social Media oder der Kundenkommunikation kennzeichnet. Wer KI-Funktionen in bestehenden Tools strukturiert einführt, sauber dokumentiert und frühzeitig die Anforderungen der KI-Verordnung mitdenkt, stärkt nicht nur den Datenschutz, sondern auch das Vertrauen von Kunden, Mitarbeitenden und Geschäftspartnern.

Haben Sie weiterführende Fragen zu diesem Artikel oder benötigen Sie Beratung dazu? Wenden Sie sich gerne an uns unter info@sidit.de.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Hiermit willige ich ein, dass mich die SiDIT GmbH per E-Mail kontaktieren darf, um mir auf meine persönlichen Interessen zugeschnittene Angebote im Zusammenhang mit ihren Waren/Dienstleitungen zu unterbreiten und mich über Neuigkeiten ihres Unternehmens und Waren/Dienstleistungen zu informieren. Erläuterungen zu Informationen auf Basis persönlicher Interessen erhalten Sie hier. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@sidit.de widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt wird. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

10. Dezember 2025

KI im Unternehmensalltag: Neue KI-Funktionen und Datenschutz

Verantwortlichkeiten beim Einsatz von KI-Funktionen

KI-Leitlinie, -Register und Toolliste für Überblick und Steuerung

Tool Owner als Frühwarnsystem für neue KI-Funktionen

Prüfschritte bei neuen KI-Funktionen in Tools

Kriterienkatalog und Datenschutz-Folgenabschätzung

KI-Richtlinie, Schulung der Mitarbeitenden & laufende Sensibilisierung

Kennzeichnungspflichten und Blick in die Zukunft

VorherigeEin gesundes Maß an Paranoia im Datenschutz

NächsteOh Datenschutz, oh Datenschutz, wie voll sind deine Themen (2025)

Verwandte Beiträge ...

Was uns 2026 im Datenschutz erwartet – ein Ausblick

Oh Datenschutz, oh Datenschutz, wie voll sind deine Themen (2025)

Ein gesundes Maß an Paranoia im Datenschutz

KI-Telefonbot: Datenschutzrechtliche Herausforderungen und Lösungsansätze

Das neue Barrierefreiheitsstärkungsgesetz (BFSG)

Datenschutz im Jahr 2025 – Trends und Herausforderungen

IT-RECHT. DATENSCHUTZ. EINFACH.