Datenschutz bei No-/Low-Code-Plattformen und generativer KI im Mittelstand

Zusammenfassung: Der Einsatz von No-/Low-Code-Tools und generativen KI-Systemen (z.B. ChatGPT) bietet Mittelständlern große Vorteile, birgt aber auch erhebliche Datenschutzrisiken. Entscheidend sind die Grundprinzipien der DSGVO (Rechtmäßigkeit, Zweckbindung, Transparenz, Datenminimierung, Richtigkeit etc.). Unternehmen müssen die Verantwortlichkeiten klären (Verantwortlicher vs. Auftragsverarbeiter), Verträge (Art. 28) abschließen und technische/organisatorische Schutzmaßnahmen umsetzen. Eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ist oft Pflicht, etwa wenn automatisierte Profile erstellt werden. Praktische Empfehlungen reichen von strikten Eingaberichtlinien (keine persönlichen Daten in KI-Eingaben) über Mitarbeiterschulungen bis zu Cloud-Sicherheitsprüfungen. Behördliche Hinweise (DSK, Aufsichtsbehörden, EuGH) betonen u.a. die Pflicht zu „Privacy by Design“, Transparenz (Art. 13 f.) und den Schutz vor unberechtigtem Datenabfluss. Im Folgenden die wichtigsten Anforderungen, Praxisbeispiele und eine Checkliste für KMU.

No-/Low-Code und generative KI: Was bedeutet das datenschutzrechtlich?

No-/Low-Code-Plattformen ermöglichen die schnelle Entwicklung von Anwendungen (z.B. Formulare, Apps) meist über Cloud-Dienste. Generative KI (Chatbots, Textgeneratoren) interagiert automatisch mit Nutzereingaben. Gemeinsam ist beiden, dass häufig personenbezogene Daten (z.B. Kunden- oder Mitarbeiterdaten) verarbeitet und in Cloud-Systeme (oft außerhalb der EU) übertragen werden.

Verantwortlichkeit: Der Betreiber (das Unternehmen) ist für die Verarbeitung seiner Nutzerdaten Verantwortlicher im Sinne der DSGVO, während der Cloud-/KI-Anbieter in der Regel Auftragsverarbeiter ist. Daraus folgt: Es muss ein rechtlich wirksamer Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bestehen. Ohne AVV ist die Verarbeitung rechtswidrig. Außerdem muss geklärt sein, wer z.B. für Datenpannen haftet, Schulungen durchführt usw. Bei Nutzung externer KI-APIs (z.B. ChatGPT-API) entsteht analog ein Auftragsverarbeitungsverhältnis.

DSGVO-Grundsätze und wichtige Artikel

Alle Grundprinzipien der DSGVO gelten uneingeschränkt auch für KI- und No-Code-Anwendungen. Insbesondere sind zu beachten:

  • Rechtmäßigkeit (Art. 6) – Für jede Datenverarbeitung muss ein Rechtsgrund (z.B. Einwilligung, Vertrag, berechtigtes Interesse) vorliegen. Das gilt etwa für das Speichern oder Übermitteln von Mitarbeiter- oder Kundendaten an Cloud-KI.

  • Zweckbindung (Art. 5 Abs. 1 lit. b) – Daten dürfen nur für den festgelegten Zweck genutzt werden. Es empfiehlt sich, dies im Vertrag mit dem No-Code-Anbieter oder KI-Dienstleister klar zu regeln. Bitkom rät etwa, vertraglich auszuschließen, dass eingegebene Daten zum KI-Training weiterverwendet werden.

  • Datenminimierung (Art. 5 Abs. 1 lit. c) – Es dürfen nur so viele Daten verarbeitet werden, wie nötig. Praktisch bedeutet das: Schon beim Design von No-Code-Anwendungen und KI-Workflows sollten Eingaben auf ein Minimum beschränkt werden. Bitkom empfiehlt “vorgeschaltete Prompt-Filter”, die persönliche Angaben automatisch erkennen und verhindern. Ebenso können Pseudonymisierung oder dedizierte Anonymisierungs-Accounts helfen. Schulungen und klare Regeln verhindern, dass Mitarbeitende unnötig personenbezogene Daten eingeben.

  • Transparenz (Art. 12–14) – Betroffene müssen informiert werden, wenn ihre Daten verarbeitet werden. Das gilt auch, wenn z.B. ein Chatbot ihre Anfragen beantwortet. Die Informationspflichten nach Art. 13 DSGVO sind um Angaben zur “Logik der Verarbeitung” zu erweitern (Art. 13 Abs. 2 lit. f) bzw. Art. 14 Abs. 2 lit. g). Das bedeutet praktisch, Nutzer etwa auf der Website oder in der Datenschutzerklärung darüber zu informieren, dass ein KI-System verwendet wird und wie es grob funktioniert. Der EuGH hat bestätigt, dass Betroffene bei automatisierten Entscheidungen Anspruch auf “aussagekräftige Informationen über die involvierte Logik” haben. Dies gilt auch bei Unterstützung durch KI (vgl. Artikel 22 unten).

  • Datensicherheit (Art. 32) – Angemessene technische und organisatorische Maßnahmen (TOM) müssen vorliegen. IHK-Empfehlungen raten, KI-Dienste nur in isolierten, gesicherten Umgebungen einzusetzen und Mitarbeitende zu schulen, um Datenabfluss zu verhindern. Die Auswahl eines DSGVO-zertifizierten Anbieters oder Prüfungen (z.B. TÜV, ISO-Zertifikate, „Trusted Cloud“) erhöhen die Sicherheit.

Zusätzlich ist das Privacy-by-Design- und Privacy-by-Default-Prinzip (Art. 25) anzuwenden: Datenschutzaspekte sind von Beginn an in Entwicklung und Deployment einzubauen. Dies wird von Datenschützern ausdrücklich gefordert (etwa im GPA-Resolutionstext). Beispielsweise sollten KI-Systeme so konzipiert sein, dass sie standardmäßig keine sensiblen Daten erfassen und nur verschlüsselte Verbindungen nutzen.

Datenübermittlung in Drittländer (Art. 44 ff.)

Viele No/Low-Code- und KI-Dienste hosten Server außerhalb der EU (häufig in den USA). Das zieht strenge Regelungen nach sich: Nach dem Wegfall des EU-US-Privacy-Shield sind ausschließlich Standardvertragsklauseln (SCC) oder andere genehmigte Mechanismen zulässig. In der Praxis bedeutet das: Bevor man personenbezogene Daten (z.B. Kundendaten) zu einem Dienst wie ChatGPT schickt, muss man sicherstellen, dass entweder ein EU-Modelklauselvertrag vorliegt oder der Anbieter am EU-US-Datenschutzrahmen (Data Privacy Framework) teilnimmt. Ist der Anbieter in den USA, kann es dennoch vorkommen, dass US-Behörden Zugriff auf die Daten haben. Daher empfiehlt es sich, wenn möglich europäischen Hosting-Standorte zu wählen, Ende-zu-Ende-Verschlüsselung zu nutzen und backupsicher zu sein. Ein Verstoß hiergegen kann wegen unzureichender Sicherung ins EU-Ausland anerkannter Datenschutzniveaus zu Bußgeldern führen.

Auftragsverarbeitung mit externen KI-/API-Anbietern (Art. 28)

Wie oben erwähnt, sind Cloud- und KI-Anbieter (No-Code-Plattformen, Chatbots etc.) in der Regel Auftragsverarbeiter. Mit ihnen muss ein Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Art. 28 DSGVO geschlossen werden. Darin sind etwa die Zweckbindung, Löschpflichten, Verschwiegenheitspflicht und Anforderungen an Subunternehmer festzuhalten. OpenAI etwa stellt für Geschäftskunden einen DPA bereit. Dabei ist wichtig: Auftragsverarbeitungsverträge sind zwingend schriftlich (auch elektronisch) zu unterzeichnen. Ohne rechtswirksamen Vertrag verstößt der Nutzer gegen die DSGVO. Ebenso muss man klären, ob ein Anbieter selbst als Verantwortlicher agiert (bspw. bei freier ChatGPT-Web-Nutzung): In diesem Fall sollte geklärt sein, ob der Anbieter EU-Ansässig ist bzw. einen Vertreter nach Art. 27 ernannt hat, damit Betroffenenrechte wahrgenommen werden können.

Praxisbeispiel (Auftragsverarbeitung): Ein Mittelständler nutzt ein No-Code-Tool (Cloud-Dienst) zur Erfassung von Kundendaten. Hier ist das Unternehmen Verantwortlicher, der Tool-Anbieter ist AV. Das Unternehmen muss einen AVV abschließen, Standardvertragsklauseln aktivieren (sofern der Anbieter außerhalb der EU ist) und dafür sorgen, dass im Tool selbst keine Daten länger gespeichert bleiben als nötig. Nach Beendigung der Nutzung muss der Anbieter personenbezogene Daten löschen.

Automatisierte Entscheidungen und Profiling (Art. 22)

Ergebnisse, die durch KI zustande kommen, können als automatisierte Entscheidungen gelten. Nach Art. 22 Abs. 1 DSGVO ist es unzulässig, Personen allein auf automatisierten Verarbeitungen mit rechtlicher Wirkung zu unterwerfen, es sei denn, eine Ausnahme greift (z.B. kausale Entscheidungsfindung nach Vertrag oder gesetzlicher Grundlage, Art. 22 Abs.2 lit. b). Wichtig: Der EuGH hat am 7.12.2023 im Schufa-Scoring-Urteil bestätigt, dass ein algorithmisch berechnetes Bonitäts-Scoring eine automatisierte Einzelentscheidung im Sinne von Art.22 Abs.1 DSGVO darstellt. Das bedeutet: Setzt man KI ein, etwa für die Kreditprüfung oder Personalauswahl, müssen die Anforderungen des Art.22 beachtet werden – dazu gehören das Aufzeigen der Entscheidungslogik, das Recht auf menschliche Überprüfung und das Verbot automatisierter Entscheidungen auf Basis besonderer Kategorien personenbezogener Daten (Art.22 Abs.2 lit.c). Selbst wenn Unternehmen gesetzliche Ausnahmen nutzen (z.B. privatrechtlicher Vertrag), müssen geeignete Schutzmaßnahmen implementiert werden. Die Datenschutzkonferenz (DSK) hat KI-Anwendungen in ihrer „Blacklist Nr.11“ explizit als Fälle benannt, bei denen eine DSFA verpflichtend ist, wenn damit die Interaktion mit Betroffenen gesteuert oder persönliche Aspekte bewertet werden.

Der neuere EuGH-Beschluss vom 27.2.2025 (C‑203/22) konkretisiert zudem, dass Betroffene Anspruch auf “aussagekräftige Informationen über die involvierte Logik” bei automatisierter Entscheidung haben. Konzepte wie erklärbare KI oder zumindest nachvollziehbare Entscheidungswege werden also wichtiger. In der Praxis muss ein Unternehmen also genau prüfen, ob seine KI-Anwendung als automatisiertes Profiling oder Entscheidung zählt. Wenn ja, dürfen Arbeitnehmer oder Kunden hier nicht ohne Einschränkungen „abhängig“ gemacht werden.

Praxisbeispiel (Art. 22): Ein KI-gesteuertes Tool entscheidet automatisch, ob eine Bewerbung weitergeleitet wird. Würde diese Entscheidung rechtlich relevantes Ergebnis (z.B. Jobannahme) haben, greift Art. 22. Dann bräuchte das Unternehmen mindestens ein Widerspruchs- und Prüfungsverfahren. Oft lohnt es sich daher, KI nur unterstützend zu nutzen und die finale Entscheidung menschlich treffen zu lassen.

Datenschutz-Folgenabschätzung (DSFA, Art. 35)

Bei der Einführung risikoreicher IT-Systeme ist meist eine DSFA erforderlich. Bitkom weist darauf hin: Werden “vollautomatische Entscheidungen” oder eine “umfassende Bewertung persönlicher Aspekte” vorgenommen (Art. 35 Abs.3 lit. a/d), muss eine DSFA gemacht werden. Generative KI oder komplexe No-Code-Anwendungen verarbeiten oft große Mengen personalisierter Daten – hier empfiehlt sich in jedem Fall frühzeitige Prüfung. Auch die DSK-„Blacklist“ (Nr.11) führt aus, dass KI-Anwendungen zur Interaktion oder Bewertung persönlicher Aspekte zwingend eine DSFA erfordern.

Führen Sie also eine DSFA durch, bevor Sie KI-Systeme (oder No-Code-Lösungen) für personenbezogene Daten einsetzen, insbesondere bei Gesundheits-, Finanz- oder HR-Daten. Klären Sie darin Zweck, Datenkategorien, Empfänger, Risiken und Schutzmaßnahmen. Wenn eine DSFA verpflichtend ist, muss auch ein Datenschutzbeauftragter benannt werden (auch bei kleinen Firmen). Dokumentieren Sie dabei, dass Sie alle Risiken (z.B. Datenleck, Diskriminierung, Intransparenz) analysiert und minimiert haben. Laut BfDI muss “eine DSFA oder Risikobetrachtung … vorgelegt werden, mit der alle datenschutzrechtlichen Risiken betrachtet wurden”. Die DSFA sollte idealerweise in Zusammenarbeit mit der IT, dem Datenschutzteam und ggf. externen Beratern erstellt werden.

Beispiel: Eine Online-Datenbank per No-Code-App enthält Bewerberinformationen. Schon vor dem Live-Betrieb sollte man eine DSFA machen: Klären, welche Daten genau gespeichert werden (Name, Zeugnisse etc.), wer Zugriff hat, ob diese Daten ans Ausland gelangen, und welche Sicherheitskonzepte (Verschlüsselung, Rollenrechte) greifen. Liegen dann noch hohe Risiken (z.B. wegen sensiblen Gesundheitsdaten) vor, sind zusätzliche Maßnahmen nötig.

Datenminimierung und technische Schutzmaßnahmen

Die DSGVO verlangt, Eingaben in KI-Systeme auf ein Minimum zu beschränken. In der Praxis heißt das: Wir geben keine Klarnamen, Kontaktadressen oder vertraulichen Inhalte in Chatbots ein! Bitkom empfiehlt etwa den Einsatz von vorgeschalteten Prompt-Filtern, die persönliche Informationen automatisch erkennen und blockieren. Zudem sollten generische oder pseudonymisierte Accounts verwendet werden, statt Mitarbeitern den privaten Account zu verknüpfen.

Auf Anbieterseite können Verschlüsselung (sowohl bei Übertragung als auch im Ruhezustand) und regelmäßige Backups helfen. Der Einsatz von zertifizierten Plattformen (z.B. „ISO 27001“, „TISAX“ oder BSI-Standard) und die Auswahl von EU-Rechenzentren (regionale Serverstandorte) reduziert Third-Country-Risiken. Interne Prozesse sollten festlegen, wie mit den KI-Ergebnissen umgegangen wird: Beispielsweise kann man kritische Antworten nur anzeigen, wenn sie vorher automatisch gescannt wurden.

Klare Nutzungsrichtlinien und Schulung

Ein entscheidender Punkt sind Unternehmensrichtlinien und Schulungsprogramme. Empfohlen wird, klar festzulegen, was Mitarbeiter eingeben dürfen und was nicht. Beispielsweise: “Keine personenbezogenen Kundendaten in ChatGPT.“ oder “Formular-App nur mit Standardfeldern nutzen, keine sensiblen Gesundheitsdaten erfassen.“ Laut Experten sollten Mitarbeiter für die Risiken sensibilisiert werden und wissen, welche Prompts erlaubt sind. Arbeitgeber müssen ab dem 2.2.2025 sogar nachweisen, dass ihre Angestellten über ausreichende KI-Kompetenz verfügen (Arbeitsschutzgesetz). Schulungen und Handbücher zum datenschutzgerechten Einsatz von KI/No-Code sind daher Pflichtbestandteil. Gleichzeitig sollten Verantwortlichkeiten intern klar sein: Wer prüft die DSFA? Wer aktualisiert den AVV mit einem Drittanbieter? Wer sorgt für DSGVO-konforme Voreinstellungen (Privacy by Default)?

Beispiele für interne Regelungen können sein:

  • Eingaben-Protokollierung: Chatbot-Eingaben werden protokolliert (Art. 5/6) und können auf Verstoß geprüft.

  • Zugriffskontrolle: Nur bestimmte Teams dürfen No-Code-Apps konfigurieren.

  • Monitoring: Verdächtige Datentransfers (z.B. in Nicht-EU-Dienste) werden blockiert.

Praxisbeispiele: Konforme vs. problematische Anwendungen

  • Problemlos (gut): Ein Unternehmen erstellt mit einer Low-Code-Plattform ein internes HR-Tool, um Urlaubsanträge zu verwalten. Die Plattform speichert Daten in deutschen Rechenzentren. Es gibt einen AVV, Pseudonymisierung der Mitarbeiter-ID und regelmäßige Backups. Damit liegt ein klarer Zweck (Abwicklung von Anträgen) vor, und die gespeicherten Daten sind auf ein Minimum beschränkt (Name, Abteilung, Urlaubstage). Eine DSFA wurde vorab durchgeführt. Die Software nutzt keine KI-Chatbot-Funktion. Hier sind die Datenschutzvorgaben durchdacht umgesetzt.

  • Problematisch (Riskant): Ein Mitarbeiter fragt in ChatGPT (consumer) nach Kundenbestellungen und gibt dabei Namen und Adressen ein. Diese Daten werden in die USA übertragen und dort ohne rechtskonformen Schutz verarbeitet. Es liegt keine Einwilligung vor, und das Unternehmen hat keine Kontrolle darüber, wie OpenAI diese Daten intern nutzt. Dies verstößt gegen Art. 6 und Art. 44 ff. DSGVO. Ebenso gefährlich: Eine No-Code-CRM-App, die automatisch alle E-Mail-Adressen der Mitarbeiter an einen Cloud-Anbieter weiterleitet, ohne Verschlüsselung oder AVV.

  • KI-Entscheidung (Grenzfall): Ein Chatbot entscheidet ohne menschliches Zutun, ob ein Kredit zurückgewiesen wird. Das würde Art.22 ansprechen (erhebliche Auswirkung). Hier müssten Erklärungen zur Logik offengelegt und ein Widerspruchsrecht eingeräumt werden. Erfolgt die Entscheidung hingegen nur als Vorschlag (Mensch überprüft und bestätigt), fällt sie womöglich nicht unter das Verbot.

Anbietervergleich und Datenschutzstandards

Nicht alle Plattformen sind gleich: Europäische Anbieter (z.B. SAP, Mendix, Microsoft Power Apps mit EU-Host) werben oft mit DSGVO-Konformität und europäischen Datenzentren. US-Anbieter (z.B. OpenAI, Google, Airtable) arbeiten mit SCCs oder dem neuen EU-US-Datenschutzrahmen. Bei der Auswahl sollte man nachweisen, dass sie die DSGVO erfüllen: Existiert ein DPA/AVV? Werden Eingaben verschlüsselt? Gibt es Auditberichte (z.B. ISO 27001, SOC 2)? Manche Anbieter bieten auf Anfrage Datenschutz-Whitepaper oder Compliance-Zertifikate. Eine Marktanalyse lohnt sich – auch um unterschiedliche Funktionalitäten (Anonymisierungs-Tools, Zugriffskontrolle, Lösch-APIs) zu vergleichen. Bitkom empfiehlt, im Auftragsverarbeitungsvertrag explizit festzuhalten, dass die Anbieter Kunden-Eingaben nicht zu Trainingszwecken verwenden dürfen. Außerdem muss geprüft werden, ob Drittanbieter (Subprozessoren) der Cloud- oder KI-Plattform beim Datenzugriff beteiligt sind und wie deren Datenschutzstatus ist.

Verantwortung und Haftung

Wichtig ist: Am Ende haftet das Unternehmen für die eigene Datenverarbeitung. Wenn etwa ein Mitarbeiter unerlaubt personenbezogene Daten in ChatGPT eingibt, ist das Unternehmen verantwortlich (§ Verstoß Art. 5, 6 DSGVO) – selbst wenn ChatGPT sie weiterverwendet. Daher sind Risikovermeidung und präventive Maßnahmen wichtiger als Nachbesserung. Bei Datenschutzverstößen oder -pannen (Art. 33 f.) muss das Unternehmen melden: Stichwort „Datenleck“. Ein Beispiel: Wird ein internes No-Code-Tool gehackt, sind binnen 72 Stunden Datenschutzbehörde und Betroffene zu informieren. Bei groben Verstößen (z.B. illegaler Transfer von Gesundheitsdaten) drohen Bußgelder bis 20 Mio. € oder 4 % Jahresumsatz. Die Datenschutzkonferenz (BSI für Informationssicherheit) warnt zudem, dass Verstöße gegen die Blacklist-Pflichten (keine DSFA bei KI-Einsatz) ebenfalls sanktionierbar sind.

Aktuelle Urteile zeigen: Behörden gehen konsequent vor. Neben dem Schufa-Fall gilt es, die kommenden Entscheidungen zu Art.22 genau zu beobachten. Aufsichtsbehörden haben Checklisten für KI veröffentlicht (z.B. BayLDA 2024), mit denen Unternehmen auditieren können, ob sie alle Anforderungen erfüllen. Allerdings gibt es derzeit (Stand 2025) noch keine Großverfahren gegen KMU für KI-Einsatz – das Thema wird vielmehr durch Beratung und Leitlinien vorangetrieben.

Handlungsempfehlungen für den Mittelstand

Zusammenfassend sollten mittelständische Unternehmen beim Einsatz von No-/Low-Code und generativer KI folgende Schritte beachten:

  • Datenanalyse: Ermitteln Sie genau, welche personenbezogenen Daten erfasst und verarbeitet werden (Kundendaten, Mitarbeiterinfos, Sensitivdaten). Dokumentieren Sie dies.

  • Rechtsgrundlage klären: Legen Sie fest, auf welcher Grundlage Sie die Daten verarbeiten (z.B. Vertragserfüllung, Einwilligung). Hinterlegen Sie dies in Verfahrensverzeichnis und Datenschutzfolgenabschätzung.

  • DSFA durchführen: Prüfen Sie, ob Ihr KI-Einsatz in die DSFA-Pflicht fällt. Bei Zweifeln oder hoher Risikokategorie sofort DSFA und ggf. Fachaufsichtsbehörde einbeziehen.

  • AVV abschließen: Schließen Sie einen rechtsgültigen Auftragverarbeitungsvertrag (bzw. Service-Vertrag) mit dem No-Code-/KI-Anbieter ab. Überprüfen Sie, dass dieser alle DSGVO-Klauseln erfüllt (Name und Rolle des Anbieters, Unterauftragsverarbeiter, Datenlöschung, Haftung, Aufsichtsmöglichkeiten).

  • Technische Maßnahmen: Wählen Sie Anbieter mit starken Sicherheitsstandards (TLS, Verschlüsselung, europäische Server, Zertifizierungen). Isolieren Sie KI-Anwendungen vom Restnetzwerk, wenn möglich. Verwenden Sie nur legitime Schnittstellen (APIs) mit Authentifizierung. Setzen Sie Filter-Tools ein, um persönliche Daten zu erkennen und zu löschen.

  • Interne Regeln & Schulung: Erstellen Sie klare Compliance-Regeln (Policies) für den KI-Einsatz. Verbieten Sie z.B. die Eingabe von Kundendaten in öffentliche KI-Chatbots. Schulen Sie alle Nutzer: Warum ist das wichtig, und wie geht man praktisch vor? Halten Sie Schulungsnachweise bereit.

  • Dokumentation und Nachweis: Führen Sie ein Verarbeitungsverzeichnis (Art. 30) mit KI-Details. Dokumentieren Sie DSFA, Sicherheitstests, Audit-Trails. So zeigen Sie Aufsichtsbehörden, dass Sie sorgfältig vorgegangen sind.

  • Kontinuierliche Überprüfung: Überprüfen Sie regelmäßig, ob Anbieter ihre Verpflichtungen einhalten. Achten Sie auf Gesetzesänderungen (z.B. EU-KI-Verordnung) und auf neue Leitlinien von EU-DSGVO, die sich gerade in Entwicklung befinden.

Checkliste für Entscheider:

  • Sind für alle eingesetzten Tools Vertrags- oder Kooperationspartner-DSA/AVV abgeschlossen? (Art. 28)

  • Laufen alle Cloud-/KI-Server in der EU oder gibt es Schutzmechanismen (SCC, DPF)? (Art. 44 ff.)

  • Welche personenbezogenen Daten werden verarbeitet? Sind unnötige Daten (insb. besondere Kategorien) ausgeschlossen? (Art. 5,9)

  • Liegt eine DSFA vor oder wurde geprüft, ob eine nötig ist? (Art. 35)

  • Werden Eingaben in KI-Systeme auf ein Minimum beschränkt (Anonymisierung, Pseudonymisierung, Filter)? (Art. 5)

  • Wie wird Mitarbeitern die richtige Nutzung vermittelt? Gibt es Schulungen und Richtlinien? (Art. 25 f.)

  • Sind Transparenzpflichten erfüllt? Besteht eine Datenschutzerklärung, die KI-Nutzung und -Zweck erläutert? (Art. 13 f.)

  • Gibt es Notfallpläne für Datenpannen (Art. 33 f.) und einen benannten Datenschutzbeauftragten (falls erforderlich)?

  • Werden automatisierte Entscheidungen gemeldet und werden Betroffene über Algorithmen informiert? (Art. 13 f., Art. 22)

Ausblick und Quellen

Die Entwicklungen im KI-Recht gehen weiter: Neben der DSGVO kommt bald die EU-KI-Verordnung mit speziellen Vorgaben (Datengovernance, Verhaltensregeln, Transparenz) hinzu. Unternehmen sollten daher Datenschutz- und IT-Sicherheitsexperten einbinden. Erkundigen Sie sich bei Ihrer Aufsichtsbehörde (z.B. BayLDA, LfDI) nach Checklisten und Orientierungen. Nutzen Sie Empfehlungen von Bitkom und Trusted-Cloud-Initiativen. Ein bewusster und technisch abgesicherter Umgang mit No-Code und KI ist der Schlüssel, um Innovation und Datenschutz zu vereinen.

Quellen (Auswahl): DSGVO-Text (Art. 22,25,28,32,35), Bitkom Praxisleitfaden KI, IHK München „KI & Datenschutz“, BfDI-Checkliste KI, BfDI/DSK-Leitlinie 45. DSK-Tagung 2024, Fachartikel Datenschutzkanzlei über ChatGPT, Proliance Datenschutzexperte Cloud-Guide. Weitere Informationen bieten die Datenschutzaufsichten (BayLDA, LfDI) und EU-Stellen (EDSA, Europäische Kommission).

Prozessautomatisierung im Mittelstand: Chancen, Technologien und Umsetzungsempfehlungen ›