Was kleine und mittlere Unternehmen jetzt beachten sollten
Mit der Stellungnahme 28/2024 hat der Europäische Datenschutzausschuss (EDSA) sehr deutlich gemacht, dass der Einsatz von KI-Modellen kein rechtsfreier Raum ist. Für Unternehmen und gerade für kleine und mittlere Betriebe sowie Dienstleister, lässt sich daraus eine klare Kernbotschaft ableiten.
Sobald personenbezogene Daten im Spiel sind oder realistischerweise ins Spiel kommen können, gelten die Vorgaben der DSGVO durchgängig. Das betrifft nicht nur spektakuläre Basis-Modelle großer Anbieter, sondern ganz normale Anwendungen im Alltag: Chatbots für Kundenanfragen, Systeme zur Betrugserkennung, Assistenzfunktionen in Software, Auswertungen von Kunden-, Sensor- oder Logdaten und viele Formen der Automatisierung.
Datenschutz im gesamten KI-Lebenszyklus
Die Aufsichtsbehörden stellen in den Vordergrund, dass KI-Projekte über ihren gesamten Lebenszyklus betrachtet werden.
Für KMUs bedeutet das: Die datenschutzrechtliche Bewertung beginnt nicht erst dann, wenn ein fertiges System online geht, sondern schon bei der Frage, mit welchen Daten getestet und trainiert wird, welche Quellen genutzt werden, wie diese Daten aufbereitet werden, welche Parameter gesetzt werden und welche Ergebnisse das Modell später liefern kann. Sobald Trainings- oder Einsatzdaten Rückschlüsse auf identifizierte oder identifizierbare Personen zulassen oder sich diese Möglichkeit nicht verlässlich ausschließen lässt, wird das KI-Modell wie eine Verarbeitung personenbezogener Daten behandelt. In der Praxis heißt das: Wer Kundendaten, Beschäftigtendaten, Nutzungsdaten von Portalen, Telemetriedaten mit Personenbezug oder offene Datenquellen mit Personenbezug in KI-Projekten nutzt, sollte nicht von „anonym“ ausgehen, sondern mit einem DSGVO-Anwendungsfall rechnen und die üblichen Hausaufgaben machen , Rechtsgrundlage, Information, Zweckbindung, Datenminimierung, technische Sicherung und die Möglichkeit zur Wahrnehmung von Betroffenenrechten.
Rechtsgrundlagen und berechtigte Interessen im Alltag
Für viele klassische Gewerbebetriebe und Dienstleister wird die Arbeit mit KI über Art. 6 Abs. 1 lit. f DSGVO , das berechtigte Interesse , laufen. Die Stellungnahme des EDSA ändert daran nichts, erhöht aber den Anspruch an die Begründung. Es reicht nicht, pauschal „Effizienz“ oder „Optimierung“ zu nennen. Unternehmen sollten in einfachen, verständlichen Worten festhalten können, wofür ein Modell eingesetzt wird, warum es dafür benötigt wird und warum gerade die eingesetzten Daten erforderlich sind. Wer etwa KI zur Betrugserkennung im Zahlungsverkehr nutzt, zur Erkennung verdächtiger Anmeldeversuche, zur Priorisierung von Support-Anfragen oder zur Verbesserung von Servicequalität einsetzt, kann diese Zwecke üblicherweise gut erklären. Entscheidend ist, dass parallel geprüft wird, ob weniger eingriffsintensive Varianten möglich wären und welche Maßnahmen ergriffen werden, um Fehlentscheidungen, Profilbildung „ins Blaue hinein“ oder unnötige Datennutzung zu vermeiden. Für KMU muss das kein juristisches Gutachten sein; eine sauber dokumentierte, nachvollziehbare Interessenabwägung, die Zweck, Datenarten, Risiken und Schutzmaßnahmen beschreibt, genügt als tragfähige Grundlage und ist im Prüfungsfall Gold wert.
Saubere Datenquellen als Risikofilter
Ein Punkt, der für kleinere Unternehmen besonders greifbar ist, betrifft die Herkunft der Daten. Die Stellungnahme betont, dass rechtlich zweifelhafte Trainingsdaten ein Risiko für das gesamte Projekt darstellen. Für die Praxis heißt das: Wenn eigene Daten verwendet werden, sollte klar sein, zu welchen Zwecken sie ursprünglich erhoben wurden, ob diese Zwecke eine Nutzung für das geplante KI-Modell tragen oder ob eine neue Rechtsgrundlage notwendig ist. Werden öffentliche Quellen, gekaufte Datensätze oder beliebige Internetinhalte genutzt, sollte zumindest in Grundzügen geprüft werden, ob dies mit Urheberrecht, Nutzungsbedingungen und Datenschutzrecht vereinbar ist. Für KMU lohnt es sich hier, eher schmalere, kontrollierte Quellen zu nutzen, als „alles zu sammeln, was geht“. Wer nachvollziehbar zeigen kann, dass seine Modelle auf transparenten, rechtmäßig erhobenen und zielgerichtet ausgewählten Daten beruhen, reduziert rechtliche Angriffsflächen erheblich.
Externe KI-Dienste und Vertragsgestaltung
Viele kleine und mittlere Unternehmen werden keine eigenen großen Modelle entwickeln, sondern Dienste und Modelle Dritter nutzen , etwa KI-Funktionen von Softwareanbietern, Cloud-Diensten oder spezialisierten Service-Providern. Gerade hier ist die Stellungnahme praktisch hilfreich. Sie stärkt indirekt die Erwartung, dass Anbieter erklären können, auf welcher Grundlage sie ihre Modelle trainiert haben, welche Datenkategorien genutzt werden, ob personenbezogene Daten verarbeitet werden und wie Betroffenenrechte unterstützt werden. Für KMU bedeutet das beim Einsatz externer KI-Lösungen nicht nur die Funktionalität abgefragt werden sollte.
Vielmehr auch, ob der Anbieter Zusicherungen zur Rechtmäßigkeit der Datennutzung gibt, wie mit Protokolldaten umgegangen wird, ob eigene Eingaben zum Training verwendet werden und wie Auskunfts- oder Löschbegehren bedient werden können.
Solche Punkte müssen nicht in hochkomplexen Verträgen versteckt sein. Klare Regelungen in Auftragsverarbeitungsverträgen, Leistungsbeschreibungen und Datenschutzinformationen reichen aus, solange sie verständlich und überprüfbar sind. Wer hier bewusst auswählt, verringert das Risiko, später für fremde Fehler verantwortlich gemacht zu werden. Es lohnt sich hier also vor Vertragsschluss mit entsprechenden Anbietern derartige Dokumente anzufragen und kontrollieren zu lassen.
Dokumentation, Zuständigkeiten und pragmatisches „Privacy by Design“
Die Stellungnahme lässt sich auch als Einladung verstehen, KI nicht als Sonderfall, sondern als Teil der bestehenden Datenschutzorganisation zu behandeln.
Für KMU s ist es entscheidend, das Thema pragmatisch zu verankern.
Jemand im Unternehmen sollte erkennbar die Verantwortung für Datenschutzfragen bei KI-Projekten tragen, sei es der betriebliche Datenschutzbeauftragte, die IT-Leitung oder eine klar benannte Schnittstelle. Wesentliche Entscheidungen sollten schriftlich festgehalten werden, also wozu das System eingesetzt wird, welche Daten verwendet werden, welche Rechtsgrundlage gewählt wurde, welche Schutzmaßnahmen eingerichtet sind und wie auf Beschwerden oder Auffälligkeiten reagiert wird. Gerade bei Anwendungen mit höherem Risiko, etwa automatisierten Entscheidungen mit Einfluss auf Kunden oder Beschäftigte, kann es sinnvoll oder erforderlich sein, eine formelle Datenschutz-Folgenabschätzung vorzunehmen. Auch hier müssen KMU keine Perfektion liefern, aber sie sollten zeigen können, dass Risiken gesehen, bewertet und mit angemessenen Mitteln reduziert wurden. Anbieten tut sich hier natürlich (falls vorhanden) der jeweilige Datenschutzbeauftragte, da dieser optimaler Weise bereits aufgrund seiner Tätigkeit auf viele der notwendigen Informationen und Dokumente Zugriff hat.
Fazit
Für KMU und Gewerbebetriebe sind vor allem 5 Punkte relevant:
KI-Projekte früh als datenschutzrelevant einordnen, rechtmäßige und passende Datenquellen nutzen, belastbare Rechtsgrundlagen mit einfacher, nachvollziehbarer Dokumentation wählen und bei externen Anbietern gezielt auf transparente Bedingungen achten.
Wer diese Punkte ernst nimmt, bewegt sich im Rahmen der Erwartung der Aufsichtsbehörden, reduziert Haftungs- und Reputationsrisiken und kann KI sinnvoll nutzen, ohne sich in Detaildebatten zu verlieren.