Zusammenfassung

Europäische Unternehmen unterliegen den weltweit umfassendsten Datenschutzbestimmungen. Die DSGVO und das neue EU-KI-Gesetz sind die Säulen dieses Systems. Sie setzen durch den Schutz personenbezogener Daten und der Grundrechte einen globalen Maßstab für vertrauenswürdige Technologie. Gleichzeitig entwickeln US-Unternehmen die leistungsstärksten und am weitesten verbreiteten generativen KI-Tools.

Fachleute in den Bereichen Strategie, Marketing und Content-Erstellung greifen meist über Verbraucherlizenzen auf diese Tools zu, die keinen vertraglichen Schutz auf Unternehmensebene bieten. Dies stellt eine klare Herausforderung dar: Wie kann man AI tools verantwortungsvoll nutzen und gleichzeitig mit sensiblen Kundendaten umgehen? Auch wenn die meisten der verarbeiteten Informationen gemäß DSGVO nicht als „personenbezogene Daten“ gelten, sind sie dennoch vertraulich und sensibel – und daher von zentraler Bedeutung für die Aufrechterhaltung des Kundenvertrauens.

Dieses Papier zeigt, dass Fachleute KI-Tools verantwortungsbewußt einsetzen können. Dabei werden Kundeninformationen so behandelt, als unterlägen sie den DSGVO-Standards. Der Ansatz vermeidet Schlupflöcher und demonstriert Verantwortungsbewusstsein, Disziplin und Transparenz.

Wir bezeichnen diesen Ansatz als "KI Handwerkskunst“: ein Rahmenkonzept, das auf (1) einer bewussten Tool-Konfiguration, (2) einem disziplinierten „No-History“-Workflow und (3) radikaler Kundentransparenz basiert. Mit diesen Praktiken können Fachleute KI-Tools einsetzen und gleichzeitig ihren Kunden sowohl die Sicherheitsvorkehrungen als auch die Einschränkungen offen kommunizieren.

Europa die digitale Festung: Die DSGVO und das KI-Gesetz verstehen

Der Ansatz der EU zur Regulierung von Technologien entspringt nicht dem Wunsch, Innovationen zu unterdrücken,. Vielmehr ist er eine strategische Entscheidung, einen auf Vertrauen basierenden wettbewerbsfähigen Markt aufzubauen. Mit anderen Worten: Das Ziel besteht darin, einen Binnenmarkt für „vertrauenswürdige KI“ zu schaffen, in dem Bürger und Unternehmen neue Technologien mit Zuversicht einsetzen können. Eine „Zangenbewegung der Governance“ sorgt für die Durchsetzung dieses Ziels: Die DSGVO regelt die Daten, die KI antreiben, während das neue KI-Gesetz die Systeme selbst regelt.

Säule 1: Die DSGVO als Grundlage

Die DSGVO bleibt das grundlegende Gesetz, das den wichtigsten Treibstoff für viele KI-Systeme regelt: personenbezogene Daten. Ihre Kernprinzipien stellen die Kultur „Je mehr Daten, desto besser“, die die KI-Entwicklung in der Vergangenheit vorangetrieben hat, direkt in Frage. In Folge erzwingt sie einen Wandel von einer Mentalität des Datenhortens hin zu einer Mentalität der Datendisziplin.

• Rechtmäßigkeit, Zweckbindung und Datenminimierung: Die DSGVO verlangt, dass personenbezogene Daten für einen bestimmten, eindeutigen Zweck rechtmäßig verarbeitet werden und dass nur die erforderlichen Daten verwendet werden. Für KI verbietet dies die gängige Praxis, riesige öffentliche Datensätze zu sammeln, „nur für den Fall“, dass sie später einmal nützlich sein könnten. Unternehmen müssen vor Beginn eines Trainings eine gültige Rechtsgrundlage für die Datenverarbeitung schaffen. Die flexibelste Grundlage, das „berechtigte Interesse“, erfordert eine strenge Abwägungsprüfung, bei der die Rechte des Einzelnen gegen die Interessen des Unternehmens abgewogen werden. Wie aus den Leitlinien von Behörden wie der französischen CNIL hervorgeht, ist dies eine hohe Hürde, die nachweisbare Schutzmaßnahmen und die Berücksichtigung der Erwartungen der Nutzer erfordert.
• Rechte der betroffenen Person: Die DSGVO gewährt Einzelpersonen weitreichende Rechte, die erhebliche technische Hürden für KI mit sich bringen. Für Unternehmen ist es schwierig, das „Recht auf Vergessenwerden“ (Löschung) umzusetzen, sobald sie Daten in die Parameter eines trainierten Modells einfließen lassen. Noch kritischer für KI ist Artikel 22, der Einzelpersonen das Recht gewährt, nicht alleinigen automatisierten Entscheidungen unterworfen zu werden, die erhebliche Auswirkungen auf sie haben – wie beispielsweise bei der Personalauswahl oder der Bonitätsprüfung. Dies schreibt daher effektiv einen „Human-in-the-Loop“-Ansatz für Entscheidungen mit hohem Risiko vor, ein Prinzip, das direkt Einfluss darauf hat, wie KI in Europa eingesetzt werden kann.

Säule 2: Das KI-Gesetz als Regelwerk für die Anwendung

Das im August 2024 in Kraft getretene KI-Gesetz ist das weltweit erste umfassende Gesetz für künstliche Intelligenz. Es regelt nicht die Technologie selbst, sondern deren Anwendung unter Verwendung eines verhältnismäßigen, risikobasierten Ansatzes.

• Ein vierstufiges Risikorahmenwerk: Das Gesetz unterteilt KI-Systeme in vier Kategorien. Systeme mit „inakzeptablem Risiko“ wie Social Scoring oder biometrische Echtzeitüberwachung sind gänzlich verboten. Im Gegensatz dazu fällt die überwiegende Mehrheit der Anwendungen, wie Spamfilter oder Bestandsverwaltung, in die Kategorie „minimales Risiko“, für die keine neuen gesetzlichen Verpflichtungen gelten. Systeme mit „begrenztem Risiko“, wie Chatbots, erfordern Transparenz, d. h. die Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren.
• Strenge Verpflichtungen für Hochrisikosysteme: Systeme mit hohem Risiko sind am stärksten von der neuen Gesetzgebung betroffen. Zu dieser Kategorie gehören KI-Systeme, die in kritischen Bereichen wie Personalbeschaffung, medizinische Geräte und Verwaltung wichtiger Infrastrukturen eingesetzt werden. Anbieter dieser Systeme müssen daher eine Reihe von Compliance-Verpflichtungen erfüllen, bevor sie auf den EU-Markt gelangen können. Dazu gehören ein rigoroses Risikomanagement, strenge Datenkontrollen zur Verringerung von Verzerrungen, umfangreiche technische Dokumentationen und die Implementierung einer wirksamen menschlichen Aufsicht.

Die Einhaltung beider Vorschriften ist in der EU nicht verhandelbar. Ein KI-System könnte zwar die technischen Standards des KI-Gesetzes vollständig erfüllen, aber auf Daten basieren, die gegen die DSGVO verstoßen, wodurch seine Verwendung rechtswidrig wäre. Daher erfordert dieses doppelte Mandat einen tiefgreifend integrierten Ansatz für die Governance.

Der amerikanische Ansatz: Ein Mosaik aus Rahmenwerken und sektoralen Vorschriften

Die Vereinigten Staaten haben bewusst einen anderen Weg eingeschlagen und legen mehr Wert auf Innovation und Flexibilität als auf umfassende, von oben verordnete Regulierung. Der Ansatz der USA kombiniert unverbindliche Leitlinien der Regierung, Maßnahmen der Exekutive und die Anwendung bestehender Gesetze durch sektorspezifische Behörden zu einem rechtlichen Putzle.

• Wichtige Säulen der USA: Der Entwurf des Weißen Hauses für eine Charta der Rechte im Bereich der künstlichen Intelligenz dient als unverbindliche Erklärung der Grundprinzipien. Er ist eher ein Leitstern für eine ethische Entwicklung als ein durchsetzbares Gesetz. In ähnlicher Weise bietet das NIST AI Risk Management Framework (RMF) einen praktischen, strukturierten Prozess für das Management von KI-Risiken; es handelt sich um ein sehr einflussreiches und weit verbreitetes freiwilliges Rahmenwerk.
• Sektorspezifische Durchsetzung: In den USA erfolgt die Regulierung auf sektoraler Ebene. So wenden beispielsweise Behörden wie die Federal Trade Commission (FTC) und die Food and Drug Administration (FDA) ihre bestehenden gesetzlichen Befugnisse an, um unlautere, irreführende oder unsichere Anwendungen von KI in ihren jeweiligen Zuständigkeitsbereichen zu überwachen. Dies schafft ein regulatorisches Umfeld, das fragmentierter und weniger vorhersehbar ist als der harmonisierte Markt der EU.

Die Unterschiede zwischen EU und USA schaffen eine kritische rechtliche Realität: Für einen europäischen KI-Experten sind US-amerikanische Rahmenwerke zwar hilfreiche Leitfäden für bewährte Verfahren, aber nur EU-Recht ist rechtsverbindlich und sieht bei Nichteinhaltung schwere Strafen vor.

Go to the next chapter

Weiterführende Artikel:

1. AI Act | Shaping Europe’s digital future, Zugriff am September 3, 2025, https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
2. http://www.ey.com, Zugriff am September 3, 2025, https://www.ey.com/en_ch/insights/forensic-integrity-services/the-eu-ai-act-what-it-means-for-your-business#:~:text=The%20EU%20AI%20Act%2C%20also,of%20AI%20in%20the%20EU.
3. General Data Protection Regulation (GDPR), Zugriff am September 3, 2025, https://gdpr.eu/tag/gdpr/
4. The EU’s General Data Protection Regulation (GDPR) – Bloomberg Law, Zugriff am September 3, 2025, https://pro.bloomberglaw.com/insights/privacy/the-eus-general-data-protection-regulation-gdpr/
5. What is the Artificial Intelligence Act of the European Union (EU AI Act)? – IBM, Zugriff am September 3, 2025, https://www.ibm.com/think/topics/eu-ai-act
6. The EU AI Act: What it means for your business | EY – Switzerland, Zugriff am September 3, 2025, https://www.ey.com/en_ch/insights/forensic-integrity-services/the-eu-ai-act-what-it-means-for-your-business
7. Artificial Intelligence Act – Wikipedia, Zugriff am September 3, 2025, https://en.wikipedia.org/wiki/Artificial_Intelligence_Act
8. Navigating the EU AI Act: A Practical Guide to AI Compliance | MHP – A Porsche Company, Zugriff am September 3, 2025, https://www.mhp.com/en/insights/blog/post/eu-ai-act
9. Is AI Model Training Compliant With Data Privacy Laws? – Termly, Zugriff am September 3, 2025, https://termly.io/resources/is-ai-model-training-compliant-with-data-privacy-laws/
10. CNIL Clarifies GDPR Basis for AI Training – But It’s Just One Part of the Compliance Picture, Zugriff am September 3, 2025, https://www.skadden.com/insights/publications/2025/06/cnil-clarifies-gdpr-basis-for-ai-training
11. Interactions and overlaps between the GDPR and AI Act, with Etienne Drouard, Zugriff am September 3, 2025, https://www.renaissancenumerique.org/en/publications/interactions-and-overlaps-between-the-gdpr-and-ai-act-with-etienne-drouard/
12. Key Issue 6: Interplay with GDPR – EU AI Act, Zugriff am September 3, 2025, https://www.euaiact.com/key-issue/6
13. Penalties of the EU AI Act: The High Cost of Non-Compliance – Holistic AI, Zugriff am September 3, 2025, https://www.holisticai.com/blog/penalties-of-the-eu-ai-act
14. REGULATION (EU) 2016/ 679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL – EUR-Lex, Zugriff am September 3, 2025, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
15. What Is GDPR? Summary of the General Data Protection Regulation – Termly, Zugriff am September 3, 2025, https://termly.io/resources/articles/what-is-gdpr/
16. What is GDPR, the EU’s new data protection law? – GDPR.eu, Zugriff am September 3, 2025, https://gdpr.eu/what-is-gdpr/
17. The Intersection of GDPR and AI and 6 Compliance Best Practices | Exabeam, Zugriff am September 3, 2025, https://www.exabeam.com/explainers/gdpr-compliance/the-intersection-of-gdpr-and-ai-and-6-compliance-best-practices/
18. The impact of the General Data Protection Regulation (GDPR) on artificial intelligence – European Parliament, Zugriff am September 3, 2025, https://www.europarl.europa.eu/RegData/etudes/STUD/2020/641530/EPRS_STU(2020)641530_EN.pdf
19. An overview of the General Data Protection Act – GDPR Summary, Zugriff am September 3, 2025, https://www.gdprsummary.com/gdpr-summary/
20. Top 10 operational impacts of the EU AI Act – Leveraging GDPR compliance – IAPP, Zugriff am September 3, 2025, https://iapp.org/resources/article/top-impacts-eu-ai-act-leveraging-gdpr-compliance/