KI und Datenschutz im Unternehmen – Was Sie 2026 beachten müssen

Inhalt in Kürze

• Der EU AI Act ist seit Februar 2025 schrittweise anwendbar – erste Verbote gelten bereits, weitere Pflichten folgen bis August 2026.
• Die DSGVO gilt unverändert für jeden KI-Einsatz, bei dem personenbezogene Daten verarbeitet werden. Rechtsgrundlage, Transparenz und Betroffenenrechte müssen gewährleistet sein.
• ChatGPT, Copilot und Co. verarbeiten Eingabedaten auf US-Servern – ohne klare Regelung ist das ein DSGVO-Verstoß.
• Unternehmen brauchen eine KI-Richtlinie, die regelt, wer welche Tools nutzen darf und welche Daten eingegeben werden dürfen.
• Praktische Lösungen existieren: Mit den richtigen Einstellungen und Prozessen lässt sich KI DSGVO-konform im Unternehmen nutzen.

---

Künstliche Intelligenz (Artificial Intelligence) ist 2026 kein Zukunftsthema mehr. Sie ist Alltag. Ihre Mitarbeitenden nutzen ChatGPT, um E-Mails zu formulieren. Ihr Marketing erstellt Texte mit KI. Ihr Vertrieb lässt Angebote von Copilot vorschreiben. Und Ihre IT experimentiert mit KI-gestützten Analysetools. Datenschutz und künstliche Intelligenz müssen Unternehmen dabei zusammen denken.

Die Frage ist nicht, ob Ihr Unternehmen KI nutzt. Die Frage ist: Wissen Sie, wie – und ist es rechtskonform?

Denn mit dem EU AI Act und der bestehenden DSGVO gibt es gleich zwei Regelwerke, die den Einsatz von KI im Unternehmen regulieren. Wer das ignoriert, riskiert Bußgelder, Datenschutzverletzungen und Vertrauensverlust bei Kunden und Mitarbeitenden.

Der EU AI Act – das neue KI-Gesetz der EU

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er wurde im Juni 2024 verabschiedet und wird schrittweise anwendbar:

Zeitpunkt	Was gilt
Seit Februar 2025	Verbote für KI-Systeme mit unannehmbarem Risiko (Social Scoring, manipulative KI, biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen)
Seit August 2025	Pflichten für Anbieter von General-Purpose-AI (GPAI) wie GPT-4, Gemini, Claude – Transparenzpflichten, technische Dokumentation
Ab August 2026	Volle Anwendbarkeit für Hochrisiko-KI-Systeme – Konformitätsbewertung, Registrierung, Qualitätsmanagement
Ab August 2027	Pflichten für bestimmte eingebettete KI-Systeme in regulierten Produkten

Der risikobasierte Ansatz

Der AI Act teilt KI-Systeme in vier Risikokategorien ein:

1. Unannehmbares Risiko (verboten):

• Social Scoring durch Behörden
• Manipulative KI, die Schwächen von Menschen ausnutzt
• Biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit Ausnahmen)
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

2. Hohes Risiko (strenge Auflagen):

• KI in der Personalrekrutierung (Bewerber-Screening, automatisierte Bewertung)
• KI in der Kreditwürdigkeitsprüfung
• KI in der Strafverfolgung und Grenzkontrolle
• KI in der Bildung (automatische Bewertung von Prüfungen)
• KI in kritischen Infrastrukturen

3. Begrenztes Risiko (Transparenzpflichten):

• Chatbots (Nutzer müssen wissen, dass sie mit einer KI sprechen)
• Deepfakes (müssen als KI-generiert gekennzeichnet werden)
• KI-generierte Texte in bestimmten Kontexten

4. Minimales Risiko (kaum reguliert):

• KI-gestützte Textvorschläge
• Spam-Filter
• KI in Videospielen

Was bedeutet das für Ihr Unternehmen?

Die meisten KI-Anwendungen im Unternehmensalltag – ChatGPT für Texterstellung, Copilot für E-Mails, KI-gestützte Datenanalyse – fallen in die Kategorien "begrenztes" oder "minimales Risiko". Bei KI-Systemen müssen Sie vor allem Transparenzpflichten beachten.

Aber: Wenn Sie KI im Personalbereich einsetzen (z.B. automatisiertes Bewerber-Screening), in der Kreditprüfung oder für sicherheitskritische Anwendungen, bewegen Sie sich im Hochrisikobereich. Dann gelten ab August 2026 umfassende Pflichten.

Detaillierte Beratung zum AI Act erhalten Sie auf unserer Seite AI Act Beratung.

DSGVO und KI – die unterschätzte datenschutzrechtliche Herausforderung

Während der AI Act (auch als KI-Verordnung der EU bezeichnet) noch schrittweise in Kraft tritt, gilt die DSGVO bereits seit 2018 – und sie regelt den Einsatz von KI-Systemen, sobald personenbezogene Daten ins Spiel kommen. Und das ist fast immer der Fall. Die Datenschutzaufsichtsbehörden in Deutschland und Europa haben bereits mehrfach betont, dass bestehende datenschutzrechtliche Grundsätze auch für KI gelten. Der verantwortungsvolle Umgang mit personenbezogenen Daten ist beim KI-Einsatz keine Option, sondern Pflicht.

Wann ist die DSGVO bei KI-Systemen relevant?

Immer dann, wenn Sie personenbezogene Daten in ein KI-System eingeben oder ein KI-System personenbezogene Daten verarbeitet – also sensible oder vertrauliche Informationen betroffen sind. Beispiele:

• Ein Mitarbeiter gibt einen Kundennamen und eine E-Mail-Adresse in ChatGPT ein, um eine Antwort-Mail formulieren zu lassen
• Ihr HR-Team nutzt eine KI, um Bewerbungsunterlagen vorzusortieren
• Ihr CRM-System verwendet KI zur Kundensegmentierung
• Ein Mitarbeiter lässt einen Vertrag mit Personenbezug von einer KI zusammenfassen

In all diesen Fällen müssen Sie die DSGVO-Anforderungen erfüllen.

Die 5 größten datenschutzrechtlichen Risiken beim KI-Einsatz

1. Fehlende Rechtsgrundlage Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für den Einsatz von KI-Tools kommen typischerweise das berechtigte Interesse (Art. 6 Abs. 1 lit. f), die informierte Einwilligung (Art. 6 Abs. 1 lit. a) oder die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b) in Frage. Dabei ist der Grundsatz der Datenminimierung zu beachten: Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Ohne dokumentierte Rechtsgrundlage ist jede Verarbeitung rechtswidrig.
2. Drittlandtransfer Die meisten KI-Anbieter – OpenAI (ChatGPT), Microsoft (Copilot), Google (Gemini) – verarbeiten Daten auf US-Servern. Der Datentransfer in die USA ist nur unter bestimmten Bedingungen zulässig (Data Privacy Framework, Standardvertragsklauseln). Ohne diese Absicherung ist die Nutzung ein DSGVO-Verstoß.
3. Verletzung der Informationspflichten Nach Art. 13/14 DSGVO müssen betroffene Personen über die Verarbeitung ihrer Daten informiert werden – auch wenn diese Verarbeitung durch ein KI-System erfolgt. Steht in Ihrer Datenschutzerklärung, dass Sie KI-Tools nutzen?
4. Automatisierte Entscheidungen (Art. 22 DSGVO) Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet. Wenn Ihre KI Bewerbungen vorsortiert oder Kreditanträge bewertet, müssen Sie sicherstellen, dass immer ein Mensch die finale Entscheidung trifft. Large Language Models wie GPT-4 oder Claude treffen zwar keine formalen Entscheidungen, können aber faktisch automatisierte Entscheidungen vorbereiten.
5. Fehlende Auftragsverarbeitungsverträge KI-Anbieter, die in Ihrem Auftrag personenbezogene Daten verarbeiten, sind Auftragsverarbeiter nach Art. 28 DSGVO. Sie brauchen einen ordnungsgemäßen Auftragsverarbeitungsvertrag (AVV) mit jedem Anbieter.

Datenschutz-Folgenabschätzung (DSFA) bei KI-Systemen

Ein oft übersehener, aber zentraler datenschutzrechtlicher Aspekt beim Einsatz von KI ist die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Immer dann, wenn eine Verarbeitung – insbesondere unter Nutzung neuer Technologien wie KI-Modelle – voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt, müssen Sie vorab eine DSFA durchführen.

Wann ist eine DSFA bei KI-Einsatz Pflicht?

Die Datenschutzaufsichtsbehörden haben in ihren Orientierungshilfen klargestellt, dass eine DSFA insbesondere dann erforderlich ist, wenn:

• Profiling oder automatisierte Entscheidungsfindung stattfindet – z.B. wenn KI-Systeme Bewerber vorsortieren oder Kreditentscheidungen vorbereiten
• Sensible Daten (besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO) verarbeitet werden – dieser Bereich ist besonders sensibel, etwa bei Gesundheitsdaten oder biometrischen Daten
• Systematische Überwachung von Personen erfolgt – z.B. durch KI-gestützte Verhaltensanalyse
• Daten, die ursprünglich für andere Zwecke erhoben wurden, in KI-Modellen für neue Zwecke weiterverarbeitet werden (Zweckänderung)

Die DSFA muss die Risiken für die Rechte der betroffenen Personen systematisch bewerten und nachvollziehbar dokumentieren, welche technischen und organisatorischen Maßnahmen diese Risiken mindern.

Privacy by Design und Datenminimierung bei KI

Der Grundsatz Privacy by Design (Datenschutz durch Technikgestaltung, Art. 25 DSGVO) hat beim Einsatz von KI-Systemen besondere Bedeutung. Bereits bei der Auswahl und Konfiguration von KI-Tools müssen Sie durch technische und organisatorische Maßnahmen sicherstellen, dass der Grundsatz der Datenminimierung eingehalten wird. Konkret bedeutet das:

• Nur die minimal notwendigen Daten an KI-Modelle übermitteln
• Anonymisierung oder Pseudonymisierung vor der Eingabe prüfen
• Speicherdauer der KI-Verarbeitung begrenzen
• Nachvollziehbar dokumentieren, welche Daten wofür verarbeitet werden

ChatGPT, Copilot und Co. – die konkreten Risiken

Lassen Sie uns konkret werden. Was passiert, wenn Ihre Mitarbeitenden KI-Tools nutzen – und worauf müssen Sie achten?

ChatGPT (OpenAI)

Das Risiko: In der kostenlosen Version und in ChatGPT Plus werden Eingabedaten standardmäßig als Daten für das Training des Modells verwendet. Das bedeutet: Kundendaten, Vertragsinhalte oder interne Dokumente, die ein Mitarbeiter eingibt, können in die Trainingsdaten einfließen. Der datenschutzrechtlich Verantwortliche muss sicherstellen, dass personenbezogene Daten nicht unkontrolliert in Trainingsdaten gelangen.

Die Lösung: OpenAI bietet mit ChatGPT Enterprise und ChatGPT Team Versionen an, bei denen Eingabedaten nicht für das Training verwendet werden. Zusätzlich können Nutzer in den Einstellungen das Training deaktivieren. Für den Unternehmenseinsatz empfehlen wir ausschließlich die Enterprise-Variante mit entsprechendem AVV.

Microsoft Copilot

Das Risiko: Copilot ist in Microsoft 365 integriert und hat damit potenziell Zugriff auf E-Mails, Dokumente, Teams-Chats und SharePoint-Inhalte. Die Frage ist: Welche Daten verarbeitet Copilot, und wo?

Die Lösung: Microsoft verpflichtet sich im Rahmen des Data Processing Addendum (DPA), Daten innerhalb der EU zu verarbeiten (EU Data Boundary). Copilot-Prompts werden nicht für das Training verwendet. Dennoch sollten Sie die Berechtigungsstruktur in Ihrem M365-Tenant überprüfen – denn Copilot kann auf alles zugreifen, worauf der jeweilige Nutzer Zugriff hat.

Google Gemini

Das Risiko: Ähnlich wie bei ChatGPT werden in der kostenlosen Version Eingabedaten zum Training verwendet. Die Datenspeicherung erfolgt global.

Die Lösung: Google Workspace mit Gemini Enterprise bietet vertragliche Zusicherungen zur Datenverarbeitung innerhalb der EU und zum Ausschluss von Trainingsdatennutzung.

Die KI-Richtlinie – so schaffen Sie klare Regeln

Eine KI-Richtlinie (auch: KI-Nutzungsrichtlinie oder AI Use Policy) ist das wichtigste Instrument, um den KI-Einsatz in Ihrem Unternehmen zu steuern. Sie definiert verbindlich, welche Regeln für die Nutzung von KI-Tools gelten.

Was gehört in eine KI-Richtlinie?

1. Erlaubte und verbotene Tools Listen Sie konkret auf, welche KI-Tools für den Unternehmenseinsatz freigegeben sind. Alle anderen sind verboten. Das verhindert Schatten-KI.

2. Datenklassifizierung Definieren Sie, welche Daten in KI-Tools eingegeben werden dürfen und welche nicht:

• Erlaubt: Allgemein zugängliche Informationen, anonymisierte Daten
• Eingeschränkt: Interne Dokumente ohne Personenbezug (nur in freigegebenen Enterprise-Tools)
• Verboten: Personenbezogene Daten, Geschäftsgeheimnisse, Verträge, Gesundheitsdaten

3. Verantwortlichkeiten Wer ist für die Freigabe neuer KI-Tools zuständig? Wer überwacht die Einhaltung der Richtlinie? Wer ist Ansprechpartner bei Fragen?

4. Dokumentationspflichten Der AI Act verlangt Transparenz. Dokumentieren Sie, welche KI-Systeme Sie einsetzen, für welche Zwecke und mit welchen Daten.

5. Schulungspflicht Mitarbeitende müssen verstehen, warum die Richtlinie existiert und welche Risiken bestehen. Eine einmalige Information reicht nicht – planen Sie regelmäßige Schulungen ein.

Muster-Struktur einer KI-Richtlinie

Kapitel	Inhalt
1. Zweck und Geltungsbereich	Warum diese Richtlinie existiert, für wen sie gilt
2. Begriffsdefinitionen	Was unter "KI-System", "personenbezogene Daten" etc. zu verstehen ist
3. Grundsätze	Mensch-über-Maschine-Prinzip, Transparenz, Datensparsamkeit
4. Freigegebene Tools	Liste der erlaubten KI-Anwendungen mit Nutzungsbedingungen
5. Verbotene Nutzungen	Konkrete Beispiele, was nicht erlaubt ist
6. Datenklassifizierung	Welche Daten dürfen eingegeben werden, welche nicht
7. Verantwortlichkeiten	Rollen und Zuständigkeiten
8. Vorfallmanagement	Was tun bei Datenschutzvorfall im KI-Kontext
9. Schulung	Häufigkeit und Inhalt der Schulungen
10. Inkrafttreten und Änderungen	Versionierung und Gültigkeitsdatum

Praktische Tipps für den DSGVO-konformen KI-Einsatz

Wir beraten Unternehmen seit der Veröffentlichung von ChatGPT Ende 2022 zum datenschutzkonformen Einsatz von KI. Aus dieser Erfahrung haben sich fünf Regeln herauskristallisiert, die in der Praxis funktionieren:

1. Enterprise-Versionen verwenden Nutzen Sie ausschließlich Business- oder Enterprise-Varianten von KI-Tools. Nur dort haben Sie vertragliche Zusicherungen, dass Ihre Daten nicht für das Training verwendet werden.

2. Keine personenbezogenen Daten eingeben Schulen Sie Ihre Mitarbeitenden konsequent: Keine Namen, keine E-Mail-Adressen, keine Kundennummern in KI-Tools eingeben. Wenn möglich, anonymisieren Sie Daten vor der Eingabe.

3. AVVs abschließen Schließen Sie mit jedem KI-Anbieter einen Auftragsverarbeitungsvertrag ab. OpenAI, Microsoft und Google bieten dafür standardisierte DPAs an.

4. Datenschutzerklärung aktualisieren Informieren Sie Betroffene in Ihrer Datenschutzerklärung darüber, dass und wie Sie KI-Tools einsetzen. Benennen Sie die Tools, die Zwecke und die Rechtsgrundlage.

5. Verarbeitungsverzeichnis ergänzen Nehmen Sie KI-Anwendungen in Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO auf. Dokumentieren Sie Zweck, Rechtsgrundlage, Kategorien betroffener Personen und Empfänger.

Mehr zum Thema DSGVO-konformer ChatGPT-Einsatz finden Sie auf unserer Seite ChatGPT DSGVO-konform im Unternehmen.

Chancen und Risiken von KI im Unternehmen

Der Einsatz von künstlicher Intelligenz bietet Unternehmen enorme Chancen – von Effizienzgewinnen über bessere Kundenbetreuung bis hin zu neuen Geschäftsmodellen. Gleichzeitig bestehen datenschutzrechtliche Risiken, die ernst genommen werden müssen:

Chancen: KI bietet Unternehmen erhebliche Vorteile bei der Verwendung von KI in Geschäftsprozessen:

• Automatisierung repetitiver Aufgaben spart Zeit und Ressourcen
• KI-gestützte Analysen ermöglichen datenbasierte, nachvollziehbare Entscheidungen
• KI-Modelle können Muster erkennen, die menschlichen Analysten verborgen bleiben
• Wettbewerbsvorteile durch schnellere und präzisere Prozesse
• Die Entwicklung von KI eröffnet laufend neue Einsatzfelder

Risiken: Für den Datenschutz beim Einsatz von KI bestehen konkrete Gefahren:

• Verletzung datenschutzrechtlicher Grundsätze (Datenminimierung, Zweckbindung)
• Diskriminierung durch verzerrte KI-Modelle (Bias)
• Hohes Risiko für die Rechte betroffener Personen bei automatisierten Entscheidungen — insbesondere bei Verarbeitung besonderer Kategorien personenbezogener Daten
• Kontrollverlust über sensible Unternehmensdaten bei Nutzung externer KI-Tools
• Fehlende Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch KI

Die Orientierungshilfe der Datenschutzaufsichtsbehörden (DSK) betont, dass Unternehmen die Nutzung von KI datenschutzkonform gestalten können – wenn sie die richtigen Prozesse und technische Maßnahmen implementieren.

Was kommt als Nächstes?

2026 und 2027 werden entscheidende Jahre für KI-Regulierung:

• August 2026: Volle Anwendbarkeit der Hochrisiko-Regelungen des AI Act
• Laufend: Neue Leitlinien der Datenschutzbehörden zum KI-Einsatz (die DSK hat bereits erste Orientierungshilfen veröffentlicht)
• 2027: Weitere Pflichten für eingebettete KI-Systeme in regulierten Produkten

Unternehmen, die jetzt ihre KI-Governance aufbauen, sind für diese Entwicklungen gewappnet. Wer wartet, wird unter Zeitdruck handeln müssen – wie bei der DSGVO 2018.

Häufige Fragen (FAQ)

Darf ich ChatGPT im Unternehmen nutzen?

Ja, aber nur unter bestimmten Bedingungen. Sie benötigen eine Enterprise- oder Team-Version mit AVV, dürfen keine personenbezogenen Daten ohne Rechtsgrundlage eingeben und müssen die Nutzung in Ihrer Datenschutzerklärung und im Verarbeitungsverzeichnis dokumentieren. Die kostenlose Version von ChatGPT ist für den Unternehmenseinsatz mit personenbezogenen Daten nicht geeignet.

Brauche ich für jedes KI-Tool einen Auftragsverarbeitungsvertrag?

Wenn das KI-Tool in Ihrem Auftrag personenbezogene Daten verarbeitet – ja. Das ist bei den meisten Cloud-basierten KI-Diensten der Fall. Der Vertrag muss den datenschutzrechtlichen Anforderungen des Art. 28 DSGVO entsprechen. Prüfen Sie bei jedem Tool, ob ein DPA/AVV verfügbar ist, und schließen Sie ihn ab, bevor Sie das Tool nutzen.

Wann brauche ich eine Datenschutz-Folgenabschätzung (DSFA) für KI?

Eine DSFA nach Art. 35 DSGVO ist immer dann erforderlich, wenn der Einsatz eines KI-Systems voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen birgt. Das ist insbesondere der Fall bei automatisierten Entscheidungen, Verarbeitung sensibler Daten oder systematischer Überwachung. Die Datenschutzaufsichtsbehörden haben in ihrer Orientierungshilfe konkretisiert, wann eine DSFA Pflicht ist.

Was ist der Unterschied zwischen AI Act und DSGVO bei KI?

Die DSGVO schützt personenbezogene Daten – sie gilt immer, wenn KI personenbezogene Daten verarbeitet. Der AI Act reguliert KI-Systeme selbst – er stellt Anforderungen an die Sicherheit, Transparenz und Qualität von KI-Anwendungen, unabhängig davon, ob personenbezogene Daten verarbeitet werden. Beide Regelwerke gelten parallel.

Wer ist in meinem Unternehmen für KI-Compliance zuständig?

Idealerweise teilen sich Datenschutzbeauftragter, IT-Leitung und Geschäftsführung die Verantwortung. Der externe Datenschutzbeauftragte berät zu DSGVO-Fragen, die IT steuert die technische Umsetzung, und die Geschäftsführung gibt die KI-Richtlinie frei. Bei Hochrisiko-KI-Systemen verlangt der AI Act zusätzlich ein Qualitätsmanagementsystem.

Können Mitarbeitende für die Nutzung nicht freigegebener KI-Tools abgemahnt werden?

Wenn eine KI-Richtlinie existiert und die Nutzung nicht freigegebener Tools ausdrücklich untersagt, kann ein Verstoß arbeitsrechtliche Konsequenzen haben. Voraussetzung ist, dass die Richtlinie den Mitarbeitenden nachweislich bekannt gemacht wurde – idealerweise im Rahmen einer dokumentierten Schulung.

Welche Rolle spielen sensible Daten beim KI-Einsatz?

Sensible Daten – also besondere Kategorien personenbezogener Daten wie Gesundheitsdaten, biometrische Daten oder Daten zur ethnischen Herkunft – unterliegen nach Art. 9 DSGVO einem besonderen Schutz. Diese Daten dürfen grundsätzlich nicht in KI-Systeme eingegeben werden, es sei denn, es liegt eine ausdrückliche Einwilligung oder eine andere Ausnahme nach Art. 9 Abs. 2 DSGVO vor. Beim Umgang mit personenbezogenen Daten in KI-Modellen ist besondere Vorsicht geboten.

Wie können Unternehmen KI nutzen und dabei ein hohes Datenschutzniveau sicherstellen?

Unternehmen können KI datenschutzkonform nutzen, indem sie zunächst eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch KI-Systeme sicherstellen — etwa das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Bei hohem Risiko für betroffene Personen ist vorab eine DSFA nach Art. 35 DSGVO durchzuführen. Darüber hinaus sollten Unternehmen Enterprise-Versionen verwenden, bei denen die Eingabedaten nicht als Daten für das Training genutzt werden. Eine interne KI-Richtlinie regelt, welche Mitarbeitenden welche KI-Tools nutzen dürfen — so lassen sich rechtliche Risiken minimieren und der Datenschutz beim KI-Einsatz sicherstellen.

Gibt es eine Orientierungshilfe der Aufsichtsbehörden zum Thema KI und Datenschutz?

Ja. Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe zum datenschutzkonformen Einsatz von KI-Systemen veröffentlicht. Sie richtet sich an Unternehmen als Betreiber und konkretisiert die datenschutzrechtlichen Grundsätze für den KI-Einsatz — insbesondere zur Rechtsgrundlage, zur Datenschutz-Folgenabschätzung und zum Grundsatz der Datenminimierung. Für betroffene Personen ist die Orientierungshilfe ein wichtiger Hinweis, dass ihre Rechte auch beim Einsatz von KI-Systemen gewahrt werden müssen. Wir empfehlen jedem Unternehmen, das KI nutzt, diese Orientierungshilfe als Ausgangspunkt für die eigene KI-Richtlinie heranzuziehen.