DSGVO und LLMs: Was bei KI-Nutzung im Unternehmen rechtlich gilt

Wenn Mitarbeiter ChatGPT, Claude oder Gemini nutzen, entsteht kein Graubereich — es entsteht eine klare Rechtslage. Die meisten Unternehmen kennen sie nur nicht.

Rechtsgrundlage: Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Wenn ein Mitarbeiter einen Prompt mit Kundendaten schreibt, ist das eine Verarbeitung. Die möglichen Grundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a): Praktisch nicht umsetzbar für spontane Nutzung. Wer holt vor jedem Prompt die Einwilligung aller betroffenen Personen ein?

Vertragserfüllung (Art. 6 Abs. 1 lit. b): Greift wenn die KI-Nutzung direkt zur Vertragserfüllung mit der betroffenen Person gehört. Enger Anwendungsbereich.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Der pragmatische Weg für die meisten B2B-Fälle — aber ihr müsst eine Interessenabwägung dokumentieren. "Wir haben berechtigtes Interesse" als Satz reicht nicht.

Die Rechtsgrundlage muss vor der Verarbeitung feststehen, nicht nachträglich.

Art. 28 DSGVO: AVV mit jedem Anbieter

Wenn ein LLM-Anbieter in eurem Auftrag personenbezogene Daten verarbeitet, ist er Auftragsverarbeiter. Das löst die AVV-Pflicht aus.

Das Problem: Viele Unternehmen nutzen die kostenlosen oder günstigen Tiers — und die haben keinen AVV oder schließen Trainingsdatennutzung nicht aus. Wer ChatGPT Free nutzt, hat keinen gültigen AVV.

Beschäftigtendaten: §26 BDSG

Wenn es um Daten von Mitarbeitern geht — Leistungsbeurteilungen, HR-Prozesse, Gehaltsdaten — gilt zusätzlich §26 BDSG. Der schränkt die Verarbeitung auf das für das Beschäftigungsverhältnis Erforderliche ein.

Ein Beispiel aus der Praxis: HR nutzt ChatGPT um Leistungsbeurteilungen zu formulieren — inklusive konkreter Mitarbeiterdaten. Das ist eine Verarbeitung von Beschäftigtendaten bei einem externen Anbieter. Dafür braucht ihr entweder eine klare Erforderlichkeit oder eine Betriebsvereinbarung.

Betriebsräte haben hier Mitbestimmungsrechte (§87 BetrVG). Wer KI-Tools im HR-Bereich einführt ohne den Betriebsrat einzubeziehen, sitzt auf einer Zeitbombe.

Right to Erasure vs. LLM-Realität

Art. 17 DSGVO gibt Betroffenen das Recht auf Löschung. Das kollidiert mit der Natur von LLMs:

Wenn Daten ins Training eingeflossen sind, lassen sie sich nicht "löschen" — das Modell müsste neu trainiert werden. Die meisten kommerziellen Anbieter schließen Training auf Nutzerdaten für Enterprise-Pläne aus, aber das müsst ihr vertraglich sicherstellen.

Was tun wenn Mitarbeiter trotzdem privat ChatGPT nutzen?

Das tun sie. Immer. "Bring Your Own AI" ist das neue "Bring Your Own Device".

Drei realistische Optionen:

Nichts tun: Worst case. Ihr wisst dass es passiert, habt keine Kontrolle, haftet trotzdem.

Sperren: Technisch umsetzbar. Erzeugt Schatten-IT — Mitarbeiter nutzen Mobilfunk. Löst das Problem nicht, verschiebt es.

Kanal anbieten und kontrollieren: Stellt ein genehmigtes LLM-Tool bereit, das die Datenschutzanforderungen erfüllt. Klärt auf was erlaubt ist. Kontrolliert technisch, dass keine PII die Infrastruktur verlässt. Das ist die einzige Option die in der Praxis funktioniert.

Praktische Checkliste

• Rechtsgrundlage nach Art. 6 DSGVO dokumentiert
• AVV mit dem Anbieter abgeschlossen (nicht nur per Checkbox)
• AVV schließt Training auf euren Daten aus
• Transfer Impact Assessment für US-Anbieter durchgeführt
• Beschäftigtendaten-Prozesse separat geprüft (§26 BDSG)
• Betriebsrat einbezogen falls relevant
• Retention Policy für Logs definiert

Fazit

DSGVO und LLMs sind lösbar — aber nicht durch Ignorieren. Die meisten Punkte der Checkliste sind einmalige Arbeit, kein laufender Aufwand. Wer früh strukturiert vorgeht, kann KI produktiv nutzen ohne dass der Datenschutzbeauftragte jede Woche neue Brandherde löscht.