Künstliche Intelligenz (KI) steht wie kaum eine andere Technologie im Spannungsfeld zwischen Innovation und Regulierung. In Deutschland zeigt sich dieses Spannungsfeld besonders deutlich – nicht zuletzt wegen der hohen gesellschaftlichen und rechtlichen Anforderungen an den Datenschutz (wie sie sich etwa in der strengen Auslegung der DSGVO und der Bedeutung von Betriebsräten widerspiegeln). Während in vielen Ländern datenbasierte Innovationen schnell vorangetrieben werden, steht hierzulande oft zuerst die Frage im Raum: "Dürfen wir das überhaupt?"
Diese Haltung ist verständlich – und historisch gewachsen. Doch sie führt in der Praxis regelmäßig zu Blockaden: Anwendungen werden nicht erprobt, Potenziale bleiben ungenutzt, technische Entwicklungen wandern ins Ausland ab. Dabei wäre ein anderer Weg möglich: Datenschutz und KI nicht als Gegensätze zu behandeln, sondern als gemeinsame Gestaltungsaufgabe.
Auch derAI Act der Europäischen Union bringt neue Impulse: Er schafft erstmals verbindliche Regeln für den Einsatz von KI – und differenziert dabei klar zwischen risikobehafteten und unproblematischen Anwendungen. ontolux hat dazu eine vertiefende Einordnung und Handlungsempfehlung für Organisationen veröffentlicht.
Damit entstehen für Organisationen neue Spielräume, aber auch neue Verantwortlichkeiten. Gerade deshalb ist jetzt der richtige Zeitpunkt, um Datenschutz nicht isoliert zu betrachten, sondern in Verbindung mit unternehmensweiten KI-Strategien.
Datenschutz als Ausgangspunkt – nicht als Hürde
Deutschland verfügt über eine der konsequentesten Datenschutzkulturen weltweit. Das ist kein Nachteil, sondern ein wichtiger Standortfaktor: Wer hier Lösungen entwickelt, die höchsten datenschutzrechtlichen Anforderungen standhalten, kann sie oft problemlos auch in anderen Märkten einsetzen.
In der Praxis sehen wir, dass viele Organisationen das Thema KI mittlerweile strukturiert angehen – etwa durch interne Lenkungskreise, durch die Entwicklung eigener KI-Guidelines oder durch den frühzeitigen Austausch mit dem Betriebsrat. Gerade dieser interdisziplinäre Zugang – aus Fachabteilung, IT, Datenschutz, Compliance und Mitbestimmung – schafft die Grundlage für tragfähige Lösungen, da frühzeitig Akzeptanz geschaffen und potenzielle Hürden im Vorfeld ausgeräumt werden.
Besonders im öffentlichen Sektor und in stark regulierten Branchen (wie Medizin oder Finanzwesen) ist Datenschutz kein Nebenthema, sondern Teil der Grundarchitektur. Organisationen, die KI einsetzen wollen, stehen daher nicht vor der Frage, ob Datenschutz relevant ist – sondern wie er produktiv mitgedacht werden kann.
KI braucht Daten – aber nicht um jeden Preis
Der häufig gehörte Satz „KI funktioniert nur mit Daten“ ist richtig – aber er greift zu kurz. Denn nicht jede Form von Datennutzung ist gleich sensibel. Zwischen vollständig anonymisierten Massendaten und personenbezogenen Einzelinformationen liegen viele technisch wie rechtlich differenzierbare Stufen – etwa von aggregierten Wetterdaten bis zu individuellen Gesundheitsinformationen.
Ein Modell muss nicht wissen, wer etwas gesagt hat – es reicht oft, was gesagt wurde. Und es braucht nicht zwingend Echtzeit-Zugriff auf sensible Systeme, wenn die Daten vorverarbeitet, pseudonymisiert oder synthetisch bereitgestellt werden.
Das bedeutet: Datenschutz muss nicht Innovation verhindern. Aber Innovation muss Datenschutz ernst nehmen – technisch, organisatorisch und konzeptionell.
Typische Spannungsfelder in der Praxis
In unserer Beratungspraxis begegnen uns immer wieder ähnliche Fragen:
- Interne Nutzung von Sprachmodellen: Dürfen vertrauliche Inhalte durch KI-Modelle verarbeitet werden? Welche Hosting-Formen sind datenschutzrechtlich vertretbar?
- Protokollanalyse und Dokumentenklassifikation: Wie lassen sich interne Kommunikationsdaten analysieren, ohne Persönlichkeitsrechte zu verletzen?
- Externe Dienste und APIs: Welche Risiken entstehen bei der Nutzung US-amerikanischer Plattformanbieter – und wie lassen sie sich kontrollieren?
Diese Fragen sind berechtigt. Aber sie lassen sich beantworten – nicht pauschal, sondern im konkreten Projektzuschnitt.
Technische und organisatorische Lösungsansätze
Wer KI und Datenschutz zusammendenken will, braucht ein solides Fundament. Vier Bausteine sind dabei zentral:
- Privacy by Design & Default: Datenschutz ist kein nachgelagertes Kontrollinstrument, sondern Teil der Architektur. Schon beim Datenzugang und der Modellwahl lassen sich Schutzmechanismen einbauen. Eine gute Einführung in das Prinzip bietet die Orientierungshilfe der Datenschutzkonferenz.
- Anonymisierung und Pseudonymisierung: Durch gezielte Transformation lassen sich viele Daten nutzbar machen, ohne Personenbezug herzustellen. Auch synthetische Daten gewinnen an Bedeutung.
- Transparenz und Auditierbarkeit: Modelle sollten nachvollziehbar, dokumentiert und überprüfbar sein – sowohl für interne Datenschutzbeauftragte als auch für externe Stellen.
- Datenhoheit durch Hostingmodelle: Wer Modelle selbst betreibt oder in souveränen Cloud-Umgebungen hostet, behält Kontrolle über Datenflüsse und Zugriffsrechte. ontolux stellt dazu verschiedene Hosting-Strategien für Sprachmodelle vor – von Self-Hosting bis zu DSGVO-konformen Cloud-Anbietern in Europa.
Fazit: Nicht Datenschutz blockiert KI – sondern die späte, schlecht durchdachte Umsetzung.
Wer KI-Modelle verantwortungsvoll einsetzen will, muss Datenschutz nicht als Bremse, sondern als Designprinzip verstehen. Richtig gedacht kann er sogar ein Wettbewerbsvorteil sein – gerade in Europa.
Zudem zeigt die Praxis: In sehr vielen Anwendungsfällen ist die Verarbeitung sensibler Daten gar nicht erforderlich, um ein Projektziel zu erreichen. Häufig reichen strukturierte Metadaten, anonymisierte Textbausteine oder synthetische Datensätze aus, um KI-Modelle effektiv zu trainieren oder Assistenzfunktionen bereitzustellen. Und selbst dort, wo sensible Daten im Spiel sind, lässt sich durch geeignete Hosting-Optionen – etwa Self-Hosting oder europäische Cloud-Infrastrukturen – sicherstellen, dass Organisationen die volle Kontrolle über ihre Daten behalten.
Unternehmen, die KI-Anwendungen entwickeln oder evaluieren, sollten den Dialog mit Datenschutzverantwortlichen frühzeitig suchen – nicht aus Pflichtgefühl, sondern aus Pragmatismus. Denn wer Datenschutz aktiv mitdenkt, erkennt schnell: Viele Bedenken lassen sich durch gute Architektur, saubere Prozesse und geeignete Hostingmodelle auflösen. Statt sich blockieren zu lassen, lohnt es sich, früh die Weichen so zu stellen, dass Datenschutz nicht im Weg steht – sondern schlicht kein Problem mehr ist.
ontolux unterstützt Organisationen dabei, KI-Systeme datenschutzkonform, leistungsfähig und zukunftssicher zu gestalten.
Headergrafik erstellt mit DALL:E
Datum: 30.06.2025
Sprechen Sie uns an
Andreas Nehls
Andreas unterstützt die Neofonie Gruppe seit März 2024 als Account Manager. Aus den Gesprächen mit aktuellen und potenziellen Kunden sowie Veranstaltungen rund um die Themen KI, Digitalisierung, Projektmanagement und Innovation ergeben sich immer wieder spannende Themen, über die er hier schreibt. Dabei liegt der Fokus weniger auf technischen Details, sondern vielmehr auf den geschäftlichen, rechtlichen und regulatorischen Aspekten.