KI-Einsatz bei externen Dienstleistern

Künstliche Intelligenz ist längst in vielen Geschäftsprozessen angekommen. Die KI in der Auftragsverarbeitung wird dabei für Unternehmen zunehmend zu einem wichtigen Thema. Während viele Organisationen den eigenen KI-Einsatz durch Richtlinien und Schulungen steuern, bleibt häufig unbeachtet, wie externe Dienstleister personenbezogene Daten mithilfe von KI verarbeiten.

Gerade in der Auftragsverarbeitung entstehen schnell Risiken. Unternehmen wissen oft nicht, welche KI-Systeme eingesetzt werden, ob Daten in Drittländer übermittelt werden oder wie KI-generierte Ergebnisse kontrolliert werden. Gleichzeitig bleibt die datenschutzrechtliche Verantwortung beim Auftraggeber.

Warum der KI-Einsatz von Dienstleistern relevant ist

Ein aktuelles Urteil des Landgerichts München I vom 11.11.2025 verdeutlicht die Herausforderungen beim Einsatz generativer KI. In dem Verfahren ging es um die Verwendung urheberrechtlich geschützter Inhalte in KI-Modellen und die Frage, wie diese Inhalte verarbeitet und ausgegeben wurden.

Unabhängig von den urheberrechtlichen Besonderheiten des Falls zeigt die Entscheidung ein grundlegendes Problem vieler KI-Anwendungen: Unternehmen verlieren schnell den Überblick darüber, welche Daten verarbeitet werden, wie Inhalte verwendet werden und ob rechtliche Vorgaben eingehalten werden.

Diese Risiken betreffen nicht nur die eigene Organisation, sondern insbesondere auch externe Dienstleister und deren Unterauftragnehmer

Die Verantwortung bleibt beim Auftraggeber

Viele Unternehmen gehen davon aus, dass ein externer Dienstleister die datenschutzrechtliche Verantwortung für seine Verarbeitungsvorgänge übernimmt. Tatsächlich bleibt die Verantwortung für die Verarbeitung personenbezogener Daten jedoch beim Verantwortlichen im Sinne der DSGVO. Auftragsverarbeiter handeln ausschließlich auf Weisung des Auftraggebers.

Wer personenbezogene Daten durch Dienstleister verarbeiten lässt, sollte deshalb genau wissen,

  • ob KI-Systeme eingesetzt werden,
  • welche Anwendungen genutzt werden und
  • wie personenbezogene Daten geschützt werden.

Besonders kritisch wird es, wenn Dienstleister kostenlose oder private KI-Accounts verwenden, personenbezogene Daten in externe KI-Systeme eingeben oder weitere Subunternehmer einbinden, ohne dass ausreichende Kontrollmöglichkeiten bestehen

Typische Risiken beim KI-Einsatz durch Dienstleister

Der Einsatz von KI in der Auftragsverarbeitung kann verschiedene Datenschutzrisiken mit sich bringen.

Zu den häufigsten Herausforderungen gehören:

  • fehlende Transparenz über eingesetzte KI-Systeme,
  • unklare Datenflüsse,
  • mögliche Drittlandübermittlungen,
  • unbekannte Datenweitergaben an Dritte.

Je mehr Dienstleister und Unterauftragnehmer an einer Verarbeitung beteiligt sind, desto schwieriger wird es nachzuvollziehen, wer tatsächlich Zugriff auf personenbezogene Daten hat und welche KI-Anwendungen im Hintergrund genutzt werden

Datenschutzgrundsätze gelten auch für KI-Nutzung

Der Einsatz von KI verändert die datenschutzrechtlichen Anforderungen nicht. Auch bei KI-gestützten Verarbeitungen gelten die Grundsätze der DSGVO.

Dazu gehören insbesondere:

  • Verarbeitung nur für festgelegte Zwecke,
  • Beschränkung auf notwendige Daten,
  • Sicherstellung einer passenden Rechtsgrundlage,
  • Gewährleistung der Datenrichtigkeit,
  • Schutz personenbezogener Daten,
  • Löschung nach Zweckerfüllung.

Besondere Risiken entstehen immer dann, wenn die Kontrolle über die Verarbeitung verloren geht. Dies kann beispielsweise bei der Nutzung von KI-Diensten außerhalb der Europäischen Union ohne geeignete Garantien für Drittlandtransfers der Fall sein.

Transparenz und Dokumentation schaffen Sicherheit

Transparenz spielt eine zentrale Rolle. Verantwortliche Unternehmen müssen Betroffene über die Verarbeitung personenbezogener Daten informieren können – auch dann, wenn KI-Systeme eingesetzt werden.

Besondere Aufmerksamkeit erfordern Prozesse mit erhöhtem Risiko, etwa bei:

  • automatisierten Entscheidungen,
  • Profiling,
  • der Verarbeitung besonderer Kategorien personenbezogener Daten.

In solchen Fällen müssen Verantwortliche die eingesetzten Verfahren nachvollziehen können. Zudem kann eine Datenschutz-Folgenabschätzung erforderlich werden. Dabei sind Unternehmen auf die Unterstützung ihrer Dienstleister angewiesen.

Ebenso wichtig ist eine aussagekräftige Dokumentation. Unternehmen sollten nachvollziehen können, welche KI-Systeme verwendet werden, wie Ergebnisse überprüft werden und welche technischen sowie organisatorischen Maßnahmen bestehen.

So steuern Sie den KI-Einsatz bei Dienstleistern

Unternehmen sollten den Einsatz von KI ausdrücklich in ihre Prüf- und Kontrollprozesse aufnehmen.

Sinnvolle Fragestellungen sind unter anderem:

  • Werden KI-Systeme eingesetzt?
  • Welche Anwendungen kommen konkret zum Einsatz?
  • Wo werden Daten verarbeitet?
  • Wie werden Ergebnisse kontrolliert?

Darüber hinaus empfiehlt es sich, bestehende Auftragsverarbeitungsverträge gezielt auf den Einsatz von KI zu prüfen und gegebenenfalls anzupassen. Dabei sollten insbesondere geregelt werden:

  • Art und Zweck der KI-gestützten Verarbeitung,
  • zulässige Einsatzbereiche,
  • technische und organisatorische Maßnahmen,
  • eingesetzte Unterauftragnehmer,
  • Kontroll- und Informationsrechte,
  • Unterstützung bei Betroffenenrechten und Dokumentationspflichten.

Regelmäßige Kontrollen sowie die Einbeziehung von Unterauftragnehmern helfen dabei, die erforderliche Transparenz entlang der gesamten Verarbeitungskette aufrechtzuerhalten.

Mitarbeitende nicht vergessen

Neben der Kontrolle externer Dienstleister sollten Unternehmen auch ihre eigenen Mitarbeitenden für den Umgang mit KI sensibilisieren.

Klare Vorgaben dazu, welche Informationen und insbesondere welche personenbezogenen Daten in KI-Systeme eingegeben werden dürfen, helfen dabei, Risiken zu reduzieren und die Einhaltung der Datenschutzvorgaben sicherzustellen.

Fazit: KI erfordert Kontrolle entlang der gesamten Verarbeitungskette

Der Einsatz von KI endet nicht an den eigenen Unternehmensgrenzen. Wer personenbezogene Daten durch Dienstleister verarbeiten lässt, muss nachvollziehen können, welche KI-Systeme zum Einsatz kommen, wie Daten verarbeitet werden und welche Unterauftragnehmer beteiligt sind.

Transparenz, klare Verantwortlichkeiten, wirksame Kontrollmechanismen und eine sorgfältige Dokumentation bilden die Grundlage für einen datenschutzkonformen Umgang mit KI in der Auftragsverarbeitung. Nur so behalten Unternehmen die Kontrolle über ihre Datenverarbeitungsprozesse und können ihren gesetzlichen Verpflichtungen nachkommen

Sie sind mit Ihrer aktuellen Datenschutzkultur unzufrieden? Fordern Sie jetzt eine unverbindliche Beratung an!

Jetzt Angebot einholen

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.
ZurückWeiter

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Entgelttransparenz und Datenschutz: Warum Unternehmen beide Themen gemeinsam...Illustration zum Thema Entgelttransparenz und Datenschutz: Auf einem Schreibtisch liegen Dokumente mit Diagrammen zur Entgelttransparenz, daneben ein Vorhängeschloss als Symbol für den Schutz von Gehaltsdaten. Im Hintergrund sind Ordner mit den Beschriftungen „Entgeltdaten“ und „DSGVO“ sowie Symbole für Transparenz, Fairness und Datenschutz zu sehen.