Was das BayLDA Unternehmen zu DSGVO & KI rät

14. Mai 2025

Was das BayLDA Unternehmen zu DSGVO & KI rätWelche Herausforderungen sehen Unternehmen bei der DSGVO, was bedeutet die KI-Verordnung für den Unternehmensalltag, und wie geht es mit dem Datenaustausch mit den USA weiter? Andreas Sachs vom BayLDA gibt fundierte Einblicke – wir fassen das Interview für Datenschutzverantwortliche und Unternehmen zusammen.

Datenschutz im Wandel der Zeit

Die Datenschutz-Grundverordnung (DSGVO) ist mittlerweile über sechs Jahre alt – doch viele Unternehmen, insbesondere kleine und mittlere (KMU), fühlen sich nach wie vor überfordert. Gleichzeitig steht mit der KI-Verordnung (AI Act) ein weiterer Rechtsrahmen in den Startlöchern, der erneut für Unsicherheit sorgt. Im Interview mit dem IHK-Magazin beleuchtet Andreas Sachs, Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), zentrale Fragen zu beiden Themen sowie zur Harmonisierung des Datenschutzes in der EU und zur Datenübermittlung in die USA.

DSGVO: Mythen und Missverständnisse

Viele Unternehmen empfinden die DSGVO als bürokratische Hürde. Andreas Sachs widerspricht: Die DSGVO biete praxisnahe Lösungen für jede Unternehmensgröße – von Konzernen bis zu Ein-Personen-Betrieben. Häufig seien es Mythen und mangelnde Aufklärung, die Unsicherheit schaffen. Besonders für KMU sei die Umsetzung oft einfacher als angenommen – auch ohne externe Berater.

BayLDA: Keine Bußgelder für KMU?

Das BayLDA verfolgt einen klaren Ansatz: Beratung statt Sanktion. Die Behörde legt Wert darauf, Unternehmen zu unterstützen, bevor es zu Datenschutzverstößen kommt. Doch die Ressourcen sind knapp – die Zahl der Beschwerden hat sich seit Inkrafttreten der DS-GVO versechsfacht, die der Sicherheitsvorfälle sogar verzwanzigfacht. Die Angst vor Bußgeldern ist weit verbreitet – zu Unrecht. Sachs betont, dass bei rund 600.000 Verantwortlichen in Bayern jährlich nur wenige Dutzend Bußgelder verhängt werden. Diese treffen fast ausschließlich schwerwiegende oder vorsätzliche Verstöße. Kleinunternehmer oder KMU, die in guter Absicht Fehler machen, müssen in der Regel keine Sanktionen befürchten.

KI-Verordnung: Verhältnismäßigkeit und Rechts(un)sicherheit

Die KI-Verordnung wird als nächste große Regulierung wahrgenommen. Sachs beruhigt: Die Mehrheit der KI-Nutzungen in Unternehmen sei nicht betroffen, da sie außerhalb des Hochrisiko-Bereichs liegt. Entscheidend sei die Unterscheidung: Bin ich Anbieter (z. B. Entwickler eines Bewerbungssystems) oder Nutzer (z. B. Betreiber eines KI-Chatbots)? Letztere müssen in der Regel nur wenige Anforderungen an insbesondere die Transparenz erfüllen. Als Entwickler eines Hochrisiko-Produkts sehe die Sache komplett anders aus, so Sachs. Das BayLDA hat für den datenschutzkonformen Einsatz von künstlicher Intelligenz im Unternehmen eine Checkliste mit Prüfkriterien nach der DSGVO erstellt.

Doch eine Herausforderung bleibt: Es gibt derzeit keine zuständige KI-Aufsichtsbehörde in Deutschland. Das hemmt Investitionen und sorgt für Unsicherheit. Sachs befürwortet, Datenschutz- und KI-Aufsicht zu verzahnen, um Synergien zu schaffen. Ein BayLDA-KI-Beauftragter soll vorerst die Beratung stärken.

DSGVO und KI: Kein Widerspruch

Die Annahme, Datenschutz verhindere KI, ist laut Sachs unbegründet. Beide Rechtsrahmen – DSGVO und KI-Verordnung – dienen dem Schutz der Grundrechte. Gleichzeitig ermöglichen sie Innovation durch einheitliche Regeln und freien Datenverkehr im Binnenmarkt. Auch das Training großer Sprachmodelle sei DSGVO-konform möglich. Jedenfalls solange die Prinzipien der Rechtmäßigkeit, Transparenz und Datenminimierung beachtet werden.

Datentransfer in die USA: Ruhe bewahren

Im Hinblick auf mögliche Deregulierungstendenzen in den USA mahnt Sachs zur Besonnenheit. Solange kein neuer Angemessenheitsbeschluss notwendig wird, können Cloud-Dienste wie gewohnt genutzt werden. Sollte sich die Rechtslage ändern, werde das BayLDA rechtzeitig informieren. Das Amt engagiert sich zudem aktiv im transatlantischen Dialog, etwa über den Deutsch-Amerikanischen Datenschutztag.

Fazit: Nicht auf KI verzichten

Für Datenschutzbeauftragte und Unternehmen bedeutet all das, dass die Lage oft weniger dramatisch ist als gedacht – aber sie erfordert aktives Handeln. Die Umsetzung der DSGVO ist machbar, der Einsatz von KI im Unternehmen kein rechtliches Minenfeld, solange Verantwortlichkeiten und Pflichten geklärt sind. Wichtig ist, sich zu informieren, transparente Prozesse zu gestalten und bei Unsicherheiten Unterstützung suchen. Wer KI nutzt, sollte nicht zögern, sondern jetzt mit dem Aufbau datenschutzkonformer Prozesse beginnen. Damit auch Sie KI-Anwendungen sicher und rechtskonform einsetzen, unterstützt Sie der KINAST KI-Beauftragte bei rechtlicher Prüfung, Vertragsgestaltung und Compliance.

Kategorien: Aufsichtsbehördliche Maßnahmen · Bußgeld · Datenschutz in den USA · Datenschutz International · Datenschutzbeauftragte · DSGVO · EU-Datenschutzgrundverordnung · Europäisches Recht · Internationaler Datenschutz · KI-News · KI-Verordnung · Künstliche Intelligenz · Verantwortliche