RATGEBER › DATENSCHUTZ & KI-SCHULUNG

Datenschutz- und KI-Schulung für Mitarbeiter – vom zertifizierten DSB

DSGVO-Schulungspflicht und KI-Kompetenzpflicht nach Art. 4 EU AI Act – zwei Anforderungen, ein Anbieter, ein belastbarer Nachweis.

Die Doppelpflicht: DSGVO-Schulung + KI-Kompetenz

Unternehmen muessen Mitarbeiter nach DSGVO sensibilisieren und schulen (Art. 39 DSGVO + Rechenschaftsprinzip Art. 5 Abs. 2 DSGVO).

Seit 02.02.2025 (in Kraft) gilt zusaetzlich Art. 4 EU AI Act: Anbieter und Betreiber von KI-Systemen muessen sicherstellen, dass ihr Personal ueber ausreichende KI-Kompetenz verfuegt. Durchsetzung ab 02.08.2026 (Marktaufsicht).

Das Ergebnis: zwei dokumentationspflichtige Anforderungen – die sich effizient zusammenlegen lassen.

Hinweis: Digital Omnibus

Der Digital Omnibus plant eine Abschwachung von Art. 4, ist aber noch kein geltendes Recht (Stand: Juni 2026, vorlaeufige Einigung 07.05.2026). Bis zur Amtsblatt-Veroeffentlichung gilt Art. 4 unveraendert. Nachweis jetzt aufzubauen ist richtig.

Warum Datenschutz-Schulung und KI-Schulung zusammengehoeren

Jedes KI-System, das personenbezogene Daten verarbeitet, ist gleichzeitig ein datenschutzrechtliches Thema. Mitarbeiter brauchen beides:

  • Welche personenbezogenen Daten ins KI-System fliessen und was das datenschutzrechtlich bedeutet
  • Wie KI-Outputs kritisch bewertet werden und Automatisierungsbias vermieden wird (DSGVO Art. 22)
  • Welche Unternehmensrichtlinien fuer KI-Tools gelten und wie sie dokumentiert werden
  • Wann und wie ein KI-Einsatz meldepflichtig oder dokumentationspflichtig ist

Mehr zum Schulungsablauf: KI-Schulung nach EU AI Act mit DSB-Nachweis.

Was der DSB anders macht als ein Standard-Anbieter

Der entscheidende Unterschied liegt nicht im Inhalt, sondern in der Glaubwuerdigkeit des Nachweises.

Standard-Anbieter

  • Automatisch generiertes Kurs-Zertifikat
  • Kein Compliance-Kontext
  • Oft ohne DSGVO-Komponente

DSB-Bescheinigung von max2

  • DSB-Unterschrift + QR-Verifikation
  • Kompetenztest mind. 80%
  • DSGVO-KI-Schnittstelle abgedeckt
  • Belastbar bei Behoerden, Auftraggebern, Versicherungen

Die Bescheinigung ist eine Teilnahme- und Schulungsbescheinigung – keine amtliche, akkreditierte Konformitaetsbewertung. Ihr Wert liegt in der DSB-Glaubwuerdigkeit als unabhaengiger Compliance-Zeuge.

Fuer laufende Compliance: KI-Governance & DSB-Mandat →

AGG § 22 / § 15

AGG-Bewerber-Vorauswahl: Wenn KI über Menschen entscheidet

Wer KI bei der Bewerberauswahl einsetzt, bewegt sich im Anwendungsbereich des Allgemeinen Gleichbehandlungsgesetzes (AGG). Der EU AI Act stuft Systeme zur Personalbeschaffung und Bewerberauswahl in Anhang III Nr. 4 als Hochrisiko-Systeme ein. Das AGG gilt ungeschmälert — KI ändert nichts an den Beweislastregeln, sie werden durch die technischen Besonderheiten sogar verschärft.

§ 22 AGG — Beweislastumkehr bei Indizien

Wenn im Streitfall die eine Partei Indizien beweist, die eine Benachteiligung wegen eines in § 1 AGG genannten Grundes vermuten lassen, trägt die andere Partei die Beweislast dafür, dass kein Verstoß vorliegt — oder eine Rechtfertigung nach §§ 8–10 AGG besteht.

Das ist eine Beweiserleichterung, keine volle Umkehr. Bei KI-gestützter Auswahl genügen schon Indizien — etwa eine statistische Diskrepanz in den Shortlist-Ergebnissen — um die Beweislast auf den Arbeitgeber zu verschieben.

§ 15 AGG — Schadensersatz und Entschädigung

Abs. 1: materieller Schadensersatz. Abs. 2: immaterieller Schadensersatz (Entschädigung). Bei Nichteinstellung ist die Entschädigung auf höchstens drei Monatsgehälter begrenzt — wenn der Bewerber auch bei benachteiligungsfreier Auswahl nicht eingestellt worden wäre.

Zwei-Monats-Ausschlussfrist: Der Anspruch muss innerhalb von zwei Monaten schriftlich geltend gemacht werden (§ 15 Abs. 4 AGG). Wer das versäumt, verliert den Anspruch unabhängig vom Sachverhalt.

EU AI Act — Anhang III Nr. 4 (Hochrisiko)

KI-Systeme zur Personalbeschaffung, Bewerberauswahl und Personalbewertung sind Hochrisiko-Systeme. Pflichten nach Art. 9–15 KI-VO: Risikoanalyse, Datenqualitätsprüfung, menschliche Aufsicht, technische Protokollierung, Transparenz gegenüber Betroffenen.

Bislang gibt es keinen EuGH-Leitfall zur KI-gestützten Bewerberauswahl. Die allgemeinen Grundsätze gelten entsprechend: EuGH C-54/07 Feryn (2008, diskriminierende Stellenausschreibung begründet Vermutung); EuGH C-415/10 Meister (2012, Auskunftsverweigerung als Indiz).

PRAXISTIPP

Dokumentierter Nachweis statt Beweisnot

KI-Einsatz protokollieren, menschliche Aufsicht dokumentieren, Bewertungskriterien offenlegen. Wer die AGG-Konformität seines KI-Systems dokumentiert nachweist, hat im Streitfall die Beweislast auf seiner Seite — der Nachweis ist die beste Verteidigung.

  • Bewertungskriterien schriftlich definiert und dokumentiert
  • Menschliche Endverantwortung (Human-in-the-Loop) nachweisbar
  • Bias-Tests vor Inbetriebnahme und in regelmäßigen Abständen
  • Protokollierung der Auswahlergebnisse (Art. 12 KI-VO)

Nachweis statt Angst: Ein dokumentierter AGG-konformer KI-Einsatz schützt im Streitfall — nicht weil Strafen drohen, sondern weil der Nachweis zählt.

Weiterführend: KI-Schulung EU AI Act → · KI-Governance & DSB-Mandat →

Art. 50 KI-VO

KI-Kennzeichnung: 5 konkrete Beispiele aus dem Arbeitsalltag

Art. 50 EU AI Act verlangt, dass bestimmte KI-generierte Inhalte als maschinell erstellt erkennbar gekennzeichnet werden müssen. Die Pflicht gilt ab 02.08.2026 (Art. 113 Hauptstichtag); für Systeme, die bereits vorher im Markt waren, greift ab dem 02.12.2026 zusätzlich ein Watermarking nach Art. 50 Abs. 2. DACH: Deutschland und Österreich unmittelbar, Schweiz extraterritorial bei EU-Bezug.

1. KI-generierter Text

Eine ChatGPT-Antwort, die in Kundenkommunikation übernommen wird, muss als KI-generiert erkennbar sein. Wer KI-Text ungekennzeichnet als menschliche Äußerung ausgibt, riskiert nicht nur Art. 50, sondern auch wettbewerbsrechtliche Folgen. Dokumentation: KI-Einsatz, Modell, Prompt-Verantwortlicher, menschliche Prüfung.

2. Deepfake / KI-generiertes Bild

Ein KI-generiertes Foto in Werbung oder öffentlicher Kommunikation muss als inhaltlich synthetisch gekennzeichnet sein. Das gilt sowohl für vollständig synthetische Bilder als auch für signifikante KI-Bearbeitungen. Nachweis: Bildherkunft, KI-Tool, Freigabeprozess dokumentieren.

3. Chatbot als Conversation-Partner

Ein KI-Chatbot muss für den Nutzer deutlich als KI-Begleiter sichtbar sein. Versteckte KI in Kunden-Support oder Beratung ist nicht zulässig — der Nutzer muss wissen, dass er mit einer Maschine spricht. Dokumentation: Hinweis im Chat-Fenster, Protokollierung der Offenlegung.

4. KI-generiertes Audio (synthetische Stimme)

Eine synthetisch erzeugte Stimme — etwa für Werbespots oder Telefonansagen — muss als KI-generiert gekennzeichnet werden. Stimmen-Klons realer Personen sind zusätzlich rechtlich besonders sensibel (Recht am eigenen Bild, Namensrecht, Wettbewerbsrecht).

5. KI-generiertes Video

Ein vollständig oder wesentlich KI-generiertes Video — Erklärvideo, Werbeclip, Schulungssequenz — muss als KI-generiert erkennbar gekennzeichnet sein. Deepfake-Videos mit realen Personen sind ohne Einwilligung unzulässig. Nachweis: KI-Einsatz dokumentieren, Einwilligungen bei Personenauftritt.

PRAXISTIPP

Kennzeichnung dokumentieren — nicht weil Strafen drohen, sondern weil der Nachweis zählt.

Für jede KI-generierte Publikation festhalten: welches KI-System, welcher Prompt-Verantwortliche, welche menschliche Prüfung, welche Kennzeichnung verwendet. Eine kurze Checkliste im Team reicht — der Nachweis ist die beste Verteidigung.

Weiterführend: KI-Schulung EU AI Act → · Art. 4-Schulungspflicht →

§ 2 UrhG

Urheberrecht bei KI-Inhalten: Wem gehört der Output?

KI allein erzeugt kein urheberrechtlich geschütztes Werk. § 2 UrhG verlangt eine menschliche Schöpfungshöhe — ein rein maschineller Output erfüllt diese Voraussetzung nicht. Erst die menschliche Gestaltung (Prompt-Engineering, Redaktion, Auswahl) kann einen urheberrechtlichen Schutz begründen, und auch dann nur für den menschlichen Anteil.

Marketing-Beispiel: KI-Copy für einen Werbeflyer

Ein Mitarbeiter generiert mit ChatGPT den Text für einen Werbeflyer, überarbeitet ihn, fügt eigene Formulierungen hinzu und gibt ihn frei. Urheberrechtlich geschützt ist nur der menschliche Anteil — die Prompts, die redaktionelle Überarbeitung, die Auswahl. Der reine KI-Output bleibt frei.

Praktisch heißt das: Das Unternehmen kann den Flyer nutzen, aber ein alleiniges Urheberrecht am KI-generierten Text besteht nicht. Dritte könnten ähnliche KI-Outputs verwenden — der Schutz greift nur für die individuell-menschliche Fassung.

URHR-CHECK-HINWEIS

Bei KI-generiertem Marketing-Material sollten Sie dokumentieren, wer den Prompt lieferte und wer die Redaktion übernahm. Das ist kein rein akademischer Nachweis — im Streitfall um Urheberrecht oder Schutzrechtsverletzung hilft diese Dokumentation, den menschlichen Schöpfungsbeitrag zu belegen.

Hinweis: Diese Darstellung betrifft den Output (KI-Inhalte). Die Frage der Trainingsdaten ist ein anderes Thema und gehört in den Verantwortungsbereich des KI-Anbieters (z. B. OpenAI).

Nachweis statt Angst: Wer Prompt und Redaktion dokumentiert, hat im Urheberrechtsstreit den menschlichen Beitrag belegt — der Nachweis zählt.

Weiterführend: KI-Schulung EU AI Act → · KI-Governance & DSB-Mandat →

Art. 2 Abs. 10 AI Act

Privatnutzung: Die Ausnahme für den privaten Haushalt

Art. 2 Abs. 10 EU AI Act enthält eine eng gefasste Ausnahme: KI-Systeme, die unter ausschließlicher Kontrolle einer natürlichen Person im privaten Haushalt zu nicht-beruflichen Zwecken eingesetzt werden, fallen nicht in den Anwendungsbereich der Verordnung. Das ist bewusst eng gefasst.

Was die Ausnahme NICHT deckt

  • ×Unternehmen — jede berufliche Nutzung fällt unter die KI-VO, ohne Ausnahme.
  • ×Freelancer und Selbstständige — auch Ein-Personen-Unternehmen sind beruflich, nicht privat.
  • ×Betreiber von KI-Systemen im Unternehmen — die Betreiberpflichten gelten unabhängig von der Nutzerseite.

Bleiben verboten — auch im Privaten

Zwei Praktiken fallen nicht unter die Privatnutzung-Ausnahme und bleiben weiterhin verboten: Emotion-Erkennung am Arbeitsplatz (Art. 5 Abs. 1 lit. f) und Social Scoring (Art. 5 Abs. 1 lit. c). Die Privatausnahme ändert an diesen Verboten nichts.

PRAXISTIPP

Nachweis statt Angst: Die Ausnahme gilt nur im Privathaushalt.

Für jeden beruflichen KI-Einsatz — Freelancer, Kleinunternehmen, Konzern — gilt die KI-VO voll. Die Dokumentation des KI-Einsatzes ist im beruflichen Kontext der belastbare Nachweis, nicht die Privatausnahme.

Weiterführend: Art. 4-Schulungspflicht → · KI-Governance & DSB-Mandat →

KI-SCHULUNG MIT DSB-NACHWEIS

Datenschutz + KI-Kompetenz – ein Nachweis, ein Anbieter

DSB-bescheinigte KI-Schulung ab 49 EUR. Peter Fuersicht, zertifizierter externer DSB.

Haeufige Fragen

Ja. DSGVO-Schulungen decken den Datenschutz ab, nicht die KI-Kompetenz nach Art. 4 EU AI Act. Eine kombinierte Schulung vom DSB: ein Schulungsblock, zwei Nachweise. Mehr: KI-Schulung EU AI Act.

Jede Privatperson oder Organisation – es gibt keine Akkreditierungspflicht fuer Art.-4-Schulungen. Eine Bescheinigung vom zertifizierten DSB ist bei Behoerden, Auftraggebern und Versicherungen besonders belastbar.

Schulungsthemen, Teilnehmername, Kompetenztestbestehen (mind. 80%), Name und Qualifikation des Ausstellers, Datum und Unterschrift. Unsere DSB-Bescheinigung enthaelt zusaetzlich QR-Code-Verifikation.

WEITERE RATGEBER

Digital Omnibus und Art. 4 – was gilt jetzt?

Digital Omnibus und Art. 4 EU AI Act – was jetzt gilt und warum der Nachweis trotzdem aufgebaut werden sollte.
Ratgeber lesen →

KI-Schulung kostenlos vs. DSB-Nachweis

Kostenlose KI-Schulung oder DSB-Bescheinigung – was bei Behoerden und Auftraggebern wirklich zaehlt.
Ratgeber lesen →

Offizielle Quellen und weiterführende Informationen

Die hier beschriebenen Regelungen beruhen auf der KI-Verordnung (EU) 2024/1689 und der nationalen Umsetzung in Deutschland. Verbindliche Rechtstexte und behördliche Informationen finden Sie bei den zuständigen Stellen:

Hinweis: Der nationale Rechtstext zum KI-MIG lag zum Redaktionsschluss als Kabinettsbeschluss vom 11.02.2026 vor und war noch nicht durch Bundestag und Bundesrat verabschiedet. Maßgeblich ist der amtliche Wortlaut nach Verkündung im Bundesgesetzblatt.