DSGVO-konform KI nutzen: Leitfaden für KMUs

DSGVO und KI: Was Geschäftsführer jetzt wissen müssen

DSGVO-konform KI nutzen heißt: Cloud-KI wie ChatGPT oder Microsoft Copilot erfordert einen Auftragsverarbeitungsvertrag (AVV), eine Drittlandabsicherung und Transparenzhinweise. Lokale KI auf den eigenen Servern vereinfacht die Compliance dagegen erheblich, weil keine Daten das Unternehmen verlassen. DSGVO-konforme KI-Nutzung gehört zur Datenschutz-Compliance und ist Teil jedes KI-Einführungsprojekts im Mittelstand.

Der Grund, warum das Thema Chefsache ist: Als Geschäftsführer trägst du die persönliche Haftung für den Datenschutz in deinem Unternehmen. Bei den meisten Cloud-KI-Diensten fließen deine Unternehmensdaten auf Server in den USA. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Dazu kommen Reputationsschäden und mögliche Schadensersatzansprüche Betroffener. Wenn du noch am Anfang deiner KI-Einführung stehst, hilft dir zuerst der Praxisguide zu KI im Mittelstand beim strategischen Überblick.

Diese Einordnung kommt aus der Beratungspraxis von Jannis Gerlinger, Geschäftsführer der Jannis Gerlinger GmbH und seit knapp 20 Jahren in der Digitalbranche: Die Wahl zwischen Cloud und lokal entscheidet oft schon im ersten Gespräch, weil sie festlegt, wie viel DSGVO-Aufwand überhaupt anfällt. Prüfe mit unserem DSGVO-KI-Check, wie es um deinen Datenschutz steht.

Diese fünf DSGVO-Pflichten gelten für jede KI-Nutzung

Die Datenschutz-Grundverordnung stellt klare Anforderungen:

1. Rechtsgrundlage (Art. 6 DSGVO)

Jede Verarbeitung personenbezogener Daten durch KI braucht eine Rechtsgrundlage. In der Praxis sind das meist:

• Einwilligung der betroffenen Person
• Berechtigtes Interesse des Unternehmens (mit Abwägung)
• Vertragserfüllung (z. B. Kundenanfragen beantworten)

2. Auftragsverarbeitung (Art. 28 DSGVO)

Nutzt du einen externen KI-Dienst, musst du einen Auftragsverarbeitungsvertrag (AVV) abschließen. Das gilt für:

• Cloud-basierte KI-Plattformen
• API-Dienste wie OpenAI, Anthropic, Google
• SaaS-Tools mit integrierter KI

Ein AVV regelt vier Punkte: welche Daten verarbeitet werden, zu welchem Zweck, welche Sicherheitsmaßnahmen der Anbieter trifft und was nach Vertragsende mit den Daten passiert. Ohne gültigen AVV ist die Nutzung eines Cloud-KI-Dienstes mit personenbezogenen Daten rechtswidrig.

3. Drittlandtransfer (Art. 44 ff. DSGVO)

Werden Daten in die USA oder andere Drittländer übertragen, brauchst du zusätzliche Absicherungen:

• EU-US Data Privacy Framework (aktuell gültig, aber rechtlich umstritten)
• Standardvertragsklauseln (SCCs)
• Transfer Impact Assessments

4. Transparenzpflicht (Art. 13/14 DSGVO)

Du musst Betroffene informieren, dass ihre Daten durch KI verarbeitet werden. Das betrifft:

• Kunden, deren Anfragen durch KI beantwortet werden
• Mitarbeiter, deren Dokumente durch KI analysiert werden
• Bewerber, deren Unterlagen KI-gestützt gesichtet werden

5. Betroffenenrechte und Löschpflichten

Ein oft unterschätzter Aspekt: Betroffene haben das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten (Art. 15 bis 17 DSGVO). Das gilt auch für Daten, die durch KI verarbeitet wurden.

In der Praxis bedeutet das:

• Auskunftsrecht: Wenn ein Kunde fragt, welche Daten die KI über ihn verarbeitet hat, musst du das innerhalb eines Monats beantworten können.
• Löschpflicht: Auf Anfrage müssen personenbezogene Daten aus dem KI-System entfernt werden. Bei Cloud-Diensten ist das oft schwer nachzuweisen.
• Recht auf menschliche Überprüfung: Bei automatisierten Einzelentscheidungen (Art. 22 DSGVO) kann der Betroffene verlangen, dass ein Mensch die Entscheidung prüft.

Vorteil lokaler KI: Du hast jederzeit vollen Zugriff auf die Daten und kannst Löschanfragen direkt umsetzen, ohne auf externe Anbieter warten zu müssen.

Cloud-KI vs. lokale KI: Der Datenschutz-Vergleich

Interne Richtlinien erstellen

Bevor du KI in deinem Unternehmen einführst, brauchst du klare interne Spielregeln. Diese sollten mindestens folgende Punkte abdecken:

• Erlaubte Daten: Welche Informationen dürfen in die KI eingegeben werden? Bei Cloud-KI: Keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine Kundendaten.
• Verbotene Daten: Gehaltsabrechnungen, Gesundheitsdaten, Bewerbungsunterlagen und vertrauliche Verträge gehören nicht in Cloud-KI-Tools.
• Dokumentationspflicht: Jede KI-Nutzung mit personenbezogenen Daten muss im Verarbeitungsverzeichnis erfasst sein.
• Meldewege: Wer ist Ansprechpartner bei Datenschutzfragen? Was passiert bei einem Vorfall?

Diese Richtlinien sollten für alle Mitarbeiter zugänglich sein und in regelmäßigen Abständen (mindestens jährlich) überprüft werden.

Checkliste: DSGVO-konforme KI in 7 Schritten

Praxisbeispiel: DSGVO-konforme KI im Kundenservice

Stell dir vor: Ein Steuerberatungsbüro mit 12 Mitarbeitern will Kundenanfragen per KI vorqualifizieren: E-Mails analysieren, das Anliegen erkennen und dem richtigen Berater zuweisen. Die Herausforderung: Steuerberater unterliegen der Berufsverschwiegenheit. Mandantendaten dürfen unter keinen Umständen das Büro verlassen.

Lösung: Ein lokales KI-System, das auf dem Büro-Server läuft. Die KI analysiert eingehende E-Mails, erkennt das Thema (Steuererklärung, Buchhaltung, Lohnabrechnung) und ordnet die Anfrage dem passenden Berater zu. Kein Datentransfer nach außen, kein AVV mit einem KI-Anbieter nötig.

Mögliches Ergebnis: Die Zuordnung von Kundenanfragen könnte in Sekunden statt Minuten erfolgen. Die Berater hätten mehr Zeit für die eigentliche Mandantenarbeit. Und die DSGVO-Compliance? Kein zusätzlicher Aufwand, weil die Daten den Server nie verlassen.

Weitere Branchen mit besonderem Datenschutzbedarf

Das Steuerberater-Beispiel lässt sich auf viele Branchen übertragen:

• Rechtsanwälte: Mandantengeheimnisse sind berufsrechtlich geschützt. Cloud-KI ist hier besonders riskant, weil bereits die Übermittlung an einen Cloud-Anbieter eine Verletzung der Verschwiegenheit darstellen kann.
• Ärzte und Gesundheitswesen: Gesundheitsdaten sind nach Art. 9 DSGVO besonders sensibel. Lokale KI für Patientendokumentation oder Befundanalyse ist die einzige datenschutzkonforme Option.
• Finanzdienstleister: Regulatorische Anforderungen (BaFin, MaRisk) erfordern volle Kontrolle über die Datenverarbeitung. Eine lokale KI-Lösung erfüllt diese Anforderungen nativ.
• Personaldienstleister: Bewerberdaten unterliegen strengen Löschfristen. Mit lokaler KI kannst du Löschpflichten sicher umsetzen, ohne auf externe Anbieter angewiesen zu sein.

Wie du KI generell in deinem Unternehmen einführst, zeigt unser Praxis-Leitfaden zur KI-Einführung im Mittelstand.

EU AI Act: Was zusätzlich kommt

Neben der DSGVO gilt seit 2025 der EU AI Act. Für den Mittelstand relevant:

• Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren. Das bedeutet: Wenn dein Chatbot Kundenanfragen beantwortet, muss klar erkennbar sein, dass es sich um eine KI handelt.
• Risikoklassifizierung: Hochrisiko-KI (z. B. im HR-Bereich, bei Kreditentscheidungen) braucht besondere Dokumentation und Konformitätsbewertungen.
• Verbotene Praktiken: Social Scoring, manipulative KI und biometrische Echtzeit-Überwachung sind untersagt. Das betrifft den Mittelstand selten direkt.
• Dokumentationspflicht: Auch bei nicht-hochriskanter KI musst du dokumentieren, welche Systeme du einsetzt und wofür.

Für den Mittelstand reichen Dokumentation und Transparenzhinweis

Für die meisten KI-Anwendungen im Mittelstand (Dokumentenverarbeitung, Kundenanfragen, Angebotserstellung) gilt: Du brauchst eine saubere Dokumentation und einen Transparenzhinweis. Das ist mit einem lokalen KI-System einfacher umzusetzen, weil du die volle Kontrolle über das System hast.

Welcher Ansatz für dein Unternehmen der richtige ist, ob KI oder klassische Automatisierung, hängt vom konkreten Anwendungsfall ab.

Fazit: DSGVO-konforme KI senkt dein Haftungsrisiko

DSGVO-konforme KI-Nutzung ist kein Bremsklotz, sie ist ein Qualitätsmerkmal. Konkret heißt das: Du vermeidest Bußgelder von bis zu 20 Millionen Euro, kannst Löschanfragen sicher umsetzen und musst in Verträgen mit Mandanten oder Auftraggebern keine Datenweitergabe an Cloud-Anbieter offenlegen. In regulierten Branchen wie Kanzleien, Steuerberatung oder Gesundheitswesen ist das oft die Voraussetzung dafür, KI überhaupt einsetzen zu dürfen.

Die sicherste Lösung für den Mittelstand: Lokale KI-Systeme, die auf deinen eigenen Servern laufen. Keine Daten in der Cloud, keine Drittland-Problematik, volle Kontrolle. Welche Tools dabei konkret helfen, zeigt unser Praxistest der Top 10 KI-Tools 2026 mit DSGVO-Bewertung für jedes Tool.

Zusammengefasst in drei Sätzen: Prüfe zuerst, welche Daten deine KI verarbeiten soll. Entscheide dann, ob Cloud oder lokal der richtige Weg ist. Und dokumentiere alles sauber, damit du bei einer Prüfung durch die Aufsichtsbehörde vorbereitet bist. Unser DSGVO-KI-Check hilft dir, den Überblick zu behalten.