DSGVO und KI: Was Unternehmen vor dem ersten Schritt klären müssen

KI-Einführung und Datenschutz gehören zusammen - wenn man es richtig aufzieht. Fünf Fragen die vor dem Start beantwortet sein müssen.

Scrollen
Recht & KI
KI einführen heißt auch
Datenschutz mitdenken.
Wer beides von Anfang an verbindet,
baut auf sicherem Fundament.

DSGVO und KI: kein Widerspruch, aber Vorbereitung

Zwei Fehler sieht man im Mittelstand immer wieder. Der eine: jahrelang gar keine KI, aus diffuser Angst vor dem Datenschutz. Der andere: einfach loslegen und Kundendaten in ein US-Tool kippen, ohne Vertrag, ohne zu wissen, was damit passiert. Beides ist vermeidbar. DSGVO und KI schließen sich nicht aus - sie verlangen nur, dass man vor dem ersten Schritt weiß, welche Daten wo und unter welchen Bedingungen verarbeitet werden.

Die fünf Fragen, die vor der KI-Einführung geklärt sein müssen

1. Werden personenbezogene Daten verarbeitet?

Namen, E-Mail-Adressen, Kundennummern, Kommunikationsverläufe - sobald solche Daten in ein KI-System fließen, greift die DSGVO vollständig. Das heißt: Rechtsgrundlage prüfen, Betroffene informieren, Verarbeitungsverzeichnis aktualisieren. Wer hier nachlässig ist, riskiert nicht nur Bußgelder, sondern Vertrauen bei den Kunden.

2. Gibt es einen Auftragsverarbeitungsvertrag (AVV)?

Verarbeitet ein KI-Dienst Ihre Daten, ist ein AVV mit dem Anbieter Pflicht - bei Cloud-Diensten genauso wie bei Modellen, die über die API eines externen Anbieters laufen. Viele Unternehmen starten mit einem Tool, ohne zu prüfen, ob der Anbieter überhaupt einen DSGVO-konformen AVV anbietet. Manche tun es nicht.

3. Wo werden die Daten verarbeitet und gespeichert?

US-amerikanische Dienste unterliegen dem Cloud Act: US-Behörden können unter bestimmten Umständen auf Daten zugreifen, auch wenn diese in Europa liegen. Für Kundendaten, Vertragsunterlagen oder interne Kommunikation ist das ein echtes Risiko. Nicht jeder Anwendungsfall braucht europäische Server - aber die Entscheidung muss bewusst fallen, nicht aus Versehen.

4. Werden die Daten zum Training verwendet?

Viele Dienste nutzen eingegebene Daten standardmäßig, um ihre Modelle weiterzutrainieren. Für persönliche Notizen ist das unkritisch, für Kundendaten, Angebote oder Verträge nicht. Saubere Lösung: Datenschutzrichtlinien lesen, Opt-out setzen oder Enterprise-Zugänge nutzen, bei denen kein Training stattfindet.

5. Ist Ihre Datenschutzbeauftragte eingebunden?

Unternehmen mit mehr als 20 Personen in der Datenverarbeitung brauchen eine Datenschutzbeauftragte - und die gehört früh in jedes KI-Vorhaben. Nicht zum Bremsen, sondern zum Dokumentieren: was verarbeitet wird und warum. Das schützt Sie im Zweifel.

Schulungspflicht: Was der EU AI Act zusätzlich verlangt

Seit Februar 2025 gilt Artikel 4 des EU AI Act: Unternehmen müssen sicherstellen, dass Mitarbeitende, die mit KI arbeiten, über ausreichende KI-Kompetenz verfügen. Im Klartext - wer KI einsetzt, muss sein Team befähigen, sie zu verstehen und ihre Grenzen einzuschätzen. Das ist keine Kür mehr, sondern Pflicht. Für die meisten Betriebe heißt das: einmal sauber schulen, dokumentieren, fertig. Wer es ignoriert, sammelt ein vermeidbares Compliance-Risiko an.

Darf ich ChatGPT im Unternehmen nutzen?

Ja, mit den richtigen Einstellungen. Der kostenlose Privat-Account gehört nicht in den Betrieb, weil Eingaben dort zum Training genutzt werden können und kein AVV existiert. Mit einem Team- oder Enterprise-Zugang sieht es anders aus: kein Training mit Ihren Daten, AVV verfügbar, Verarbeitung vertraglich geregelt. Entscheidend ist nicht das Tool, sondern welche Daten Sie hineingeben und unter welchem Vertrag. Sensible Kundendaten gehören nur dorthin, wo Sie die Verarbeitung nachvollziehen und belegen können.

Was das konkret bedeutet

Die Lösung ist nicht, auf KI zu verzichten. Sie ist, datenschutzkonforme Entscheidungen zu treffen: europäische Anbieter bevorzugen, AVV vor dem Start abschließen, Training-Nutzung deaktivieren, Verarbeitungsverzeichnis pflegen, Team schulen. Das klingt nach Aufwand, ist aber eine einmalige Strukturierungsarbeit - danach läuft der Betrieb rechtssicher. Genau diese Vorarbeit übernehmen wir in der KI-Beratung und der Umsetzung.

Häufige Fragen

Was kostet eine DSGVO-konforme KI-Einführung?

Der Datenschutz-Teil ist selten ein eigener Kostenblock, sondern Teil der Einführung: einmal Anbieter prüfen, AVV abschließen, Einstellungen richtig setzen, dokumentieren. Teuer wird nur, wer es nachträglich reparieren muss.

Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?

Bei KI-Anwendungen mit hohem Risiko für Betroffene - etwa automatisierten Bewertungen von Personen - ja. Für interne Routine wie Textentwürfe oder Zusammenfassungen in der Regel nicht. Im Zweifel entscheidet die Datenschutzbeauftragte.

Sind US-KI-Dienste generell verboten?

Nein. Sie sind erlaubt, wenn die rechtlichen Voraussetzungen stimmen (AVV, geeignete Garantien) und die Daten zum Anwendungsfall passen. Für Unkritisches oft unproblematisch, für sensible Kundendaten ist eine europäische Lösung der ruhigere Weg.

Wer haftet, wenn die KI gegen den Datenschutz verstößt?

Verantwortlich bleibt das Unternehmen, das die KI einsetzt, nicht der Tool-Anbieter. Deshalb sind AVV, bewusste Tool-Wahl und Dokumentation kein Papierkram, sondern Ihr Schutz.

Fazit

Datenschutz ist kein KI-Verhinderer. Er ist die Bedingung, unter der KI im Mittelstand überhaupt dauerhaft tragfähig wird - und ein Argument gegenüber Kunden, die wissen wollen, was mit ihren Daten passiert. Wer die Struktur einmal richtig aufsetzt, muss sich danach nicht mehr fragen, ob er darf. Er kann.

Sie wollen KI DSGVO-konform einführen?

Ich prüfe Ihren geplanten KI-Einsatz auf Datenschutz-Tauglichkeit - idealerweise bevor Sie starten.

Gespräch vereinbaren
mindmelt Frankfurt
hallo@mindmelt.de