Zwischen „KI ist bei uns verboten“ und „die Mitarbeiter machen halt einfach“ liegt der Zustand der meisten Unternehmen, mit denen wir sprechen. Beides ist riskant — nur unterschiedlich. Ein Praxis-Leitfaden von Leuten, die solche Systeme bauen und betreiben.
Eine Sache vorweg, weil sie hierher gehört: Wir sind Softwarebauer, keine Kanzlei. Dieser Text ist Praxiserfahrung aus Projekten, keine Rechtsberatung — für den konkreten Einzelfall gehören Datenschutzbeauftragte oder Fachanwalt an den Tisch.
Die zwei echten Risiken
Risiko eins ist das offensichtliche: Kundendaten im US-Cloud-Chatbot. Ein Mitarbeiter kopiert eine Kundenbeschwerde samt Name, Adresse und Vertragsdetails in einen frei verfügbaren Chatbot — und damit sind personenbezogene Daten an einen Anbieter übermittelt, mit dem kein Auftragsverarbeitungsvertrag besteht, auf Infrastruktur, deren Standort niemand geprüft hat, unter Bedingungen, die je nach Kontoart das Training auf den Eingaben erlauben. Das ist kein theoretisches Szenario, das ist der Ist-Zustand in Unternehmen ohne Regelung.
Risiko zwei ist das unterschätzte: Schatten-KI. Wo das Unternehmen kein Werkzeug bereitstellt, benutzen die Leute ihre privaten Accounts — auf dem privaten Handy, außerhalb jeder Kontrolle. Ein Verbot ändert daran erfahrungsgemäß wenig; es verlagert die Nutzung nur dorthin, wo die IT sie nicht mehr sieht. Unser Eindruck aus Erstgesprächen ist da eindeutig: Auf die Frage, wer im Haus KI nutzt, sagt die Geschäftsführung „niemand“ — und die Fachabteilung lächelt. Die produktivste Datenschutz-Maßnahme ist deshalb paradoxerweise ein erlaubtes Werkzeug.
Was die DSGVO tatsächlich verlangt
Die gute Nachricht zuerst: Die DSGVO verbietet KI nicht. Sie verlangt beim KI-Einsatz dasselbe wie bei jeder anderen Datenverarbeitung — nur dass die Fragen hier oft zum ersten Mal ehrlich beantwortet werden müssen:
- Auftragsverarbeitung (Art. 28). Verarbeitet ein KI-Anbieter personenbezogene Daten für euch, braucht es einen AVV. Seriöse Anbieter haben ihn als Standarddokument; wer keinen anbietet, scheidet aus. Punkt.
- Rechtsgrundlage und Zweckbindung. Daten, die für die Auftragsabwicklung erhoben wurden, dürfen nicht beliebig in KI-Werkzeuge oder gar ins Modell-Training weiterwandern. Die Frage „wofür genau?“ muss pro Anwendungsfall beantwortet sein.
- Technische und organisatorische Maßnahmen (Art. 32). Zugriffskontrolle, Verschlüsselung, Protokollierung — bei KI zusätzlich: Wer darf was eingeben, und was passiert mit den Eingaben beim Anbieter?
- Drittlandtransfer. US-Anbieter sind nicht automatisch tabu — aber der Transfer braucht eine dokumentierte Grundlage, etwa die Zertifizierung nach dem EU-US Data Privacy Framework. „Wird schon passen“ ist keine.
- Betroffenenrechte und Löschung. Auskunft und Löschung müssen auch funktionieren, wenn Daten durch ein KI-System gelaufen sind. Praktisch heißt das: Eingaben dürfen beim Anbieter nicht unbegrenzt liegen bleiben.
- Datenschutz-Folgenabschätzung. Bei systematischer Verarbeitung sensibler Daten kann eine DSFA fällig werden. Unbequem — aber nebenbei das beste Werkzeug, um den eigenen Anwendungsfall einmal sauber zu durchdenken.
Genauso wichtig ist, was die DSGVO nicht verlangt: keinen Verzicht auf Cloud, keinen Verzicht auf US-Technologie und keine hundertprozentige Fehlerfreiheit der Modelle. Sie verlangt, dass jemand die Verarbeitung versteht, dokumentiert und verantwortet. Das ist Arbeit — aber die Sorte Arbeit, die ein Nachmittag mit dem Datenschutzbeauftragten erledigt, kein Sechs-Monats-Projekt.
EU-Hosting oder on-prem?
Für die technische Seite gibt es drei Stufen, jede mit ehrlichen Trade-offs:
- EU-Verarbeitung beim großen Anbieter. Die großen Modell-Anbieter und Cloud-Plattformen bieten inzwischen Verarbeitung in EU-Rechenzentren, AVV und die schriftliche Zusage, nicht auf euren Daten zu trainieren. Für die meisten Anwendungsfälle im Mittelstand der pragmatische Standard: starke Modelle, überschaubare Kosten.
- Eigene Instanz im eigenen Cloud-Tenant. Das Modell läuft in eurer Cloud-Umgebung, Logs und Netzwerk unter eurer Kontrolle. Mehr Aufwand im Betrieb, dafür klare Grenzen — sinnvoll ab erhöhtem Schutzbedarf.
- On-Premises mit offenen Modellen. Für hochsensible Daten — Gesundheitsdaten, Mandantendaten — laufen offene Modelle komplett im eigenen Haus. Maximale Kontrolle, ehrlich gekauft mit schwächeren Modellen, eigener Hardware und deutlich mehr Pflege.
Unsere Praxis: Wir bauen KI-Werkzeuge je nach Schutzbedarf in der EU-Cloud oder on-prem — und entscheiden das pro Anwendungsfall, nicht pro Weltanschauung. Wie wir solche Projekte angehen, mit Prototyp auf echten Daten zuerst, steht auf unserer Seite zur KI-Entwicklung. Der häufigste Fehler ist übrigens nicht die falsche Stufe, sondern Stufe drei aus Prinzip: ein On-Prem-Projekt, dessen Betrieb niemand gerechnet hat, für Daten, die Stufe eins sauber abgedeckt hätte.
Die Anbieter-Checkliste
Sechs Fragen an jeden KI-Anbieter — und die Antworten gehören in den Ordner, nicht ins Gedächtnis:
- Gibt es einen AVV, den wir tatsächlich unterschreiben können?
- Ist das Training auf unseren Eingaben ausgeschlossen — vertraglich, nicht als Blogpost?
- Wo wird verarbeitet und gespeichert — ist eine EU-Region wählbar?
- Wie lange werden Eingaben aufbewahrt, und lässt sich das abstellen oder verkürzen?
- Welche Sub-Prozessoren sind beteiligt — und werden wir bei Änderungen informiert?
- Gibt es Sicherheits-Zertifizierungen (etwa ISO 27001, SOC 2) und einen benannten Ansprechpartner?
Mensch im Loop — Pflicht und Qualitätssicherung zugleich
Art. 22 DSGVO setzt automatisierten Einzelentscheidungen mit rechtlicher Wirkung enge Grenzen — die Absage auf eine Bewerbung oder die Kreditentscheidung darf kein Modell allein treffen. Aber auch jenseits der Pflicht ist der Freigabe-Schritt der Unterschied zwischen Werkzeug und Risiko: Das Modell entwirft, sortiert und extrahiert — ein Mensch gibt frei, wo es zählt. In unseren Projekten ist der Prüf-Schritt bei allem, was das Haus verlässt oder gebucht wird, nicht verhandelbar. Wie viel Loop nötig ist, hängt am Risiko: Der interne Suchtreffer braucht keine Freigabe, der Angebotsversand eine, die Personalentscheidung bleibt ganz beim Menschen. Nebeneffekt: Genau am Prüf-Schritt entsteht auch das Vertrauen der Mitarbeiter in das Werkzeug.
Der EU AI Act, kurz und ehrlich
Neben der DSGVO gilt inzwischen der EU AI Act — und er ist für die meisten Mittelständler weniger dramatisch als die Schlagzeilen. Er sortiert KI-Systeme in Risikoklassen: verbotene Praktiken (etwa Social Scoring), Hochrisiko-Systeme (etwa KI in Personalauswahl oder Kreditvergabe — hier kommen echte Pflichten), darunter begrenztes und minimales Risiko mit überschaubaren Transparenzpflichten. Belegauslese, E-Mail-Sortierung, Wissenssuche — die typischen Werkzeuge im Mittelstand — landen in den unteren Klassen.
Zwei Dinge gelten aber schon und werden gern übersehen: Seit Februar 2025 verpflichtet Artikel 4 Unternehmen, die KI einsetzen, ihre Mitarbeiter mit ausreichender KI-Kompetenz auszustatten — Schulung ist damit keine Kür mehr, sondern Pflicht. Und wer KI in Hochrisiko-Bereichen plant, sollte die Übergangsfristen ernst nehmen, statt auf Nachsicht zu hoffen. Praktisch heißt das für den Anfang vor allem: festhalten, welche KI-Systeme im Haus laufen und wofür — dieselbe Liste, die ohnehin bei der Bestandsaufnahme unten entsteht. Für alles Weitere gilt der Satz vom Anfang: Praxis-Einordnung, keine Rechtsberatung.
Die Reihenfolge, die funktioniert
- Bestandsaufnahme. Fragt — gern anonym —, wer heute schon welche KI-Werkzeuge nutzt. Die Antwort ist erfahrungsgemäß: mehr als gedacht.
- Ein erlaubtes Werkzeug bereitstellen. Mit AVV, EU-Verarbeitung, ohne Training auf euren Daten. Das trocknet die Schatten-KI aus — Verbote tun das nicht.
- Leitlinie auf einer Seite. Was darf hinein, was nie (besondere Datenkategorien, Zugangsdaten, Kundendaten ohne Grundlage), wer gibt frei. Eine Seite, die gelesen wird, schlägt zwanzig, die keiner liest.
- Schulung. Kurz, konkret, mit echten Beispielen aus dem eigenen Haus — und damit ist nebenbei Artikel 4 abgehakt.
- Einen Prozess richtig bauen. Statt zehn Experimenten: ein Anwendungsfall mit Mensch-im-Loop, sauber integriert, nach acht Wochen ehrlich nachgemessen.
DSGVO-konforme KI ist kein Hexenwerk, sondern Handwerk: AVV, Zweckbindung, EU-Verarbeitung, Prüf-Schritt, Schulung. Wer diese fünf Punkte ernst nimmt, ist weiter als die meisten — und nutzt die Technologie, statt sie im Verbotsmodus durch die Hintertür zu erleben. Und falls der Anlass dieses Textes ein konkretes Projekt ist: Die Compliance-Fragen beantworten sich am leichtesten, solange das Werkzeug noch auf dem Reißbrett steht. Nachrüsten ist immer teurer als einplanen.