DSGVO-konform KI nutzen: Was Geschäftsführer wissen müssen

Das DSGVO-Dilemma bei KI

ChatGPT, Google Gemini, Microsoft Copilot: Die großen KI-Tools sind verlockend. Aber wer DSGVO-konform KI nutzen will, steht als Geschäftsführer vor einer zentralen Herausforderung: Du trägst die persönliche Haftung für den Datenschutz in deinem Unternehmen.

Denn bei den meisten Cloud-KI-Diensten fließen deine Unternehmensdaten auf Server in den USA. Das ist nicht nur ein DSGVO-Problem, es ist ein Geschäftsrisiko. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Dazu kommen Reputationsschäden und mögliche Schadensersatzansprüche Betroffener.

Die zentrale Frage lautet also nicht: „Darf ich KI nutzen?" Sondern: „Wie nutze ich KI so, dass mein Unternehmen geschützt bleibt?" Prüfe mit unserem DSGVO-KI-Check, wie es um deinen Datenschutz steht.

Was die DSGVO bei KI-Nutzung verlangt

Die Datenschutz-Grundverordnung stellt klare Anforderungen:

1. Rechtsgrundlage (Art. 6 DSGVO)

Jede Verarbeitung personenbezogener Daten durch KI braucht eine Rechtsgrundlage. In der Praxis sind das meist:

• Einwilligung der betroffenen Person
• Berechtigtes Interesse des Unternehmens (mit Abwägung)
• Vertragserfüllung (z. B. Kundenanfragen beantworten)

2. Auftragsverarbeitung (Art. 28 DSGVO)

Nutzt du einen externen KI-Dienst, musst du einen Auftragsverarbeitungsvertrag (AVV) abschließen. Das gilt für:

• Cloud-basierte KI-Plattformen
• API-Dienste wie OpenAI, Anthropic, Google
• SaaS-Tools mit integrierter KI

Ein AVV regelt unter anderem: Welche Daten verarbeitet werden, zu welchem Zweck, welche Sicherheitsmaßnahmen der Anbieter trifft und was nach Vertragsende mit den Daten passiert. Ohne gültigen AVV ist die Nutzung eines Cloud-KI-Dienstes mit personenbezogenen Daten rechtswidrig.

3. Drittlandtransfer (Art. 44 ff. DSGVO)

Werden Daten in die USA oder andere Drittländer übertragen, brauchst du zusätzliche Absicherungen:

• EU-US Data Privacy Framework (aktuell gültig, aber rechtlich umstritten)
• Standardvertragsklauseln (SCCs)
• Transfer Impact Assessments

4. Transparenzpflicht (Art. 13/14 DSGVO)

Du musst Betroffene informieren, dass ihre Daten durch KI verarbeitet werden. Das betrifft:

• Kunden, deren Anfragen durch KI beantwortet werden
• Mitarbeiter, deren Dokumente durch KI analysiert werden
• Bewerber, deren Unterlagen KI-gestützt gesichtet werden

5. Betroffenenrechte und Löschpflichten

Ein oft unterschätzter Aspekt: Betroffene haben das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten (Art. 15–17 DSGVO). Das gilt auch für Daten, die durch KI verarbeitet wurden.

In der Praxis bedeutet das:

• Auskunftsrecht: Wenn ein Kunde fragt, welche Daten die KI über ihn verarbeitet hat, musst du das innerhalb eines Monats beantworten können.
• Löschpflicht: Auf Anfrage müssen personenbezogene Daten aus dem KI-System entfernt werden. Bei Cloud-Diensten ist das oft schwer nachzuweisen.
• Recht auf menschliche Überprüfung: Bei automatisierten Einzelentscheidungen (Art. 22 DSGVO) kann der Betroffene verlangen, dass ein Mensch die Entscheidung prüft.

Vorteil lokaler KI: Du hast jederzeit vollen Zugriff auf die Daten und kannst Löschanfragen direkt umsetzen, ohne auf externe Anbieter warten zu müssen.

Cloud-KI vs. lokale KI: Der Datenschutz-Vergleich

Interne Richtlinien erstellen

Bevor du KI in deinem Unternehmen einführst, brauchst du klare interne Spielregeln. Diese sollten mindestens folgende Punkte abdecken:

• Erlaubte Daten: Welche Informationen dürfen in die KI eingegeben werden? Bei Cloud-KI: Keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine Kundendaten.
• Verbotene Daten: Gehaltsabrechnungen, Gesundheitsdaten, Bewerbungsunterlagen und vertrauliche Verträge gehören nicht in Cloud-KI-Tools.
• Dokumentationspflicht: Jede KI-Nutzung mit personenbezogenen Daten muss im Verarbeitungsverzeichnis erfasst sein.
• Meldewege: Wer ist Ansprechpartner bei Datenschutzfragen? Was passiert bei einem Vorfall?

Diese Richtlinien sollten für alle Mitarbeiter zugänglich sein und in regelmäßigen Abständen (mindestens jährlich) überprüft werden.

Checkliste: DSGVO-konforme KI in 7 Schritten

Praxisbeispiel: DSGVO-konforme KI im Kundenservice

Ein Steuerberatungsbüro mit 12 Mitarbeitern wollte Kundenanfragen per KI vorqualifizieren: E-Mails analysieren, das Anliegen erkennen und dem richtigen Berater zuweisen. Die Herausforderung: Steuerberater unterliegen der Berufsverschwiegenheit. Mandantendaten dürfen unter keinen Umständen das Büro verlassen.

Lösung: Ein lokales KI-System, das auf dem Büro-Server läuft. Die KI analysiert eingehende E-Mails, erkennt das Thema (Steuererklärung, Buchhaltung, Lohnabrechnung) und ordnet die Anfrage dem passenden Berater zu. Kein Datentransfer nach außen, kein AVV mit einem KI-Anbieter nötig.

Ergebnis: Die Zuordnung von Kundenanfragen dauert jetzt Sekunden statt Minuten. Die Berater haben mehr Zeit für die eigentliche Mandantenarbeit. Und die DSGVO-Compliance? Kein zusätzlicher Aufwand, weil die Daten den Server nie verlassen.

Weitere Branchen mit besonderem Datenschutzbedarf

Das Steuerberater-Beispiel lässt sich auf viele Branchen übertragen:

• Rechtsanwälte: Mandantengeheimnisse sind berufsrechtlich geschützt. Cloud-KI ist hier besonders riskant, weil bereits die Übermittlung an einen Cloud-Anbieter eine Verletzung der Verschwiegenheit darstellen kann.
• Ärzte und Gesundheitswesen: Gesundheitsdaten sind nach Art. 9 DSGVO besonders sensibel. Lokale KI für Patientendokumentation oder Befundanalyse ist die einzige datenschutzkonforme Option.
• Finanzdienstleister: Regulatorische Anforderungen (BaFin, MaRisk) erfordern volle Kontrolle über die Datenverarbeitung. Eine lokale KI-Lösung erfüllt diese Anforderungen nativ.
• Personaldienstleister: Bewerberdaten unterliegen strengen Löschfristen. Mit lokaler KI kannst du Löschpflichten sicher umsetzen, ohne auf externe Anbieter angewiesen zu sein.

Wie du KI generell in deinem Unternehmen einführst, zeigt unser Praxis-Leitfaden zur KI-Einführung im Mittelstand.

EU AI Act: Was zusätzlich kommt

Neben der DSGVO gilt seit 2025 der EU AI Act. Für den Mittelstand relevant:

• Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren. Das bedeutet: Wenn dein Chatbot Kundenanfragen beantwortet, muss klar erkennbar sein, dass es sich um eine KI handelt.
• Risikoklassifizierung: Hochrisiko-KI (z. B. im HR-Bereich, bei Kreditentscheidungen) braucht besondere Dokumentation und Konformitätsbewertungen.
• Verbotene Praktiken: Social Scoring, manipulative KI und biometrische Echtzeit-Überwachung sind untersagt. Das betrifft den Mittelstand selten direkt.
• Dokumentationspflicht: Auch bei nicht-hochriskanter KI musst du dokumentieren, welche Systeme du einsetzt und wofür.

Was bedeutet das konkret für dich?

Für die meisten KI-Anwendungen im Mittelstand (Dokumentenverarbeitung, Kundenanfragen, Angebotserstellung) gilt: Du brauchst eine saubere Dokumentation und einen Transparenzhinweis. Das ist mit einem lokalen KI-System einfacher umzusetzen, weil du die volle Kontrolle über das System hast.

Welcher Ansatz für dein Unternehmen der richtige ist, ob KI oder klassische Automatisierung, hängt vom konkreten Anwendungsfall ab.

Fazit: Datenschutz als Wettbewerbsvorteil

DSGVO-konforme KI-Nutzung ist kein Bremsklotz, sie ist ein Qualitätsmerkmal. Kunden und Partner vertrauen Unternehmen, die verantwortungsvoll mit Daten umgehen.

Die sicherste Lösung für den Mittelstand: Lokale KI-Systeme, die auf deinen eigenen Servern laufen. Keine Daten in der Cloud, keine Drittland-Problematik, volle Kontrolle.

Zusammengefasst in drei Sätzen: Prüfe zuerst, welche Daten deine KI verarbeiten soll. Entscheide dann, ob Cloud oder lokal der richtige Weg ist. Und dokumentiere alles sauber, damit du bei einer Prüfung durch die Aufsichtsbehörde vorbereitet bist. Unser DSGVO-KI-Check hilft dir, den Überblick zu behalten.