KI & Automatisierung

KI und Datenschutz: DSGVO & EU AI Act für KMU

26. März 2026·6 Min. Lesezeit·runoa
KI und Datenschutz: DSGVO & EU AI Act für KMU

KI nutzen, ohne gegen Gesetze zu verstoßen

Die Begeisterung für KI ist groß — die Unsicherheit beim Datenschutz ebenso. 73% der KMU-Geschäftsführer nennen „Datenschutzbedenken“ als Hauptgrund, warum sie KI noch nicht einsetzen. Und ja: Die Bedenken sind berechtigt. Aber sie sind kein Grund, KI komplett zu meiden.

Denn: DSGVO-konforme KI-Nutzung ist möglich — wenn man weiß wie. Dieser Guide erklärt die rechtlichen Rahmenbedingungen und gibt Ihnen eine praktische Checkliste an die Hand.

Dieser Artikel ergänzt unseren KI-Strategie-Leitfaden um den oft unterschätzten rechtlichen Aspekt. Denn eine KI-Strategie ohne Datenschutzkonzept ist unvollständig.

DSGVO-Grundlagen für KI-Nutzung

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft — aber viele ihrer Prinzipien wurden geschrieben, bevor KI-Tools wie ChatGPT massenmarktfähig waren. Das führt zu Grauzonen, die wir hier auflösen.

Die 6 DSGVO-Grundsätze — angewendet auf KI

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

  • Sie brauchen eine Rechtsgrundlage, um personenbezogene Daten mit KI zu verarbeiten
  • Typisch: Einwilligung (Art. 6 Abs. 1 lit. a) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f)
  • Kunden müssen informiert werden, wenn KI an der Verarbeitung ihrer Daten beteiligt ist

2. Zweckbindung

  • Daten, die für Rechnungsstellung erhoben wurden, dürfen nicht einfach für KI-Training genutzt werden
  • Definieren Sie klar, wofür die KI die Daten verwendet

3. Datenminimierung

  • Übermitteln Sie nur die Daten an die KI, die für den konkreten Zweck nötig sind
  • Beispiel: Für eine automatische E-Mail-Antwort braucht die KI nicht die vollständige Kundenhistorie

4. Richtigkeit

  • KI-generierte Inhalte können falsch sein (Halluzinationen)
  • Automatisierte Entscheidungen müssen überprüfbar bleiben

5. Speicherbegrenzung

  • API-Anbieter sollten Daten nicht länger als nötig speichern
  • Prüfen Sie die Datenhaltungsrichtlinien Ihres KI-Anbieters

6. Integrität und Vertraulichkeit

  • Verschlüsselung der Datenübertragung (TLS/SSL)
  • Zugangskontrollen zum KI-System

Wann brauchen Sie einen Auftragsverarbeitungsvertrag (AVV)?

Immer, wenn ein KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet. Das betrifft:

  • Chatbots, die Kundendaten verarbeiten
  • E-Mail-Automatisierungen mit Kundennamen/-adressen
  • CRM-Integrationen mit KI-Features
  • Sprachassistenten, die Anrufe verarbeiten

Die großen Anbieter (OpenAI, Google, Microsoft) bieten AVVs an. Prüfen Sie vor dem Einsatz, ob ein AVV abgeschlossen wurde.

EU AI Act: Die neue KI-Verordnung

Seit August 2025 gilt der EU AI Act schrittweise. Für KMU ist besonders relevant:

Die Risikoklassen

Unannehmbares Risiko (verboten):

  • Social Scoring
  • Biometrische Echtzeit-Überwachung (mit Ausnahmen)
  • Manipulation von Verhalten

Hohes Risiko (strenge Auflagen):

  • KI in Personalauswahl (z.B. automatisches Bewerber-Screening)
  • KI in Kreditwürdigkeitsprüfung
  • KI in Bildung (automatische Benotung)

Begrenztes Risiko (Transparenzpflichten):

  • Chatbots (müssen als KI gekennzeichnet werden)
  • KI-generierte Inhalte (Kennzeichnungspflicht)
  • Emotionserkennung (Informationspflicht)

Minimales Risiko (keine speziellen Auflagen):

  • KI-gestützte E-Mail-Vorschläge
  • Automatische Textkorrektur
  • KI-basierte Produktempfehlungen

Was bedeutet das für KMU konkret?

Die meisten KI-Anwendungen in KMU fallen in die Kategorien „begrenztes“ oder „minimales“ Risiko. Ihre Pflichten:

  1. Chatbots kennzeichnen: Nutzer müssen wissen, dass sie mit einer KI sprechen
  2. KI-generierte Inhalte: Bei Deepfakes und synthetischen Medien Kennzeichnungspflicht
  3. Transparenz: Dokumentieren Sie, wo und wie Sie KI einsetzen

Wichtig: KMU mit weniger als 50 Mitarbeitern haben erleichterte Dokumentationspflichten. Sie müssen kein vollständiges KI-Managementsystem aufbauen — aber die Grundlagen müssen stimmen.

Datenschutz-Folgenabschätzung (DSFA) für KI

Eine DSFA ist laut DSGVO erforderlich, wenn die Datenverarbeitung „voraussichtlich ein hohes Risiko“ für Betroffene birgt. Bei KI-Einsatz ist eine DSFA empfohlen bei:

  • Automatisierten Einzelentscheidungen (z.B. automatische Lead-Bewertung mit Ablehnung)
  • Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, religiöse Überzeugungen)
  • Umfangreicher systematischer Überwachung
  • Innovative Technologien in Kombination mit sensiblen Daten

Vereinfachte DSFA-Vorlage für KMU

Schritt 1: Beschreibung der Verarbeitung

  • Welche Daten werden verarbeitet?
  • Welche KI-Tools/APIs werden eingesetzt?
  • Wo werden die Daten verarbeitet (Land/Region)?

Schritt 2: Bewertung der Notwendigkeit

  • Ist die KI-Verarbeitung für den Geschäftszweck nötig?
  • Gibt es datenschutzfreundlichere Alternativen?
  • Ist der Umfang der Datenverarbeitung angemessen?

Schritt 3: Risikobewertung

  • Welche Risiken bestehen für Betroffene?
  • Wie wahrscheinlich ist ein Datenleck?
  • Was wären die Folgen?

Schritt 4: Maßnahmen zur Risikominderung

  • Technische Maßnahmen (Verschlüsselung, Pseudonymisierung)
  • Organisatorische Maßnahmen (Schulungen, Zugriffsrechte)
  • Vertragliche Maßnahmen (AVV, Löschfristen)

Die DSGVO-Checkliste für KI-Einsatz im KMU

Nutzen Sie diese Checkliste vor jedem neuen KI-Tool:

Vor der Einführung:

  • [ ] Rechtsgrundlage für die Datenverarbeitung identifiziert
  • [ ] AVV mit KI-Anbieter abgeschlossen
  • [ ] Serverstandort geprüft (idealerweise EU)
  • [ ] Opt-out für Modelltraining aktiviert (bei OpenAI, Google etc.)
  • [ ] Datenschutzerklärung aktualisiert
  • [ ] Mitarbeiter geschult

Während des Betriebs:

  • [ ] Chatbot als KI gekennzeichnet
  • [ ] KI-generierte Inhalte als solche erkennbar
  • [ ] Regelmäßige Überprüfung der KI-Outputs
  • [ ] Löschfristen für verarbeitete Daten eingehalten
  • [ ] Betroffenenrechte (Auskunft, Löschung) gewährleistet

Bei Änderungen:

  • [ ] Neue Datenarten = neue DSFA-Prüfung
  • [ ] Anbieterwechsel = neuer AVV
  • [ ] Neue Features = Datenschutzerklärung aktualisieren

Anbieterauswahl nach DSGVO-Kriterien

Nicht jeder KI-Anbieter ist gleich DSGVO-tauglich. Hier die wichtigsten Kriterien:

Grüne Flaggen (DSGVO-freundlich)

  • EU-Rechenzentrum verfügbar
  • AVV standardmäßig angeboten
  • Keine Nutzung der Kundendaten für Modelltraining (Opt-out möglich)
  • ISO 27001 / SOC 2 Zertifizierung
  • Transparente Datenverarbeitungs-Dokumentation

Rote Flaggen (Vorsicht)

  • Kein AVV verfügbar
  • Nur US-Rechenzentren, kein EU-Angebot
  • Kundendaten werden standardmäßig für Training genutzt (ohne Opt-out)
  • Keine klare Aussage zur Datenlöschung
  • Fehlende Sicherheitszertifizierungen

Empfohlene DSGVO-konforme Setups für KMU

Chat & Kundenkommunikation:

  • OpenAI API mit EU-Datenverarbeitung + deaktiviertem Training
  • Alternative: Open-Source-Modell auf eigenem EU-Server

E-Mail-Automatisierung:

  • n8n (Self-hosted in EU) + OpenAI API mit AVV
  • Alternative: n8n Cloud (EU-Rechenzentrum) + Anthropic API

Content-Erstellung:

  • ChatGPT Enterprise (EU-Compliance-Features)
  • Alternative: Claude mit Workspace-Einstellungen

Mehr zur Barrierefreiheit und gesetzlichen Anforderungen an Ihre Website: BFSG-Leitfaden

Praxistipp: Die „Datenschutz-First“-Strategie

Statt Datenschutz als Bremse zu sehen, machen erfolgreiche KMU ihn zum Verkaufsargument:

  1. Kommunizieren Sie proaktiv, dass Sie KI DSGVO-konform einsetzen
  2. Bieten Sie Transparenz — eine KI-Nutzungsseite auf Ihrer Website schafft Vertrauen
  3. Schulen Sie Ihre Mitarbeiter — nicht nur technisch, sondern auch im Umgang mit Kundendaten
  4. Dokumentieren Sie alles — bei einer Prüfung zahlt sich gute Dokumentation aus

Nächste Schritte

  1. KI-Strategie mit Datenschutz planen — der komplette Rahmen
  2. Implementierung richtig angehen — inkl. DSGVO-Checkliste
  3. Kosten und Förderung prüfen — BAFA fördert auch Datenschutzberatung
  4. Kontakt aufnehmen — DSGVO-konforme KI-Beratung

Dieser Artikel ist Teil unserer Pillar-Content-Reihe. Verwandte Artikel: KI-Strategie für KMU | KI-Implementierung: Build vs. Buy | KI-Kosten und ROI | 15 KI-Anwendungsfälle

N

Nikolai M., Gründer & KI-Berater

Baut KI-Lösungen für den DACH-Mittelstand. Diese Website ist sein Beweis.

LinkedIn

Passende Leistungen

Kostenloser Download

Vergiss deine kostenlose KI-Checkliste nicht

15 Punkte die dein Unternehmen 2026 umsetzen sollte — als druckbare PDF-Checkliste. Kostenlos.

Mit dem Download stimmst du zu, gelegentlich Tipps zu KI & Webdesign zu erhalten. Jederzeit abbestellbar. Datenschutz

Weitere Artikel

Alle 2 Wochen: KI-Insights für Ihr Unternehmen

Kein Spam. Nur praxisnahe Tipps zu Webdesign, KI und Sichtbarkeit.

Jederzeit abbestellbar. DSGVO-konform.

Projekt besprechen?

Im Erstgespräch analysieren wir deine Situation und zeigen dir die Maßnahmen mit dem größten Hebel.

Mein kostenloses Erstgespräch buchen →
Projekt besprechen?Erstgespräch →