DSGVO und KI im Mittelstand — was wirklich geht.

„Aus Datenschutzgründen können wir keine KI einsetzen." Diesen Satz hören wir oft. Er ist meist falsch. Was wirklich nicht geht — und was 2026 mit AI-Act und DSGVO praktisch sehr wohl funktioniert.

Die DSGVO ist sechs Jahre alt, der EU AI Act seit 2024 in Kraft, beide werden gerne als Begründung verwendet, KI gar nicht erst anzufassen. In der Praxis ist die Realität komplexer — und für Mittelständler in den meisten Anwendungsfällen unproblematischer, als der Diskurs vermuten lässt.

Was definitiv nicht geht.

Anfangen mit dem Klaren: Bestimmte KI-Anwendungen sind nach AI Act schlicht verboten oder hochreguliert.

• Social Scoring von Mitarbeitenden oder Kunden — verboten.
• Biometrische Echtzeit­identifikation im öffentlichen Raum — sehr eng reguliert.
• Vollautomatische Entscheidungen mit rechtlicher oder erheblicher Wirkung (z.B. Kreditvergabe, Bewerber­aussortierung) — DSGVO Art. 22 untersagt das als Grundsatz; Ausnahmen (Vertragserforderlichkeit, gesetzliche Erlaubnis, ausdrückliche Einwilligung) sind möglich, aber an strenge Anforderungen geknüpft: Transparenz, Begründbarkeit der Entscheidung und das Recht auf menschliches Eingreifen.
• Sensitive Daten (Gesundheit, Religion, politische Meinung) in normalen Cloud-LLM-Prompts — ohne explizite Rechtsgrundlage und meist mit AV-Vertrag — nein.

Was problemlos geht — wenn man es richtig aufsetzt.

1. Personenbezogene Daten in Cloud-LLMs.

ChatGPT Business, Claude for Work, Gemini for Workspace bieten Auftrags­verarbeitungs­verträge (AVV) und EU-Hosting-Optionen. Damit ist die Verarbeitung personenbezogener Daten in normalen Geschäfts­vorgängen (Texte schreiben, E-Mails strukturieren, Dokumente analysieren) DSGVO-konform machbar.

Was Sie tun müssen: AVV abschließen, Verarbeitungs­zweck im Verzeichnis dokumentieren, Mitarbeitende in der korrekten Nutzung schulen, sensitive Datenkategorien ausnehmen.

2. KI-gestützte Workflows mit eigenen Daten.

n8n self-hosted, Make.com EU-Server, Microsoft 365 Copilot mit Enterprise Data Protection (Stand 2026 mit aufsichts­rechtlichen Vorbehalten — Prüfung im Einzelfall ratsam) — Werkzeuge, die KI-gestützte Verarbeitung mit klar abgegrenzten Datenflüssen erlauben. Die DSGVO-Konformität liegt selten im Tool selbst, sondern in der Architektur und im Einsatzkontext.

Was Sie tun müssen: Datenfluss­diagramm vor der Implementierung, klare Trennung zwischen „darf in die Cloud" und „bleibt on-premise", regelmäßiges Audit der Workflows.

3. KI für interne Prozesse ohne Personenbezug.

Reines Marketing, allgemeine Recherche, Code-Reviews, Produkttext­generierung — wenn keine personen­bezogenen Daten im Spiel sind, ist DSGVO nicht primär einschlägig. Hier ist die Implementation oft am unkompliziertesten.

Die drei häufigsten Fehler.

In den letzten zwei Jahren haben wir bei Mandanten immer wieder dieselben Probleme gesehen.

• Mitarbeitende nutzen private ChatGPT-Konten und kopieren Mandantendaten rein. Das ist kein DSGVO-Verstoß der Firma — bis es einer wird, weil keine Schulung und kein Tool bereit­gestellt wurde. Lösung: Business-Lizenz + klare Schulung.
• „Wir warten, bis alles geklärt ist." Das passiert nicht. Die Regulierung entwickelt sich kontinuierlich. Wer wartet, verpasst die ersten 5–15 Std./Woche Effizienz­gewinne. Lösung: pragmatisch starten mit niedrig-riskanten Use-Cases, Prozess kontinuierlich erweitern.
• Generischer Datenschutz­hinweis ohne KI-Bezug. Wer KI einsetzt, sollte das in der Datenschutzerklärung benennen — was wird verarbeitet, mit welchem Anbieter, auf welcher Rechtsgrundlage. Lösung: Datenschutz­erklärung um KI-Abschnitt erweitern, mit dem Datenschutz­beauftragten abstimmen.

Der pragmatische Einstieg.

Für Mittelständler, die KI rechtssicher einsetzen wollen, empfehlen wir folgenden Ablauf — er hat sich in den letzten 15 Mandaten bewährt:

1. Use-Cases priorisieren. Drei niedrig-riskante Anwendungen identifizieren (typisch: E-Mail-Triage, Angebots­erstellung, internes Reporting).
2. Tool-Auswahl mit Datenschutz­fokus. Business-Lizenzen mit AVV, EU-Hosting-Option, klare Audit-Trails.
3. Datenfluss­diagramm. Was geht wo hin? Welche Daten dürfen, welche nicht?
4. Schulung. 2 Stunden pro Mitarbeitendem, klar dokumentiert.
5. Dokumentation. Verzeichnis von Verarbeitungs­tätigkeiten, Datenschutzerklärung, ggf. Datenschutz-Folgenabschätzung.
6. Pilot, dann Skalierung. 4 Wochen Pilot mit kleinem Team, dann ausweiten.

EU AI Act: was sich 2026 ändert.

Der EU AI Act ist seit August 2024 in Kraft. Verbote (z.B. Social Scoring) gelten seit Februar 2025, die Pflichten für General-Purpose-AI seit August 2025; die Hauptpflichten für Anbieter und Betreiber greifen ab August 2026, die Hochrisiko-Pflichten ab August 2027. Für die KI-Nutzung im Mittelstand sind drei Punkte wichtig:

• Transparenz­pflicht: Wenn ein Kunde mit einer KI interagiert (Chatbot, automatisierter Service), muss das offengelegt werden.
• Risikoklassifikation: Hochriskante KI-Systeme (z.B. Bewerbungs­filter) brauchen Konformitäts­bewertung. Die meisten Mittelstands-Anwendungen fallen NICHT in diese Kategorie.
• KI-Kompetenz: Unternehmen müssen sicherstellen, dass Personen, die KI bedienen, ausreichend kompetent sind. Klingt nach Bürokratie, ist aber nur eine dokumentierte Schulung.

Sie wollen KI rechtssicher einsetzen? Erstgespräch buchen — wir bewerten Ihre konkreten Anwendungsfälle.