← Zurück zum Blog
·3 Min Lesezeit

DSGVO und KI: Was 80 % der Beratungsfirmen falsch erklären

Die 3 Mythen, die jedes KI-Projekt im Mittelstand kosten — und was wirklich gilt seit dem EU-AI-Act.

Mario Albrecht
Founder · MD One
DSGVOComplianceAI Act

Wenn ich einen Erstgespräch mit einem Mittelständler mache, ist Frage Nummer drei (nach Preis und Förderung) immer die gleiche:

„Aber wir können das doch wegen DSGVO eh nicht machen, oder?"

Die kurze Antwort: Doch. Können Sie. Und Sie müssen sogar, wenn Sie wettbewerbsfähig bleiben wollen.

Die längere Antwort braucht 4 Minuten. Hier sind sie.

Mythos 1: „KI ist DSGVO-rechtlich unmöglich"

Das ist falsch. KI ist DSGVO-rechtlich regulierbar — und das ist ein riesiger Unterschied.

Die DSGVO sagt: Du darfst personenbezogene Daten verarbeiten, wenn:

  1. Du eine Rechtsgrundlage hast (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht)
  2. Du den Zweck dokumentierst
  3. Du technische und organisatorische Maßnahmen (TOM) ergreifst

Bei KI sind alle drei Punkte erfüllbar. Sie brauchen:

  • Ein Verarbeitungsverzeichnis (haben Sie eh)
  • Eine Datenschutz-Folgenabschätzung (DSFA) für die KI-Komponente
  • Einen AVV (Auftragsverarbeitungsvertrag) mit Ihrem KI-Dienstleister
  • Die richtige Server-Location

Ihre Mitarbeiter dürfen mit ChatGPT, Claude und Co. nur dann arbeiten, wenn diese vier Dinge stimmen.

Mythos 2: „US-Cloud ist verboten"

Auch falsch — aber gefährlich nah an der Wahrheit.

Was wirklich gilt seit dem Trans-Atlantic Data Privacy Framework (TDPF) Juli 2023:

  • US-Server sind erlaubt, wenn der Anbieter TDPF-zertifiziert ist
  • OpenAI, Anthropic, Microsoft (Azure) sind alle zertifiziert
  • Aber: Auf dem Papier reicht das nicht. Die EU-Kommission hat das TDPF wieder mehrfach geprüft, und es kann jederzeit fallen (wie der Vorgänger „Privacy Shield" 2020)

Die sichere Variante für Mittelständler:

  • Server-Location in der EU (Frankfurt, Amsterdam, Dublin)
  • Anbieter mit deutschem Vertretungsbüro für Auskunftspflichten
  • AVV explizit nach DSGVO Art. 28

Wir nutzen für Kunden-Projekte fast immer Microsoft Azure OpenAI Service (Frankfurt) oder Anthropic via AWS (Frankfurt). Beide bieten EU-Region-Locks und AVV nach EU-Standard. Keine Datenexporte in die USA.

Mythos 3: „Wir müssen Mitarbeiter informieren — das wollen wir nicht"

Das ist die schwierigste Frage. Und die ehrlichste Antwort lautet: Ja, müssen Sie. Aber das ist Ihre Chance, nicht Ihr Problem.

Wenn Sie KI im Unternehmen einführen, müssen Sie:

  • Den Betriebsrat einbinden (falls vorhanden, ab 5 Mitarbeitern Pflicht-Mitbestimmungsrecht)
  • Mitarbeiter transparent informieren, welche KI-Systeme welche Daten verarbeiten
  • Eine schriftliche KI-Richtlinie verfassen (formlos reicht, 2 Seiten genug)

Warum das eine Chance ist: 70 % Ihrer Mitarbeiter nutzen ChatGPT bereits — heimlich. Mit privaten Accounts. Mit Firmen-Daten. Sie haben aktuell ein riesiges Schatten-IT-Problem.

Indem Sie KI offen einführen, mit einer klaren Richtlinie („Diese Tools dürfen Sie nutzen. Diese Daten dürfen rein. Diese nicht."), holen Sie diese Schatten-IT zurück in den geregelten Bereich.

Das ist nicht nur DSGVO-konform — das ist besser für Ihre Datensicherheit als der Status quo.

Was ist mit dem EU AI Act?

Der EU AI Act tritt 2026 in Stufen in Kraft. Für 95 % der Mittelstand-KI-Anwendungen (Mail-Triage, Buchhaltung, Wissens-Suche, Reklamations-Routing) sind die Anforderungen gering:

  • Transparenz-Pflicht: Mitarbeiter müssen wissen, dass sie mit KI interagieren
  • Logging-Pflicht: Sie müssen nachweisen können, was die KI gemacht hat (für 1 Jahr)
  • Human-Oversight: Bei wichtigen Entscheidungen (z.B. Personal, Kredit) muss ein Mensch das letzte Wort haben

Hochrisiko-KI (HR-Bewerbungs-Filter, Kreditscoring, biometrische Identifikation) hat deutlich strengere Auflagen. Für 95 % der hier diskutierten Anwendungen ist das irrelevant.

Was Sie konkret tun

Wenn Sie KI im Mittelstand einsetzen wollen, brauchen Sie folgende Unterlagen — am besten von Ihrem Dienstleister mitgeliefert:

  1. AVV nach DSGVO Art. 28 (Auftragsverarbeitungsvertrag)
  2. DSFA (Datenschutz-Folgenabschätzung) für jedes KI-System
  3. KI-Richtlinie für Mitarbeiter (2 Seiten reichen)
  4. Logging-Konzept (was wird wie lange gespeichert)
  5. Server-Location-Nachweis (EU-Region-Confirmation)

Wir liefern das standardmäßig bei jedem unserer Sprints mit. Wenn Ihr aktueller Dienstleister diese 5 Dokumente nicht anbietet — wechseln Sie.

Fazit

DSGVO ist kein Verhinderer von KI im Mittelstand. DSGVO ist ein Filter für seriöse Anbieter. Wenn jemand Ihnen sagt „Das geht alles, kein Problem mit DSGVO" — vorsichtig. Wenn jemand sagt „Das geht gar nicht wegen DSGVO" — auch vorsichtig.

Die Wahrheit liegt in der Mitte: Es geht, aber mit den richtigen Schutzmaßnahmen. Und die richtigen Schutzmaßnahmen sind kein Hexenwerk. Sie sind dokumentierbar und beim BAFA prüfbar.

Wenn Sie unsicher sind, ob Ihr Projekt DSGVO-tauglich ist — wir machen in 30 Minuten kostenlos eine Erst-Einschätzung. Sie schildern uns Ihren Anwendungsfall, wir sagen Ihnen: geht, geht mit Anpassung, geht nicht.

Potenzialanalyse starten

Klingt nach Ihrem Problem?

30 Minuten Audit-Call. Kostenlos. Wir zeigen Ihnen anhand Ihrer Zahlen, was Sie monatlich sparen.

Audit-Call vereinbaren

Weitere Beiträge

·3 Min Lesezeit

Was BAFA-Förderung 2026 für KI im Mittelstand wirklich heißt

50 % Förderung, gedeckelt bei 35.000 €. Klingt einfach. Ist es nicht. Die 4 Punkte, die 90 % der Anträge scheitern lassen.

·4 Min Lesezeit

Praxis-Case: Wie ein 18-Mann-Betrieb 47.000 € pro Jahr spart

Heizungsbau, 18 Mitarbeiter, Süddeutschland. Mail-Triage in 3 Tagen live. Zahlen, Ablauf, ehrliche Stolpersteine.