Alle Beiträge
DSGVOSouveräne KIMittelstand

DSGVO-konforme KI für Unternehmen: was wirklich zählt

6 Min. LesezeitThomas Stermole

KI ist im Mittelstand angekommen – nur leider oft durch die Hintertür. Mitarbeiter nutzen ChatGPT, weil es ihre Arbeit schneller macht, und kopieren dabei Angebote, Kundendaten und Verträge in ein Tool, dessen Datenwege niemand im Haus überblickt. Die berechtigte Frage, die daraus folgt, lautet selten „Ist KI erlaubt?", sondern: Wie nutzen wir KI, ohne die Kontrolle über unsere Daten zu verlieren?

Rund um dieses Thema kursiert viel Halbwissen – von „KI im Unternehmen ist verboten" bis „mit einem deutschen Anbieter sind Sie automatisch sicher". Beides ist falsch. Dieser Leitfaden räumt damit auf und zeigt, worauf es bei DSGVO-konformer KI tatsächlich ankommt. Ohne Panikmache, ohne erhobenen Zeigefinger.

Was „DSGVO-konforme KI" wirklich bedeutet – und was nicht

Zuerst die wichtigste Klarstellung: „DSGVO-konforme KI" ist kein Produkt, das Sie kaufen, und kein Siegel, das ein Anbieter auf seine Website klebt. Es ist eine Eigenschaft Ihres Einsatzes – also davon, welche Daten Sie wie, wo und auf welcher Rechtsgrundlage verarbeiten.

Daraus folgen zwei verbreitete Irrtümer, die teuer werden können:

Irrtum 1: „Ein EU-Anbieter ist automatisch konform." Der Standort des Anbieters ist nur ein Faktor von mehreren. Auch ein europäisches Tool braucht eine saubere Rechtsgrundlage, einen Auftragsverarbeitungsvertrag (AVV) und eine korrekte Dokumentation. Geografie allein schützt nicht.

Irrtum 2: „Lokale KI ist automatisch DSGVO-konform." Self-Hosting löst das größte Problem – den Datentransfer in Drittländer – elegant. Aber es macht Sie nicht automatisch konform. Auch wenn ein Modell auf Ihrem eigenen Server läuft, brauchen Sie weiterhin eine Rechtsgrundlage für die Verarbeitung, müssen den Zweck begrenzen und Ihre Mitarbeiter transparent informieren. Souveränität ist die halbe Miete, nicht die ganze.

DSGVO-Konformität entsteht also nicht durch ein Häkchen, sondern durch das Zusammenspiel mehrerer Stellschrauben. Schauen wir uns die wichtigste zuerst an.

Der eigentliche Knackpunkt: wohin fließen Ihre Daten?

Sobald personenbezogene Daten ein US-Tool erreichen, verlassen sie in der Regel den europäischen Rechtsraum. Genau hier sitzt die rechtliche Unsicherheit – und hier wird im Markt am meisten Angst verkauft. Deshalb der nüchterne Stand der Dinge (Stand: 26. Juni 2026):

Transfers in die USA sind nicht pauschal illegal. Seit 2023 gibt es das EU-US Data Privacy Framework (DPF), einen Angemessenheitsbeschluss der EU-Kommission, der die Übermittlung an zertifizierte US-Unternehmen erlaubt. Im September 2025 hat das Gericht der Europäischen Union eine erste Klage dagegen abgewiesen und das Framework bestätigt – das sorgt kurzfristig für Rechtssicherheit.

Die ehrliche Einordnung dazu lautet aber: Das DPF ist eine gültige, aber keine endgültig gesicherte Grundlage. Ein Rechtsmittel zum Europäischen Gerichtshof ist anhängig, das Framework beruht auf einer US-Executive-Order und hängt damit an der jeweiligen US-Regierung, und seine beiden Vorgänger – Safe Harbor und Privacy Shield – wurden bereits vom EuGH gekippt. Ein erneutes Kippen („Schrems III") ist nicht ausgeschlossen. Wer seine gesamte KI-Strategie allein auf das DPF stützt, baut auf Sand, der sich verschieben kann.

Wichtig außerdem: Selbst wenn das DPF greift, legitimiert es nur den Transfer. Einen AVV und eine Rechtsgrundlage für den eigentlichen Verarbeitungszweck brauchen Sie trotzdem.

In der Praxis sieht der pragmatische Standard so aus: Seriöse US-Anbieter bieten für ihre Geschäftsprodukte eine doppelte Absicherung. ChatGPT Enterprise etwa lässt sich auf das DPF stützen, hält mit Standardvertragsklauseln einen Rückfallweg bereit und bietet EU-Datenresidenz sowie für berechtigte Kunden zusätzlich Inference Residency an. Außerdem nutzt OpenAI Business- und Enterprise-Eingaben standardmäßig nicht zum Training. Das ist vertretbar – aber es bleibt ein Restrisiko und ein laufender Dokumentationsaufwand. Für viele Mittelständler ist die einfachere Antwort: das Problem gar nicht erst entstehen lassen.

Die drei Stellschrauben für DSGVO-konforme KI

Aus der Praxis lassen sich drei Hebel herausschälen, an denen sich Konformität entscheidet. Wer diese drei sauber beantwortet, hat das Wesentliche im Griff.

1. Der Datenstandort. Wo läuft die eigentliche Verarbeitung – die KI-Inferenz? In einer US-Cloud, in einem EU-Rechenzentrum oder auf Ihrer eigenen Infrastruktur? Je näher die Daten bei Ihnen bleiben, desto kleiner wird die Drittland-Frage. Bei vollständig lokaler Verarbeitung verschwindet sie ganz.

2. Modell und Anbieter. Setzen Sie auf eine geschlossene US-API oder auf ein Open-Source-Modell, das Sie selbst betreiben können? Geben Anbieter Ihre Eingaben zum Training frei oder nicht? Liegt ein belastbarer AVV vor? Open-Source-Modelle haben hier einen strukturellen Vorteil: Sie können sie dorthin stellen, wo Sie wollen, und niemand trainiert heimlich mit Ihren Daten.

3. Zweck, Rechtsgrundlage und Transparenz. Für welchen Zweck verarbeiten Sie welche Daten, und auf welcher Rechtsgrundlage? Sind Ihre Mitarbeiter informiert? Ist dokumentiert, welches KI-Werkzeug wofür im Einsatz ist? Diese Dokumentation ist nicht nur DSGVO-Pflicht – sie ist zugleich die Basis für Ihr KI-Inventar nach dem EU AI Act, der den Mittelstand seit 2026 zunehmend in die Pflicht nimmt.

Drei Wege, KI DSGVO-konform zu nutzen

Es gibt nicht den einen richtigen Weg, sondern ein Spektrum – mit ehrlichen Vor- und Nachteilen.

Weg 1 – US-Dienst mit Absicherung (DPF, SCC, EU-Residenz). Schnell startklar, größter Funktionsumfang, vertraute Tools. Preis dafür: Restrisiko durch die Drittland-Frage, laufender Dokumentationsaufwand und Abhängigkeit von einem Anbieter, dessen Preise und Konditionen Sie nicht kontrollieren.

Weg 2 – EU-gehostete Dienste. Die Drittland-Frage entspannt sich deutlich. Sie bleiben aber von einem externen Anbieter abhängig und sollten genau prüfen, wo die Inferenz wirklich stattfindet.

Weg 3 – Self-hosted bzw. on-premise. Maximale Datenhoheit: Die Daten verlassen Ihr Haus nicht, die Drittland-Frage entfällt vollständig, und es gibt keinen Vendor-Lock-in. Der Aufwand für Einrichtung und Betrieb ist höher – dafür gehört das System Ihnen, dauerhaft. Für sensible Daten und für Unternehmen, die Souveränität nicht dem Zufall überlassen wollen, ist das der ruhigste Weg.

Welcher Weg passt, hängt von Ihrem Schutzbedarf, Ihrem Budget und Ihrer gewünschten Geschwindigkeit ab. Es gibt keine pauschal beste Antwort – nur die für Ihre Situation passende.

Was das praktisch heißt

Der häufigste Fehler ist nicht die falsche Tool-Wahl. Es ist, gar keine bewusste Wahl zu treffen – und das Team in der Zwischenzeit unkontrolliert mit öffentlichen Tools arbeiten zu lassen. Dieses „Shadow AI" ist kein Disziplinproblem, sondern ein fehlendes Werkzeug. Sobald Ihr Team eine sichere, schnelle Alternative hat, die es tatsächlich gern nutzt, löst sich das Problem von selbst.

Genau das ist der Kern DSGVO-konformer KI in der Praxis: ein klar definierter, dokumentierter KI-Arbeitsplatz, bei dem Sie wissen, wo Ihre Daten liegen, statt es zu hoffen.

Hinweis: Dieser Beitrag bietet eine fachliche Orientierung, ersetzt aber keine Rechtsberatung. Für die verbindliche Bewertung Ihres konkreten Falls ziehen Sie bitte fachkundigen Rechtsrat hinzu.

Häufige Fragen

Ist ChatGPT DSGVO-konform? Das kostenlose Consumer-ChatGPT ist für Firmendaten kritisch. Die Geschäftsversionen (Business/Enterprise) lassen sich hingegen konform einsetzen – mit DPF, Standardvertragsklauseln, EU-Datenresidenz und ohne Training mit Ihren Eingaben –, sofern Sie es richtig konfigurieren und dokumentieren. Ein Restrisiko durch den Datentransfer bleibt.

Welche KI ist DSGVO-konform? Keine „von Haus aus". Konformität entsteht durch Ihren Einsatz: Datenstandort, Anbieter und Modell, Rechtsgrundlage und Dokumentation. Self-hosted bzw. EU-gehostete Lösungen machen es deutlich einfacher.

Brauche ich einen Auftragsverarbeitungsvertrag (AVV)? Sobald ein externer Dienstleister personenbezogene Daten für Sie verarbeitet: ja. Bei vollständig lokaler Verarbeitung ohne externen Verarbeiter entfällt dieser Punkt.

Müssen meine Daten zwingend in der EU bleiben? Nicht zwingend – über das DPF und ergänzende Garantien sind US-Transfers derzeit möglich. Für sensible Daten ist das Halten in der EU oder im eigenen Haus aber der risikoärmste Weg, weil die gesamte Drittland-Frage entfällt.

Ist lokale KI automatisch DSGVO-konform? Nein. Lokale Verarbeitung löst die Transfer-Frage, aber Sie brauchen weiterhin Rechtsgrundlage, Zweckbindung und Transparenz gegenüber Ihren Mitarbeitern.

Sie wollen wissen, wo Ihr Unternehmen heute steht – und welche KI-Nutzung souverän und konform machbar ist? Der Souveränitäts-Check schafft in einer Woche Klarheit: Wo fließen heute Daten ab, was fällt unter den EU AI Act, und welche Prozesse lassen sich sicher automatisieren. → Mehr erfahren

Nächster Schritt

Klingt relevant für Ihr Unternehmen?

In einem unverbindlichen Erstgespräch klären wir in 30 Minuten, ob und wo sich der Einstieg für Sie lohnt — ehrlich und ohne Verkaufsdruck.

Erstgespräch anfragen