Die Sorge ist berechtigt — die Lähmung nicht
"Dürfen wir das überhaupt?" — die häufigste Frage in unseren Erstgesprächen. Die Antwort: Ja, wenn Sie ein paar Regeln beachten. Tausende europäische Unternehmen nutzen KI bereits DSGVO-konform. Was nicht geht: einfach loslegen und hoffen.
Dieser Artikel gibt Ihnen den Überblick. (Hinweis: Er ersetzt keine Rechtsberatung — bei speziellen Fragen gehört Ihr Datenschutzbeauftragter oder Anwalt mit an den Tisch.)
Die 5 wichtigsten Regeln für KI im Unternehmen
1. Serverstandort: EU bevorzugen
Personenbezogene Daten (Kundennamen, E-Mails, Telefonnummern) sollten auf europäischen Servern verarbeitet werden. Viele KI-Anbieter bieten inzwischen EU-Hosting oder garantieren, dass Daten die EU nicht verlassen. Genau darauf achten wir bei jeder Tool-Auswahl.
2. Auftragsverarbeitungsvertrag (AVV) abschließen
Sobald ein Dienstleister personenbezogene Daten für Sie verarbeitet — und das tut praktisch jedes KI-Tool — brauchen Sie einen AVV. Seriöse Anbieter stellen den standardmäßig bereit. Kein AVV verfügbar? Finger weg.
3. Keine Trainingsdaten ohne Kontrolle
Wichtige Unterscheidung: Verarbeitet das KI-Modell Ihre Daten nur (okay), oder trainiert es damit (kritisch)? Bei Business-Tarifen der großen Anbieter lässt sich das Training mit Ihren Daten ausschließen — bei kostenlosen Consumer-Versionen oft nicht. Deshalb: niemals Kundendaten in private ChatGPT-Accounts kopieren.
4. Transparenz gegenüber Kunden
Wenn ein KI-Chatbot mit Ihren Kunden spricht, sollte erkennbar sein, dass es eine KI ist. Das verlangt nicht nur die Fairness, sondern zunehmend auch die Regulierung (Stichwort EU AI Act). Gute Nachricht: Die Akzeptanz ist hoch, wenn der Bot schnell und kompetent hilft.
5. Datensparsamkeit by Design
Die KI bekommt nur die Daten, die sie für die Aufgabe braucht. Ein Chatbot, der Termine bucht, braucht Namen und E-Mail — nicht die komplette Kundenhistorie. Gute Systemarchitektur löst das von Anfang an.
Der EU AI Act: Was kommt da auf Sie zu?
Der EU AI Act teilt KI-Anwendungen in Risikoklassen ein. Die gute Nachricht für die allermeisten Geschäftsanwendungen: Chatbots, Angebotsautomatisierung, Dokumentenverarbeitung und Co. fallen in die minimale bis begrenzte Risikoklasse. Die Pflichten beschränken sich im Wesentlichen auf Transparenz (siehe Regel 4).
Hochriskante Anwendungen (z.B. KI-Entscheidungen über Personal oder Kredite) haben strengere Auflagen — die typische Prozessautomatisierung ist davon nicht betroffen.
Checkliste: Ist Ihr KI-Setup DSGVO-fit?
- [ ] EU-Serverstandort oder garantierte EU-Datenverarbeitung
- [ ] AVV mit allen KI-Dienstleistern abgeschlossen
- [ ] Training mit Ihren Daten vertraglich ausgeschlossen
- [ ] KI-Einsatz in der Datenschutzerklärung erwähnt
- [ ] Chatbot gibt sich als KI zu erkennen
- [ ] Nur notwendige Daten fließen in die KI
- [ ] Löschkonzept für Gesprächs- und Verarbeitungsdaten
Fazit
DSGVO und KI schließen sich nicht aus — sie verlangen nur saubere Arbeit bei der Systemauswahl und -architektur. Genau deshalb bauen wir jedes System von Anfang an DSGVO-konform: EU-Server, AVVs, Datensparsamkeit, Dokumentation. Damit Sie die Vorteile nutzen können, ohne nachts wach zu liegen.
