DSGVO-konforme KI-Einführung im Mittelstand erfordert vier Bausteine: Auftragsverarbeitungsvertrag (AVV) mit dem LLM-Anbieter, EU-Server oder vertraglich abgesichertes Datenschutz-Niveau (Standardvertragsklauseln), Datenminimierung in den Prompts und ein dokumentierter Verzeichnis-Eintrag (Art. 30 DSGVO). Mit Azure OpenAI EU oder Mistral La Plateforme lassen sich alle Punkte ohne externe Beratung abdecken.

DSGVO-konforme KI-Einführung bezeichnet den Prozess, generative Sprachmodelle und KI-gestützte Workflows in einem Unternehmen produktiv zu nutzen, ohne gegen die Datenschutz-Grundverordnung zu verstoßen. Zentraler Knackpunkt ist der Datenfluss: Personenbezogene Daten dürfen nur unter klar definierten Voraussetzungen an US-LLM-Anbieter übermittelt werden.

Compliance & Datenschutz 9 Min. Lesezeit

DSGVO-konforme KI-Einführung: Was Mittelständler vor dem ersten Rollout klären müssen

Wer KI in Geschäftsprozessen einführt, ohne Auftragsverarbeitungsvertrag, Datenschutz-Folgenabschätzung und Mitarbeiterdokumentation zu klären, riskiert Bußgelder bis 20 Millionen Euro. Drei Pflichten, die kein Mittelständler übersehen sollte.

Safak Tepecik

KI-Automatisierungs-Experte

Viele Mittelständler starten KI-Projekte mit dem Tool — und klären das Rechtliche danach. Das ist riskant. Die DSGVO enthält drei konkrete Pflichten, die vor dem ersten produktiven Einsatz erfüllt sein müssen. Wer sie kennt, kann sie in zwei bis drei Wochen abarbeiten. Wer sie ignoriert, bemerkt das Problem spätestens bei der nächsten Datenschutzbehörden-Kontrolle.

Das eigentliche Risiko: Nicht das Tool, sondern wie man es einsetzt

Der häufigste Fehler ist kein technischer. Er ist organisatorischer Art: Ein Team testet ein KI-Tool mit echten Kundendaten, bevor der Datenschutzbeauftragte überhaupt informiert wurde.

Laut einer Bitkom-Umfrage aus 2024 setzen 32% der deutschen KMU bereits KI-Tools produktiv ein — aber weniger als die Hälfte davon hat die notwendigen Datenschutzverträge mit den Anbietern abgeschlossen. Das ist kein Versehen, sondern strukturelle Unwissenheit über drei Pflichten, die das Gesetz eindeutig vorschreibt.

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten — also für alle KI-Systeme, die Mitarbeiter-E-Mails analysieren, Kundenanfragen kategorisieren, Bewerberprofile auswerten oder Vertragsdetails extrahieren. Wer das tut, ohne die Compliance-Hausaufgaben zu machen, riskiert Bußgelder bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro (Art. 83 Abs. 5 DSGVO) — je nachdem, was höher ist.

Pflicht Nr. 1: Auftragsverarbeitungsvertrag mit dem KI-Anbieter (Art. 28 DSGVO)

Wer einen Cloud-KI-Dienst nutzt, bei dem personenbezogene Daten in die Systeme des Anbieters fließen, ist verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Das gilt für jedes SaaS-KI-Tool, das Kundennamen, Anschriften, E-Mails oder Vertragsdetails verarbeitet.

Der AVV regelt:

  • Welche Daten verarbeitet werden und zu welchem Zweck

  • Ob und in welche Länder Daten übertragen werden (besonders relevant bei US-Anbietern)

  • Welche technischen und organisatorischen Maßnahmen der Anbieter zum Schutz der Daten einsetzt

  • Das Weisungsrecht des Auftraggebers gegenüber dem Auftragsverarbeiter

Konkrete Situation für deutsche Unternehmen: Wer ChatGPT Enterprise, Microsoft Azure OpenAI, Google Vertex AI oder vergleichbare Dienste nutzt, kann einen rechtssicheren AVV abschließen. OpenAI stellt für Enterprise-Kunden einen DSGVO-konformen Datenverarbeitungsvertrag bereit, Microsoft Azure OpenAI bietet eine Verarbeitung in deutschen und europäischen Rechenzentren an.

Was nicht funktioniert: Die kostenlose Version von ChatGPT (chat.openai.com) ohne Enterprise-Vertrag mit echten Kundendaten zu nutzen. Ohne AVV und ohne Kontrolle über Trainingsdaten-Nutzung ist das rechtlich nicht haltbar.

Zeitaufwand für den AVV: Bei etablierten Anbietern dauert die Unterzeichnung eines Standardvertrags wenige Stunden. Der kritische Schritt davor ist die interne Entscheidung: Welche Daten fließen in welches Tool?

Pflicht Nr. 2: Datenschutz-Folgenabschätzung bei hohem Risiko (Art. 35 DSGVO)

Eine Datenschutz-Folgenabschätzung (DSFA) ist Pflicht, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko" für betroffene Personen bedeutet. Die Datenschutzkonferenz (DSK) hat neun Kriterien definiert, bei denen typischerweise eine DSFA erforderlich ist. Wer zwei oder mehr davon erfüllt, muss eine DSFA durchführen.

Relevante Kriterien für KI-Systeme:

  • Automatisierte Entscheidungen mit erheblichen Auswirkungen (Art. 35 Abs. 3 lit. a DSGVO): Kreditbewertung, Jobkandidat-Ranking, Risikoeinstufung

  • Systematische Überwachung: Analyse von Mitarbeiter-E-Mails oder Kundenverhalten im großen Maßstab

  • Verarbeitung sensibler Datenkategorien (Art. 9 DSGVO): Gesundheitsdaten, Behinderungen, politische Meinungen

  • Matching oder Zusammenführung von Datensätzen aus verschiedenen Quellen

Ein CRM-KI-Tool, das automatisch Lead-Scores berechnet und damit Vertriebsprioritäten setzt, erfüllt wahrscheinlich das erste Kriterium. Ein E-Mail-Analyse-Tool, das das Kommunikationsverhalten von Mitarbeitern auswertet, das zweite.

Was eine DSFA konkret enthält: 1. Beschreibung des Verarbeitungsvorgangs und des Zwecks 2. Bewertung der Notwendigkeit und Verhältnismäßigkeit 3. Risikoanalyse für Rechte und Freiheiten der Betroffenen 4. Maßnahmen zur Risikoeindämmung

Für Standardsysteme mit klar definierten Nutzungsszenarien dauert eine dokumentierte DSFA erfahrungsgemäß zwei bis vier Arbeitstage. Sie muss nicht jedes Jahr neu gemacht werden — aber bei wesentlichen Änderungen des Systems oder der Verarbeitung.

Pflicht Nr. 3: Transparenz- und Informationspflichten (Art. 13, 14, 22 DSGVO)

Zwei Gruppen müssen über den KI-Einsatz informiert werden: Kunden und Mitarbeiter.

Für Kunden (Art. 13/14 DSGVO): Wenn ein KI-System Kundenanfragen bearbeitet, automatisch auf E-Mails antwortet oder Verträge analysiert, muss das in der Datenschutzerklärung transparent gemacht werden. Welche Daten, welcher Zweck, welche Rechtsgrundlage, welche Speicherdauer. Für automatisierte Einzelentscheidungen (Art. 22 DSGVO): Wird durch KI eine Entscheidung getroffen, die eine Person "erheblich beeinträchtigt" — etwa eine automatische Kreditablehnung oder eine KI-gestützte Einstellungsentscheidung — hat die betroffene Person das Recht, eine menschliche Überprüfung zu verlangen. Das muss technisch möglich und organisatorisch gewährleistet sein. Für Mitarbeiter: Der Betriebsrat (sofern vorhanden) muss bei der Einführung von KI-Systemen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen oder auswerten können, nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmen. Das ist kein DSGVO-Thema, aber in der Praxis eng damit verknüpft und sollte parallel geklärt werden.

Praktische Checkliste für die DSGVO-konforme KI-Einführung

Schritt | Pflicht | Zuständig | Zeitaufwand
1 | KI-Tool auflisten: Welche Daten fließen wohin? | IT + Datenschutz | 1–2 Tage
2 | AVV mit allen Anbietern abschließen | Geschäftsführung + Datenschutz | 1–5 Tage
3 | DSFA-Notwendigkeit prüfen (DSK-Kriterien) | Datenschutzbeauftragter | 1 Tag
4 | DSFA durchführen (falls nötig) | Datenschutzbeauftragter + IT | 2–4 Tage
5 | Datenschutzerklärung aktualisieren | Rechtsabteilung oder externer Berater | 1–2 Tage
6 | Mitarbeiter informieren, ggf. Betriebsrat einbeziehen | HR + Geschäftsführung | 1–3 Tage
7 | Verarbeitungsverzeichnis aktualisieren (Art. 30 DSGVO) | Datenschutzbeauftragter | 1 Tag

Gesamtaufwand bei einem KI-Tool: 2–4 Wochen mit klarer Aufgabenteilung.

Unternehmen, die KI in mehreren Bereichen gleichzeitig einführen, sollten die DSGVO-Compliance als Projektaufgabe führen — nicht als Nebenthema, das irgendwer "mal schnell" klärt.

Einen Überblick über verfügbare Förderprogramme für genau diese Art von Digitalisierungsprojekten finden Sie in unserem Artikel [Fördermittel Digitalisierung Mittelstand 2026](/blog/foerdermittel-digitalisierung-mittelstand-2026/). Die BAFA-Beratungsförderung gilt auch für externe Unterstützung bei der DSGVO-Compliance-Analyse — mehr dazu in [BAFA-Berater finden: KI-Prozessoptimierung förderfähig beantragen](/blog/bafa-berater-finden-ki-prozessoptimierung/).

Häufige Fragen

Brauchen wir für jedes KI-Tool einen eigenen AVV? Ja — für jeden Anbieter separat. Ein AVV mit Microsoft Azure deckt nicht automatisch andere Tools ab. Praktisch heißt das: Eine Bestandsaufnahme aller genutzten KI-Tools ist der erste Schritt. Danach prüfen Sie für jeden Anbieter, ob ein Standardvertrag verfügbar ist (bei den meisten großen Anbietern: ja). Was passiert, wenn wir bereits seit Monaten KI-Tools ohne AVV nutzen? Die Verarbeitung war in diesem Zeitraum nicht rechtskonform. Handlungsempfehlung: AVV rückwirkend abschließen (soweit der Anbieter das anbietet), intern dokumentieren, dass der Fehler erkannt und korrigiert wurde. Eine Selbstmeldung an die Datenschutzbehörde ist bei einem reinen Verfahrensfehler ohne Datenpanne in der Regel nicht erforderlich — aber mit dem Datenschutzbeauftragten abstimmen. Gilt der EU AI Act zusätzlich zur DSGVO? Ja, ergänzend. Die DSGVO regelt den Datenschutz bei KI-Systemen — der EU AI Act klassifiziert KI-Systeme nach Risikostufen und schreibt für Hochrisiko-Systeme zusätzliche Pflichten vor (Technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung). Die meisten Standard-KI-Tools im Mittelstand (Chatbots, Dokumentenautomation, E-Mail-Klassifizierung) fallen nicht in die Hochrisiko-Kategorie. Biometrische Echtzeit-Überwachung, KI-gestütztes Personalauswahl-Ranking oder medizinische Diagnose-KI dagegen sehr wohl. Wir haben keinen Datenschutzbeauftragten. Wer übernimmt das dann? Die DSGVO schreibt einen internen oder externen Datenschutzbeauftragten (DSB) vor, wenn mindestens 20 Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Darunter ist die Benennung eines DSB nur in Ausnahmefällen Pflicht. In der Praxis empfehlen wir für Unternehmen ab 15 Mitarbeitern mit KI-Einsatz einen externen DSB — Kosten: typischerweise 150–400 Euro pro Monat je nach Umfang. Können wir die DSFA intern durchführen oder brauchen wir externe Hilfe? Eine DSFA kann intern durchgeführt werden — wenn Datenschutzkenntnisse und Ressourcen vorhanden sind. In der Praxis führen viele Mittelständler sie mit externer Begleitung durch, da die Bewertung der Risiken für Rechte und Freiheiten der Betroffenen Erfahrung erfordert. Die Dokumentation muss im Fall einer Prüfung durch die Aufsichtsbehörde vorzeigbar sein — eine zu knappe oder lückenhafte DSFA ist dann problematischer als gar keine.

DSGVO-Compliance bei KI-Systemen ist handhabbar, wenn man strukturiert vorgeht. Die drei Kernpflichten — AVV, DSFA und Transparenzpflichten — lassen sich mit klaren Zuständigkeiten in zwei bis vier Wochen abarbeiten. Was länger dauert, ist die interne Diskussion darüber, wer verantwortlich ist. Wenn Sie wissen möchten, welche Ihrer geplanten KI-Vorhaben welche Compliance-Anforderungen auslösen: Wir klären das in einem kostenlosen Erstgespräch.

DSGVO Datenschutz KI-Einführung Compliance AI Act Mittelstand Auftragsverarbeitung Datenschutz-Folgenabschätzung

Weiterführende Artikel

Prozessautomatisierung

Rechnungseingang automatisieren: Wie Mittelständler 80% der Buchhalter-Zeit zurückgewinnen

7 Min. Lesezeit
Kundenservice

Kundenservice automatisieren: Wie KI-Chatbots den Mittelstand entlasten

8 Min. Lesezeit
Prozessoptimierung

Prozessoptimierung mit KI: Der Leitfaden für den Mittelstand

9 Min. Lesezeit

Bereit, diesen Prozess zu automatisieren?

Wir analysieren kostenlos Ihre aktuelle Situation und zeigen konkret, welche Automatisierungen sich für Ihr Unternehmen lohnen.

Kostenlose Analyse vereinbaren →
← Alle Artikel