DSGVO und KI: Was KMU jetzt wissen müssen
KI-Tools sind im Arbeitsalltag angekommen — von ChatGPT über automatisierte E-Mail-Triage bis zu KI-Chatbots auf der eigenen Website. Aber was sagt der Datenschutz dazu? Viele KMU sind unsicher: Darf ich das überhaupt? Und wenn ja — worauf muss ich achten?
Hier ein praxisnaher Überblick — ohne Juristendeutsch, mit konkreten Handlungsempfehlungen.
1. DSGVO gilt auch für KI
Sobald personenbezogene Daten verarbeitet werden — und das passiert schneller als man denkt — greift die DSGVO. Das betrifft zum Beispiel:
- Chatbots, die Kundennamen oder E-Mail-Adressen verarbeiten
- E-Mail-Automatisierung, die eingehende Mails kategorisiert
- Dokumenten-KI, die Verträge mit Personendaten zusammenfasst
- Sprachmodelle, denen Mitarbeiter interne Daten übergeben
Die gute Nachricht: KI-Einsatz und DSGVO schließen sich nicht aus. Aber es braucht klare Spielregeln.
2. Die 5 wichtigsten Regeln
Wer KI DSGVO-konform einsetzen will, sollte diese fünf Punkte beachten:
- Zweckbindung: Daten nur für den definierten Zweck verwenden. Wenn der Chatbot Kundenanfragen beantwortet, dürfen die Daten nicht nebenbei fürs Marketing genutzt werden.
- Datenminimierung: Nur die Daten verarbeiten, die wirklich nötig sind. Ein KI-Chatbot braucht keine Adresse, wenn er nur Produktfragen beantwortet.
- Transparenz: Nutzer müssen wissen, dass sie mit einer KI sprechen und welche Daten verarbeitet werden. Ein kurzer Hinweis reicht oft aus.
- Auftragsverarbeitung (AVV): Wer externe KI-Dienste nutzt (OpenAI, Google etc.), braucht einen Auftragsverarbeitungsvertrag. Die meisten Anbieter bieten das standardmäßig an.
- Hosting in der EU: Wenn möglich, Daten in der EU verarbeiten. Das vereinfacht die Rechtslage erheblich.
3. EU AI Act — was ab August 2026 gilt
Zusätzlich zur DSGVO tritt ab August 2026 der EU AI Act in Kraft. Für die meisten KMU-Anwendungen ändert sich erstmal wenig — Chatbots, Automatisierungen und Dokumenten-KI fallen typischerweise in die Kategorie "minimales Risiko".
Aber es gibt eine wichtige Pflicht:
„KI-Systeme, die direkt mit Nutzern interagieren, müssen klar als KI gekennzeichnet werden. Der Nutzer muss wissen, dass er mit einer Maschine kommuniziert — nicht mit einem Menschen."
Das betrifft jeden Chatbot auf jeder Website. Ein Hinweis wie "KI-gestützter Assistent (GPT-4o)" erfüllt diese Anforderung bereits.
4. Praxis-Beispiel: DSGVO-konformer KI-Chatbot
Wie sieht ein datenschutzkonformer KI-Chatbot in der Praxis aus? Am Beispiel des Chatbots auf dieser Website:
- Transparenz-Hinweis direkt in der Willkommensnachricht: "KI-gestützter Assistent (GPT-4o)"
- Keine Speicherung personenbezogener Daten — Konversationen werden nicht dauerhaft gespeichert
- Warnung an Nutzer: "Bitte keine persönlichen Daten eingeben"
- Eigenes Hosting auf deutschem VPS — keine Daten an Drittanbieter außer der KI-API
- Session-basiert: Nach 30 Minuten Inaktivität wird alles gelöscht
- Input-Filterung: Erkennung und Ablehnung sensibler Daten (E-Mails, Telefonnummern)
Nächster Schritt
Datenschutz muss kein Blocker für KI-Projekte sein. Die meisten Anforderungen lassen sich mit klarer Planung und sauberer Architektur von Anfang an erfüllen — deutlich günstiger als nachträgliches Nachrüsten.
Nützliche Ressourcen:
- LfDI Baden-Württemberg: Datenschutz & KI
- Bundesbeauftragter für Datenschutz (BfDI)
- EU AI Act — Offizielle Übersicht
Unsicher, ob euer KI-Einsatz DSGVO-konform ist?
Kostenloses Erstgespräch
In 30 Minuten klären wir, wie ihr KI datenschutzkonform einsetzen könnt.
Termin buchenCristoforo Marrazzo
KI-Berater & Entwickler in Stuttgart. Zertifizierter KI-Manager (Cert-IT). Hilft KMU, KI sinnvoll und datenschutzkonform einzusetzen.