DSGVO

Datenschutz, Recht & Compliance

DSGVO — EU-Datenschutz-Grundverordnung. Gilt für jede KI-Nutzung mit Personendaten, also praktisch immer wenn echte Kunden, Mitarbeitende oder Lieferanten beteiligt sind.

Was die DSGVO im KI-Kontext bedeutet

Die Datenschutz-Grundverordnung der EU (Verordnung 2016/679) regelt seit Mai 2018, wie personenbezogene Daten verarbeitet werden dürfen. Sie betrifft jedes Unternehmen, das mit Daten von EU-Bürgern arbeitet — unabhängig davon, wo der Anbieter seinen Sitz hat. Für KI-Nutzung heißt das: sobald ein Tool wie ChatGPT, Claude oder ein eigener Chatbot Personendaten verarbeitet, greift die DSGVO vollumfänglich.

Personenbezogen sind dabei nicht nur Namen und E-Mail-Adressen, sondern jedes Datum, das eine Person identifizierbar macht — IP-Adressen, Geräte-IDs, Standortdaten, sogar Schreibstil oder Auftragsmuster. Das ist breiter, als die meisten Unternehmen annehmen.

Warum die DSGVO bei KI für KMU besonders heikel ist

KI-Tools bringen zwei strukturelle Probleme mit sich, die mit DSGVO-Regeln kollidieren:

1. Datenfluss in Drittländer: ChatGPT, Claude, Gemini & Co. laufen primär auf US-Servern. Seit Schrems II ist der Transfer von Personendaten in die USA rechtlich anspruchsvoll und braucht Zusatzmaßnahmen.
2. Zweckbindung und Datensparsamkeit: Die DSGVO verlangt, nur die Daten zu verarbeiten, die für den definierten Zweck nötig sind. KI-Tools sind aber notorisch „datenhungrig" — sie nehmen, was sie bekommen.

Praxisbeispiel: Kanzlei mit ChatGPT

Eine Anwaltskanzlei lässt von einer Praktikantin Mandantenakten in ChatGPT zusammenfassen, um Schriftsätze schneller vorzubereiten. Klingt harmlos, ist aber ein DSGVO-Vorfall mit potenziellem Bußgeld bis 4 % des Jahresumsatzes. Probleme:

• Keine Auftragsverarbeitungsvereinbarung (AVV) mit OpenAI
• Mandantengeheimnis (§ 203 StGB) gleichzeitig verletzt
• Datenübertragung in die USA ohne ausreichende Garantien
• Keine Information der Betroffenen über die Datenverarbeitung

Wie KMU DSGVO-konform mit KI arbeiten

1. Daten klassifizieren

Was darf in ein Cloud-KI-Tool? Faustregel: Öffentliche Texte ja, anonymisierte Datensätze ja. Kunden-, Mitarbeiter-, Mandanten- und Patientendaten nein — außer Sie haben eine wasserdichte Rechtsgrundlage und die passenden Verträge.

2. AVV-Vertrag prüfen

OpenAI, Anthropic, Google bieten alle Auftragsverarbeitungs-Verträge für Business-Kunden. Free-/Plus-Tarife haben oft keinen oder einen schwachen AVV. Für Personendaten: Enterprise/Teams-Tarife oder lokale Alternativen.

3. EU-Datenresidenz wählen

OpenAI Enterprise, Anthropic Claude für EU-Kunden und Microsoft Azure OpenAI bieten EU-Hosting. Das löst nicht alle Schrems-II-Probleme, reduziert sie aber dramatisch.

4. Lokale KI für sensitive Workloads

Was richtig sensibel ist (Patientendaten, Mandantenakten, Vertragsklauseln mit NDA), gehört auf lokale KI wie Ollama mit Llama 3.3 oder Qwen 3. Daten bleiben im Haus, kein Cloud-Provider sieht sie.

5. KI-Richtlinie schreiben

Eine schriftliche KI-Richtlinie für Mitarbeitende ist heute Pflicht. Sie regelt: erlaubte Tools, verbotene Datentypen, Beispiele für Grenzfälle und Eskalationsweg. Ohne Richtlinie keine Verteidigung bei Vorfällen.

Bußgelder — was wirklich passiert

Maximalstrafen sind theoretisch hoch (4 % Jahresumsatz oder 20 Mio. €). In der Praxis verhängen DACH-Aufsichtsbehörden meist im 4- bis 6-stelligen Bereich für KMU-Vorfälle. Schlimmer als das Bußgeld ist oft der Reputationsschaden bei Kunden — gerade in B2B-Geschäftsbeziehungen.

Tools, die DSGVO-konformes Arbeiten erleichtern

• Lokale KI: Ollama + OpenWebUI — keine Datenabflüsse
• EU-Cloud-KI: Mistral AI (Frankreich), Aleph Alpha (Deutschland)
• Automatisierung mit EU-Hosting: n8n Self-Hosted
• EU-Mail-Versand: Brevo (Frankreich) statt Mailchimp (US)

Verwandte Begriffe

AVV (Auftragsverarbeitung) · Schrems II · Datenresidenz · EU AI Act · Souveränität · PII