KI und Datenschutz: Was Unternehmen in Deutschland 2026 wissen müssen

1. Warum Datenschutz beim KI-Einsatz besonders heikel ist

Bei herkömmlicher Software ist der Datenfluss überschaubar: Daten werden gespeichert, verarbeitet, angezeigt. Bei KI-Tools ist es komplizierter. Eingaben in ein KI-System können für das Training des Modells genutzt werden, an Subunternehmer in Drittländern weitergeleitet werden oder länger gespeichert bleiben als erwartet.

Das Problem: In der Praxis landen regelmäßig Daten in KI-Prompts, die dort nicht hingehören — Kundennamen, interne Kennzahlen, Vertragsdetails, Mitarbeiterdaten. Oft ohne dass sich die Mitarbeitenden dabei etwas denken. Die DSGVO macht hier keinen Unterschied, ob es sich um eine bewusste Entscheidung oder einen Alltagsfehler handelt.

Hinzu kommt: Neben der DSGVO greifen seit 2025 auch erste Pflichten aus dem EU AI Act, insbesondere die Transparenz- und Kompetenzpflichten. Beides zusammen macht den KI-Einsatz zur Compliance-Aufgabe, die Unternehmen jetzt aktiv angehen müssen.

2. Die vier kritischen DSGVO-Fragen beim KI-Einsatz

Bevor ein KI-Tool produktiv eingesetzt wird, sollten vier Grundfragen geklärt sein:

Welche Rechtsgrundlage gilt?

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage (Art. 6 DSGVO). Beim Einsatz von KI-Tools kommen typischerweise in Frage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f), Vertragserfüllung (lit. b) oder Einwilligung (lit. a). Wer Kundendaten in KI-Systeme eingibt, ohne das vorher rechtlich zu fundieren, handelt möglicherweise rechtswidrig.

Werden Daten für Modell-Training genutzt?

Bei den kostenlosen Versionen vieler KI-Tools (ChatGPT Free, diverse Chatbots) werden Eingaben standardmäßig für das Training verwendet. Enterprise- und Business-Tarife schließen das meist aus — aber nur, wenn der entsprechende AVV abgeschlossen wurde. Wichtig: Immer die aktuellen Nutzungsbedingungen und Datenschutzhinweise des Anbieters prüfen, nicht auf Annahmen verlassen.

Wo werden die Daten verarbeitet?

OpenAI, Anthropic, Google — die großen KI-Anbieter verarbeiten Daten primär in den USA. Seit dem EU-US Data Privacy Framework (2023) ist das grundsätzlich möglich, aber nur wenn der Anbieter unter dem Framework zertifiziert ist. Diese Zertifizierung können Sie im DPF-Register prüfen. Alternativen mit EU-Hosting: Aleph Alpha (Deutschland), Mistral (Frankreich).

Wie gehen Sie mit Betroffenenrechten um?

Wenn ein Mitarbeiter Kundendaten in einen KI-Prompt eingegeben hat und der Kunde später Auskunft oder Löschung verlangt — wie gehen Sie damit um? Das ist kein hypothetisches Problem. Die Bundesbeauftragte für Datenschutz (BfDI) hat klargestellt, dass Betroffenenrechte auch bei KI-verarbeiteten Daten gelten.

3. ChatGPT, Claude & Co. rechtssicher nutzen

Die gute Nachricht: Rechtssicherer KI-Einsatz ist möglich — er erfordert aber konkrete Maßnahmen. Was Unternehmen tun sollten, bevor Mitarbeitende KI-Tools produktiv nutzen:

• Business/Enterprise-Tarif statt Free: Nur kostenpflichtige Business-Tarife schließen in der Regel die Nutzung Ihrer Eingaben für das Training aus. OpenAI Business, Microsoft Copilot für Enterprise, Claude Pro/Team — jeweils mit AVV.
• Promptrichtlinien einführen: Klare interne Regeln, welche Daten in KI-Prompts eingegeben werden dürfen und welche nicht. Beispiel: Keine vollständigen Kundennamen, keine internen Finanzzahlen, keine personenbezogenen Mitarbeiterdaten.
• Pseudonymisierung nutzen: Wo möglich, Daten vor der KI-Eingabe anonymisieren oder pseudonymisieren. Statt „Herr Müller, Kunde 1234, Umsatz 50.000 €" lieber „Unternehmenskunde, Umsatzklasse M".
• EU-gehostete Alternativen prüfen: Für besonders sensible Bereiche (HR, Gesundheit, Finanzen) sind EU-Hosting-Lösungen oder lokal betriebene Modelle die sicherere Wahl. Einen Überblick über aktuelle KI-Tools und ihre Stärken finden Sie in unserem Tool-Vergleich.

4. Auftragsverarbeitungsvertrag (AVV): Was zählt

Immer wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Das gilt ausnahmslos — auch für KI-Tools.

Was ein AVV mit einem KI-Anbieter regeln muss:

• Zweck und Art der Datenverarbeitung
• Kategorien der betroffenen Personen und Daten
• Laufzeit des Vertrags
• Pflichten und Rechte des Verantwortlichen
• Subunternehmer-Regelung (wer bekommt die Daten noch?)
• Löschpflichten nach Vertragsende
• Technische und organisatorische Maßnahmen (TOMs)

Praxis-Hinweis: Große Anbieter (OpenAI, Microsoft, Google, Anthropic) stellen Standardverträge bereit, die den AVV-Anforderungen in der Regel genügen. Diese müssen aber aktiv abgeschlossen werden — sie gelten nicht automatisch mit der Registrierung. Prüfen Sie im Anbieter-Dashboard, ob ein Data Processing Agreement (DPA) aktiviert ist.

5. Wann eine Datenschutz-Folgenabschätzung Pflicht ist

Eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) ist verpflichtend, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Bei KI-Anwendungen trifft das auf folgende Szenarien zu:

• Automatisierte Entscheidungen mit erheblicher Wirkung: KI-gestützte Kreditvergabe, Personalauswahl, Preisgestaltung basierend auf Nutzerprofilen.
• Systematische Überwachung: KI-gestützte Auswertung von Mitarbeiterverhalten, Videoüberwachung mit KI-Analyse.
• Verarbeitung besonderer Datenkategorien: Gesundheitsdaten, biometrische Daten, politische Überzeugungen (Art. 9 DSGVO) in Kombination mit KI.
• Großmaßstäbliche Verarbeitung: KI-Analyse von Kundenverhalten bei großem Datenvolumen.

Für die meisten Mittelständler, die KI für Textgenerierung, E-Mail-Assistenz oder interne Wissenssuche nutzen, ist eine DSFA nicht zwingend erforderlich. Wer unsicher ist, sollte dennoch eine kurze Risikobeurteilung dokumentieren — das schützt im Zweifel vor Bußgeldern. Mehr zur Regulierungslandschaft insgesamt lesen Sie in unserem Artikel zur KI-Regulierung in Europa.

6. Praktische Checkliste: DSGVO-konformer KI-Einsatz

Diese Checkliste eignet sich als Ausgangspunkt — kein Ersatz für Rechtsberatung, aber ein guter erster Überblick:

Vor der Einführung

• Welche personenbezogenen Daten könnten in das KI-Tool fließen?
• Ist ein Business/Enterprise-Tarif ohne Training-Nutzung verfügbar?
• Ist der Anbieter im EU-US DPF-Register zertifiziert oder EU-gehostet?
• AVV mit dem Anbieter abgeschlossen?
• Ist eine DSFA erforderlich?
• Rechtsgrundlage für die Datenverarbeitung dokumentiert?

Beim Rollout

• Interne Richtlinie: Welche Daten dürfen in KI-Prompts, welche nicht?
• Mitarbeitende geschult (auch AI Act Art. 4 Kompetenzpflicht!)?
• Datenschutzerklärung aktualisiert (KI-Tool als Dienstleister aufgeführt)?
• Prozess für Betroffenenrechte (Auskunft, Löschung) definiert?

Laufend

• Nutzungsbedingungen des Anbieters bei Updates prüfen.
• AVV bei Anbieterwechsel oder neuen Tools erneuern.
• Vorfälle (unbeabsichtigte Datenweitergabe) dokumentieren.

Einen guten Einstieg in das Thema KI-Einsatz im Unternehmen bietet auch die BSI-Empfehlungen zu KI. Wie der KI-Einstieg im Mittelstand insgesamt gelingt, lesen Sie in unserem Artikel KI im Mittelstand 2026.

Fazit: Datenschutz ist kein KI-Blocker — aber auch keine Kleinigkeit

Die Botschaft ist nicht: KI-Tools meiden. Die Botschaft ist: KI-Tools mit Bedacht einführen. Wer die grundlegenden Pflichten erfüllt — AVV, Promptrichtlinien, richtige Tarifwahl, Mitarbeiterschulung — kann KI produktiv und rechtskonform nutzen.

Der Aufwand dafür ist überschaubar. In den meisten Fällen reicht eine halbe Stunde, um den AVV zu aktivieren, und ein einfaches internes Dokument, das regelt, welche Daten in KI-Prompts dürfen. Das schützt nicht nur vor Bußgeldern, sondern auch vor dem Vertrauensverlust, der entsteht, wenn Kundendaten unkontrolliert in externe Systeme fließen.

Wer den Überblick über aktuelle KI-Entwicklungen und regulatorische Änderungen behalten möchte, findet bei KI-Überblick alle relevanten Entwicklungen täglich eingeordnet.

Häufige Fragen zu KI und Datenschutz