KI ist aus dem Büroalltag nicht mehr wegzudenken. Die Frage ist nicht ob, sondern wie sie eingesetzt wird. Wer KI ohne klare Regeln zulässt, riskiert DSGVO-Bußgelder, unkontrollierte Datenabflüsse in die USA — und im schlimmsten Fall den Verlust geschäftskritischen Know-hows.

Dieser Beitrag erklärt die drei zentralen Datenschutz-Risiken bei KI-Tools — und wie KMU sie mit überschaubarem Aufwand in den Griff bekommen. Aus der Beratungspraxis: vier Schritte, vier Wochen, sauber dokumentiert.

Praxis-Beispiel: Ein Mitarbeiter kopiert eine vertrauliche Bewerbungsmappe in die kostenlose ChatGPT-Version, um sie zusammenfassen zu lassen. Das ist eine Datenschutzverletzung nach Art. 4 DSGVO — meldepflichtig binnen 72 Stunden. Mit der richtigen KI-Richtlinie wäre der Vorfall vermeidbar gewesen.

Warum KI ein DSGVO-Thema ist

Sobald in einem Prompt personenbezogene Daten vorkommen — ein Kundenname, eine E-Mail-Adresse, ein Bewerbungstext, eine Krankheitsschilderung — greift die DSGVO. Die KI verarbeitet diese Daten, häufig auf US-Servern, häufig mit Trainings-Klauseln im Kleingedruckten. Genau hier entstehen die Bußgeld-Risiken.

Die drei zentralen Risiken

1. Eingaben fließen ins Training

Kostenlose Versionen von ChatGPT, Gemini & Co. nutzen Eingaben standardmäßig zum Training künftiger Modelle. Das bedeutet: Ihre Kunden-, Vertrags- oder Personaldaten landen — anonymisiert, aber dauerhaft — im Trainingsdatensatz und können in Antworten an Dritte auftauchen. Eine spätere Löschung ist technisch praktisch ausgeschlossen.

2. Datentransfer in die USA

OpenAI (USA), Anthropic (USA), Google (USA), Microsoft (globale Cloud) — alle relevanten Anbieter sitzen außerhalb der EU. Der Datentransfer ist nur über das EU-US Data Privacy Framework (DPF), Standardvertragsklauseln (SCCs) oder konzerninterne Bindungen rechtssicher abbildbar. In den Free-Versionen fehlen diese Mechanismen häufig — oder sie sind in den AGB unzureichend dokumentiert.

3. Halluzinationen mit Personenbezug

KI erfindet Fakten — auch über reale Personen. Wer eine KI-generierte Aussage über eine namentlich genannte Person ohne Prüfung weitergibt, riskiert Persönlichkeitsrechtsverletzungen UND DSGVO-Verstöße (Art. 5 Abs. 1 lit. d DSGVO: Grundsatz der Richtigkeit).

Schritt 01 · KI-Inventur

Welche Tools sind tatsächlich im Einsatz?

Die meisten KMU unterschätzen, wie viele KI-Tools bereits genutzt werden — oft als „Schatten-IT" ohne Wissen der Geschäftsführung. Eine ehrliche Inventur ist der erste Schritt.

Anonyme Mitarbeiterumfrage: welche KI-Tools werden tatsächlich genutzt?
IT-Auswertung der Browser-Logs (DSGVO-konform aggregiert)
Liste aller bezahlten Abonnements (auch private, geschäftlich genutzt)

Schritt 02 · AVV abschließen

Auftragsverarbeitungsvertrag mit dem Anbieter

Für jedes geschäftlich genutzte KI-Tool braucht es einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. OpenAI, Anthropic, Microsoft und Google bieten standardisierte AVVs in den Business-/Enterprise-Tarifen — die Free-Versionen schließen einen AVV ausdrücklich aus.

Praktische Konsequenz: Free-Versionen sind für die berufliche Verarbeitung personenbezogener Daten ungeeignet. Wer KI im Unternehmen einsetzt, muss in die Bezahlversionen wechseln — und den AVV vor der ersten Eingabe abschließen.

Schritt 03 · KI-Richtlinie

Schriftliche Regeln für Mitarbeiter

Eine zwei- bis dreiseitige KI-Richtlinie definiert: Welche Tools sind freigegeben? Welche Datenkategorien dürfen hineingegeben werden — und welche niemals (Gesundheitsdaten, Bonität, Bewerber, Geschäftsgeheimnisse, Quellcode)? Wer ist Ansprechpartner bei Unsicherheit?

Die Richtlinie ist ohne Schulung wertlos. Beides gehört zusammen — und beides muss dokumentiert sein.

Schritt 04 · Schulung

Praktische KI-Schulung mit Branchenbezug

Wissen, was erlaubt ist, ist eine Sache. Wissen, warum bestimmte Eingaben heikel sind, eine andere. Die Schulung sollte konkrete Beispiele aus der eigenen Branche enthalten — keine abstrakte Juristerei. 60 Minuten reichen häufig, wenn die Beispiele gut sitzen.

Was bringt der EU AI Act?

Der EU AI Act tritt schrittweise in Kraft (vollständig ab August 2026). Für KMU als Anwender von KI sind die Pflichten überschaubar: Transparenz gegenüber Betroffenen (z. B. Hinweis bei KI-generierten Texten), Verbot bestimmter Hochrisiko-Anwendungen (Social Scoring, Emotion Detection am Arbeitsplatz) und eine ausdrückliche Schulungspflicht für KI-Nutzer.

Wer DSGVO und AI Act parallel umsetzt, hat den Aufwand einmal — sonst zweimal.

Häufiger Fehler: Mitarbeiter nutzen private ChatGPT-Accounts für berufliche Aufgaben. Das ist datenschutzrechtlich noch problematischer als die Free-Version mit dem Firmen-Account: keine Kontrolle, kein Audit-Recht, kein AVV. Eine klare „No Private Accounts"-Regel gehört in jede KI-Richtlinie.

KI verbieten ist keine Lösung. KI ohne Regeln einsetzen ist auch keine. Der dritte Weg — geprüfte Tools, klare Richtlinie, geschulte Mitarbeiter — ist der einzige, der trägt. Aus der Beratungspraxis

Wo viele KMU heute stehen

Aus der Beratungspraxis: rund 70 % der KMU nutzen KI ohne AVV. 50 % haben keine schriftliche Richtlinie. 80 % schulen Mitarbeiter nicht zur sicheren KI-Nutzung. Das Risiko ist real — die Lösung ist es ebenfalls. Vier Wochen strukturierte Arbeit, und das Thema ist auditfest.

Im kostenlosen Erstgespräch prüfen wir, welche KI-Tools bei Ihnen im Einsatz sind und wo der größte Hebel liegt. Häufig reicht die Umstellung auf eine Bezahlversion plus eine zweiseitige Richtlinie, um das Hauptrisiko abzustellen.

KI ChatGPT Copilot DSGVO AVV EU AI Act How-To