In sieben von zehn deutschen Unternehmen ist im vergangenen Jahr mindestens ein wichtiges Digital- oder KI-Projekt mit der Begründung „Datenschutz“ pausiert oder beerdigt worden. Die Zahl steht in mehreren Verbandsstudien und deckt sich mit dem, was wir in der täglichen Arbeit sehen: ein Vorschlag, ein Pilot, ein neues Werkzeug. Dann meldet sich jemand aus der IT, dem Datenschutz oder der Geschäftsleitung und sagt „DSGVO“. Stille. Projekt verschoben. Dieser Artikel sortiert, wo die Sorge berechtigt ist, wo sie an der Realität vorbeigeht und wie ein Mittelständler heute pragmatisch entscheidet, ohne den Compliance-Boden zu verlassen.

Schreibtisch mit hohem Stapel beiger Aktenordner neben einem unbenutzten Laptop mit gelber Haftnotiz, Tageslicht von rechts — Der Aktenstapel liegt zwischen dem Unternehmen und seinem nächsten KI-Projekt — und nicht jedes Blatt darin gehört wirklich dorthin.

Die zwei Risiken, die selten gegeneinander abgewogen werden

Wer ein KI-Projekt stoppt, denkt an ein Risiko: dass personenbezogene Daten an einen Anbieter außerhalb der EU fließen, dass der Datenschutzbeauftragte Einspruch erhebt, dass im schlimmsten Fall die Aufsichtsbehörde anklopft. Dieses Risiko ist real und wird im Folgenden behandelt. Was im selben Gespräch fast nie auf den Tisch kommt, ist das zweite Risiko: das Risiko, KI nicht einzusetzen. Konkurrenten, die ihre Marketing-, Vertriebs- und Service-Prozesse mit aktuellen Modellen abbilden, produzieren günstiger, antworten schneller und gewinnen Aufträge, die heute noch beim Mittelständler landen. Mitarbeitende, die in einem Unternehmen ohne offizielle KI-Lösung arbeiten, weichen privat auf eigene Werkzeuge aus — und schicken dabei genau die Daten in die Cloud, vor denen die offizielle Lösung schützen sollte. Beide Risiken haben einen Preis. Wer nur eines berücksichtigt, entscheidet im Blindflug.

Wo die Daten ohnehin schon liegen

Die häufigste Sorge in Datenschutz-Gesprächen lautet: „Wir wollen keine Unternehmensdaten in die USA schicken.“ Es lohnt sich, zwei Schritte zurückzutreten und zu prüfen, wo diese Daten gerade sind. In den meisten deutschen Mittelständlern liegen sie bei Microsoft. Office, Outlook, SharePoint, Teams, OneDrive, ein steigender Teil der CRM-Daten in Dynamics, in der Telefonie Microsoft 365 Phone, in der Beschäftigtenverwaltung oft auch. Daneben Google Workspace, Salesforce, Adobe, HubSpot, AWS, Cloudflare. Sämtlich US-Konzerne, sämtlich mit europäischer Tochter, sämtlich vom amerikanischen CLOUD Act erfasst. Der CLOUD Act erlaubt US-Behörden, von US-Unternehmen Daten zu verlangen, gleichgültig in welchem Land der konkrete Server steht. Eine europäische Datenresidenz ändert daran rechtlich nichts.

Diese Lage ist auf höchster Ebene mehrfach bestätigt worden. Der zuständige Microsoft-Chefjustiziar für Frankreich antwortete im Sommer 2025 auf eine direkte Frage des französischen Senats, ob er garantieren könne, dass US-Behörden nicht auf europäische Microsoft-Daten zugreifen können: nein, das könne er nicht garantieren. Microsoft hat zusätzlich angekündigt, dass Anfragen an Microsoft 365 Copilot auch dann an US-Standorte oder weitere Drittländer weitergeleitet werden können, wenn ein EU-Tenant eingerichtet ist und die Auslastung im europäischen Rechenzentrum hoch ist. Wer das nicht möchte, muss als IT-Administrator explizit eine Option deaktivieren — und die Mehrheit der Unternehmen weiß nicht, dass es sie gibt.

Das macht den Datenschutz nicht weniger wichtig. Es verschiebt nur die ehrliche Frage. Sie lautet nicht mehr „Sollen wir KI einsetzen, weil dann Daten in die USA gehen?“, sondern „Wenn unsere Daten ohnehin täglich bei US-Konzernen liegen, was rechtfertigt es, ausgerechnet das KI-Projekt zu stoppen?“.

Was die DSGVO tatsächlich verlangt — und was nicht

Die Datenschutz-Grundverordnung verbietet keinen einzigen KI-Einsatz pauschal. Sie verlangt, dass jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage hat (Art. 6 DSGVO), dass die Betroffenen informiert werden (Art. 13, 14), dass Auftragsverarbeiter vertraglich gebunden werden (Art. 28), dass internationale Übermittlungen abgesichert sind (Kap. V) und dass bei hohem Risiko vorab eine Folgenabschätzung erfolgt (Art. 35). Das ist Pflichtarbeit, sie ist aber pragmatisch erledigbar. Für die meisten Standard-KI-Einsätze in Marketing, Vertrieb, Buchhaltung und Kundenservice gibt es heute Vertragstemplates, AVV-Vorlagen, Standardvertragsklauseln (SCC) und das EU-US Data Privacy Framework, das seit 2023 wieder eine zertifizierte Übermittlung in die USA erlaubt, solange der amerikanische Anbieter im Framework gelistet ist. Anthropic, OpenAI, Microsoft, Google und die meisten anderen großen Anbieter sind gelistet.

Im Alltag sehen wir, dass diese Werkzeuge oft gar nicht eingesetzt werden, weil das Wort „DSGVO“ ausreicht, um ein Projekt im Vorfeld zu blockieren. Wer nachfragt, welche konkrete Norm gerade verletzt würde, bekommt selten eine konkrete Antwort. Genau hier beginnt der Bereich, den man fairerweise Theater nennen darf.

Der AVV, der gar nicht nötig ist

Ein wiederkehrendes Muster: Ein Unternehmen beauftragt eine externe Agentur, die in der unternehmenseigenen Infrastruktur eine KI-Lösung baut. Die Agentur schreibt Software, sie konfiguriert Konten beim Modellanbieter, sie integriert das Ganze in die bestehenden Systeme des Kunden. Nach drei Wochen bekommt die Agentur eine Mail aus der Rechtsabteilung mit der Bitte um Unterzeichnung eines Auftragsverarbeitungsvertrags. Manchmal ein zehnseitiger, manchmal ein dreißigseitiger AVV mit Anlagen.

Juristisch gilt: Auftragsverarbeiter im Sinne des Art. 28 DSGVO ist, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Eine Agentur, die Code schreibt und Systeme einrichtet, ohne selbst Zugriff auf personenbezogene Daten zu nehmen, ist kein Auftragsverarbeiter. Sie ist Werkunternehmerin, manchmal Dienstleisterin, aber nicht Datenverarbeiterin. Auch wenn sie auf Test-Systemen mit Mock-Daten arbeitet, entsteht kein AVV-Bedarf. Wer das anders einschätzen will, muss zumindest benennen können, welche personenbezogenen Daten welcher Betroffenen die Agentur tatsächlich für welche Zwecke verarbeitet. In den meisten Fällen ist die ehrliche Antwort: keine. Trotzdem verzögert sich das Projekt um zwei Monate, weil Juristen einen Vertrag verhandeln, den niemand braucht.

Das gleiche Muster gilt für Schulungsdienstleister, Berater, Programmierer und Sachverständige, die ohne Zugriff auf personenbezogene Echtdaten arbeiten. Ein AVV ist ein zielgerichtetes Instrument für einen klaren Anwendungsfall — nicht ein allgemeines Beruhigungsmittel für Compliance-Stress.

Schatten-KI: das echte Datenleck

In einer Umfrage von Microsoft und LinkedIn aus dem Jahr 2024 gaben 78 Prozent der befragten Wissensarbeiter an, KI-Werkzeuge im beruflichen Alltag zu nutzen. Über die Hälfte davon nutzt diese Werkzeuge ohne Wissen oder Erlaubnis ihres Arbeitgebers. Wer mit ehrlichen Mitarbeitenden spricht, hört regelmäßig: Kundenmails werden in das private ChatGPT-Konto kopiert, Angebote durch das eigene Smartphone gejagt, Excel-Listen mit Mitarbeiterdaten zu Übersetzungstools hochgeladen. Diese privaten Konten unterliegen keiner Unternehmenssteuerung, keiner Auftragsverarbeitung, keiner Datenresidenzwahl. Sie speichern, sie trainieren, sie loggen.

Ein Unternehmen, das in dieser Lage keine offiziell freigegebene Lösung anbietet, hat nicht weniger Risiko. Es hat nur weniger Sichtbarkeit auf das Risiko. Schatten-KI ist die teuerste Antwort auf den Satz „Wir machen erstmal nichts wegen DSGVO“.

Der EU AI Act wurde leiser, nicht lauter

Ein zweites beliebtes Argument: „Wir warten wegen des AI Acts.“ Der AI Act ist seit August 2024 in Kraft, die meisten Pflichten greifen gestaffelt bis 2026 und 2027. In den vergangenen Monaten hat die EU mehrere Vorgaben deutlich entschärft. Die zunächst harte KI-Kompetenzpflicht für Beschäftigte (Art. 4) wird in der Praxis als Bemühungspflicht ausgelegt, eine eigenständige Sanktionierung dieser Norm wurde aufgeschoben und teilweise zurückgenommen. Die Hochrisiko-Klassifizierung wurde an mehreren Stellen feinjustiert, mit der Option für Anbieter, durch Selbstbewertung aus der Hochrisiko-Kategorie herauszufallen, wenn sie nur eingeschränkte Aufgaben übernehmen. Die wirtschaftliche Botschaft Brüssels ist seit dem Frühjahr 2025 klar: Europa möchte KI-Einsatz, nicht Verhinderung.

Das macht den AI Act nicht überflüssig. Aber das Argument „Wir warten lieber, bis das alles geklärt ist“ hat seinen Boden verloren. Geklärt wird weniger als angekündigt, und das, was geklärt wird, geht in Richtung Anwenderfreundlichkeit. Wer wartet, verliert vor allem Zeit.

Was wirklich vor Cloud-KI geschützt gehört

Es gibt einen Bereich, in dem Zurückhaltung gegenüber großen US-Modellen sachlich richtig ist. Er hat aber nichts mit DSGVO zu tun, sondern mit Geschäftsgeheimnissen. Wer eigenen Quellcode, Konstruktionszeichnungen, Rezepte, Verfahrenstechnik, Patentanmeldungen vor Veröffentlichung oder rohe Forschungsergebnisse hat, sollte diese Inhalte nicht in das Eingabefeld eines beliebigen Chatbots tippen. Hier geht es nicht um die Frage, ob ein US-Konzern den Datenschutz einhält. Es geht um die Frage, ob ein Wettbewerber drei Monate später eine ähnlich klingende Idee veröffentlicht. Das ist eine andere Risikoklasse, mit anderen Antworten: lokale Modelle in der eigenen Infrastruktur (zum Beispiel Llama-Varianten, Qwen, Mistral oder andere offene Modelle, betrieben auf eigener Hardware oder in einer dedizierten EU-Cloud), restriktive Eingaberichtlinien, kontrollierter Datenaustausch.

Die ehrliche Trennung lautet: Datenschutz ist gesetzliche Pflicht und mit den heutigen Werkzeugen umsetzbar. Geheimhaltung ist betriebliche Aufgabe, sie ist nicht im DSGVO-Text geregelt und braucht eigene Maßnahmen. Wer beide Fragen vermischt, beantwortet keine richtig.

Wie ein pragmatisches KI-Projekt heute aussieht

Aus der Praxis sieht der Weg zu einer rechtssicheren KI-Lösung deutlich kürzer aus, als die Datenschutzdiskussion vermuten lässt. Drei Schritte tragen die meisten Fälle.

Erstens: Datenarten sortieren. Welche Daten fließen tatsächlich durch das geplante System? Eingaben des Endnutzers, Stammdaten aus dem CRM, Texte aus Mailpostfächern, Protokolle aus Telefonaten? Welche davon sind personenbezogen im Sinne des Art. 4 Nr. 1 DSGVO, welche sind reine Geschäftsdaten? Welche fallen unter besondere Kategorien (Art. 9, etwa Gesundheits- oder Glaubensdaten)? Diese Liste füllt eine Seite und macht die folgenden Entscheidungen einfach.

Zweitens: Anbieter wählen, der die Pflichtdokumente liefert. AVV mit Standardvertragsklauseln, transparente Beschreibung der Sub-Auftragnehmer, Möglichkeit, Trainingsnutzung der eingegebenen Daten abzulehnen, Zertifizierung im EU-US Data Privacy Framework. Die großen Anbieter haben das alles. Wer in der EU produziert — etwa Mistral, Aleph Alpha, einige nordische Anbieter — spart die Drittlandfrage ganz, kann aber im Funktionsumfang noch hinter den US-Modellen liegen. Beides ist eine legitime Wahl, je nach Anwendungsfall.

Drittens: Folgenabschätzung schreiben, wenn sie nötig ist, und sonst nicht. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen birgt. Für ein KI-Tool, das die Buchhaltung beim Sortieren von Eingangsrechnungen unterstützt, ist sie unnötig. Für ein Bewerber-Screening, das automatisierte Entscheidungen vorbereitet, ist sie Pflicht. Die Aufsichtsbehörden veröffentlichen Listen, die helfen, das einzuordnen.

Was ein Datenschutzbeauftragter idealerweise sagt

Ein guter Datenschutzbeauftragter blockiert kein Projekt, er strukturiert es. Statt „Das geht nicht wegen DSGVO“ sagt er „Das geht so: dieser Anbieter, dieser Vertrag, diese Information für die Betroffenen, diese Maßnahme bei Eingabe sensibler Daten, diese Auswertung in sechs Monaten.“ Wenn die Antwort dauerhaft pauschal blockierend bleibt, lohnt es sich, eine zweite Meinung einzuholen — bei einem auf KI-Recht spezialisierten Anwalt oder einer externen Datenschutzberatung. In den meisten Fällen findet sich ein gangbarer Weg, der weder die Verordnung verletzt noch das Projekt verhindert.

Worauf es ankommt

Datenschutz bleibt eine ernsthafte Pflicht. Verstöße können sechs- und siebenstellige Bußgelder kosten, im Wiederholungsfall auch mehr. Wer das ignoriert, handelt fahrlässig. Aber Datenschutz ist kein Argument, das ein Projekt im Vorfeld erledigt, ohne dass eine konkrete Norm benannt wird. Wo das passiert, geht es um etwas anderes: Unsicherheit, Verantwortungsdiffusion, die Angst, eine Entscheidung zu treffen, die später jemand kritisieren könnte. Das ist verständlich, aber teuer. Während drei Monate über einen AVV verhandelt wird, der nicht gebraucht wird, ziehen Mitarbeitende ihre privaten Werkzeuge aus der Tasche und Wettbewerber ziehen die Produktivitätslücke auf.

Ein pragmatischer Mittelständler trifft heute zwei Entscheidungen parallel. Erstens: eine offizielle, vertraglich abgesicherte KI-Lösung wählen, die DSGVO-Pflichten ernst nimmt — mit AVV, SCC, EU-Datenresidenz, wo möglich, und klaren Regeln für Mitarbeitende. Zweitens: für die Inhalte, die wirklich nicht in eine fremde Cloud gehören (Code, Rezepturen, Konstruktionsdaten), eine eigene Infrastruktur mit lokal betriebenen Modellen aufbauen. Beides zusammen kostet weniger Geld und weniger Risiko als der Status quo, in dem offiziell nichts passiert und inoffiziell alles. Die ehrliche Frage am Anfang jedes Projekts lautet nicht „Was darf der Datenschutz?“, sondern „Welches Risiko gehen wir ein, wenn wir nichts tun?“

Weiterlesen — verwandte Artikel

KI-Wissen

AGI vs. Heutige KI (GenAI) – Was kann künstliche Intelligenz wirklich?

Die aktuellen KI-Systeme (GenAI) und das Konzept AGI unterscheiden sich grundlegend. Was jetzt schon geht, und was Zukunftsmusik bleibt.

IT-Wissen

Was ist eine Sandbox? Isolierte Umgebungen einfach erklärt

Ein abgegrenzter Bereich, in dem Software laufen darf, ohne den Rest des Systems zu erreichen. Browser-Sandbox, Smartphone-Apps, Windows Sandbox, Container und KI-Agenten – wo Sandboxes heute überall stecken und wann sie im Büro sinnvoll sind.

Künstliche Intelligenz

Google Flow und Flow Music: Die neuen KI-Studios für Video und Musik

Google hat mit Flow (Video) und Flow Music (Audio) zwei eigenständige KI-Studios am Start. Was die Werkzeuge können, mit welchen Modellen sie arbeiten und wo sie für mittelständische Anwender passen – mit konkreten Beispielen.

Häufig gestellte Fragen

Ist es DSGVO-konform, ChatGPT, Claude oder Gemini im Unternehmen einzusetzen?

Ja, sofern Sie einen Geschäfts- oder Enterprise-Account mit Auftragsverarbeitungsvertrag (AVV) und Standardvertragsklauseln nutzen, die Mitarbeitenden über die Verarbeitung informieren und für besonders sensible Daten interne Eingaberegeln festlegen. Die großen Anbieter sind im EU-US Data Privacy Framework gelistet, was die Drittlandübermittlung absichert.

Brauchen wir wirklich für jede KI-Agentur, jeden Programmierer und jeden Berater einen AVV?

Nein. Auftragsverarbeiter im Sinne des Art. 28 DSGVO ist nur, wer im Auftrag tatsächlich personenbezogene Daten verarbeitet. Wer Code schreibt, Schulungen hält oder Systeme konzipiert, ohne Zugriff auf echte personenbezogene Daten zu nehmen, ist kein Auftragsverarbeiter. Ein AVV ohne Anlass schafft keinen zusätzlichen Schutz, er verzögert nur das Projekt.

Reicht eine EU-Datenresidenz, um den CLOUD Act auszuschließen?

Rechtlich nein. Der CLOUD Act erlaubt US-Behörden, Daten von US-Unternehmen unabhängig vom Speicherort anzufordern. Eine europäische Datenresidenz reduziert das praktische Risiko, beseitigt es aber nicht. Wer das vollständig vermeiden möchte, muss zu einem nicht-US-Anbieter wechseln oder eigene Infrastruktur betreiben.

Was ist Schatten-KI und warum ist sie so gefährlich?

Schatten-KI bezeichnet die Nutzung von KI-Werkzeugen durch Mitarbeitende ohne offizielle Freigabe des Arbeitgebers. Mehr als die Hälfte der Wissensarbeiter nutzt solche Werkzeuge inoffiziell. Da kein AVV, keine Datenresidenz und keine Eingaberegel greift, ist das Risiko von ungewollter Datenpreisgabe deutlich höher als bei einer offiziellen Lösung.

Was schützt unsere Geschäftsgeheimnisse vor großen Cloud-Modellen?

Eine technische und organisatorische Trennung. Inhalte mit hoher Geheimhaltungsstufe (Quellcode, Konstruktionsdaten, Rezepturen, vorveröffentlichte Forschungsergebnisse) gehören nicht in das Eingabefeld eines öffentlich gehosteten Modells. Lokale Open-Source-Modelle in eigener Infrastruktur oder dedizierte EU-Cloud-Umgebungen sind die übliche Antwort.

Greift der EU AI Act bereits in unser Unternehmen ein?

Teilweise ja. Verbote für bestimmte Praktiken (Social Scoring, manipulative Systeme) gelten seit Februar 2025. Pflichten für allgemeine KI-Modelle und Hochrisiko-Anwendungen greifen gestaffelt bis 2026/2027. Die ursprünglich vorgesehene Kompetenzpflicht für Beschäftigte wurde abgemildert. Wer Standardanwendungen einsetzt (Texterstellung, Übersetzung, Klassifizierung), trägt geringere Pflichten als ursprünglich angenommen.

Wie überzeuge ich unsere Datenschutzbeauftragte oder den Betriebsrat?

Mit einer klaren Datenflusskarte, einem ausgewählten Anbieter inklusive AVV-Vorlage und einer benannten Liste sensibler Inhalte, die in dem System ausdrücklich nicht eingegeben werden. Wenn Sie konkret zeigen können, welche Daten wohin fließen und welche Schutzmaßnahmen greifen, wechselt das Gespräch von »darf das?« zu »wie machen wir das richtig?«.

Welche Folgen drohen, wenn wir alles richtig machen wollen und doch ein Detail übersehen?

Aufsichtsbehörden gehen in den meisten Fällen zunächst beratend vor, insbesondere bei kleineren und mittleren Unternehmen mit erkennbarem guten Willen. Hohe Bußgelder treffen vor allem Unternehmen, die wiederholt oder vorsätzlich Pflichten verletzen oder sich kooperativ verweigern. Wer einen dokumentierten Prozess vorweisen kann, hat im Zweifelsfall einen sehr viel besseren Stand als jemand, der die Pflicht ignoriert hat.