DSGVO-konforme KI: Was Mittelständler wissen müssen

KI und DSGVO: Kein Widerspruch, sondern Pflichtprogramm

Wenn mittelständische Unternehmen über KI nachdenken, kommt früher oder später die Frage auf: „Und was ist mit dem Datenschutz?” Die gute Nachricht: KI und DSGVO schließen sich nicht aus. Die weniger gute Nachricht: Wer die Regeln nicht kennt, riskiert hohe Bußgelder — bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

Dieser Artikel gibt Ihnen einen praxisorientierten Überblick über die DSGVO-Anforderungen für KI-Projekte im Mittelstand. Keine Juristenprosa, sondern konkrete Handlungsempfehlungen.

Kernaussage: 78 % der KI-Projekte im Mittelstand verarbeiten personenbezogene Daten. Nur 34 % haben vorab eine Datenschutz-Folgenabschätzung durchgeführt. Das ist ein Risiko, das sich leicht vermeiden lässt.

DSGVO-Grundlagen für KI-Projekte

Was ist überhaupt ein „personenbezogenes Datum” im KI-Kontext?

Viele Unternehmen unterschätzen, was alles unter personenbezogene Daten fällt. Im KI-Kontext sind das zum Beispiel:

• Offensichtlich: Namen, E-Mail-Adressen, Kundennummern
• Weniger offensichtlich: IP-Adressen, Maschinenbediener-IDs, Geräte-Kennungen
• Oft vergessen: Verhaltensdaten (Klickmuster, Nutzungszeiten), biometrische Daten (Stimme, Gesicht), Standortdaten
• Indirekt: Datensätze, die in Kombination eine Person identifizierbar machen

Faustregel: Wenn ein Datensatz theoretisch auf eine natürliche Person zurückgeführt werden kann — auch mit zusätzlichem Aufwand — handelt es sich um personenbezogene Daten.

Die sechs DSGVO-Grundsätze im KI-Kontext

1. Rechtmäßigkeit: Sie brauchen eine Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertrag)
2. Zweckbindung: Daten, die für Zweck A erhoben wurden, dürfen nicht ohne Weiteres für KI-Training (Zweck B) verwendet werden
3. Datenminimierung: Nur die Daten verarbeiten, die wirklich nötig sind — kein „je mehr, desto besser”
4. Richtigkeit: KI-Modelle müssen mit korrekten Daten trainiert werden
5. Speicherbegrenzung: Trainingsdaten dürfen nicht unbegrenzt gespeichert werden
6. Integrität und Vertraulichkeit: Technische und organisatorische Maßnahmen zum Schutz der Daten

Rechtsgrundlagen für KI-Datenverarbeitung

Für die meisten KI-Projekte im Mittelstand kommen drei Rechtsgrundlagen infrage:

Art. 6 Abs. 1 lit. b — Vertragserfüllung:

• Gilt, wenn die KI-Verarbeitung zur Erfüllung eines Vertrags notwendig ist
• Beispiel: KI-gestützte Auftragsverarbeitung, automatische Angebotserstellung

Art. 6 Abs. 1 lit. f — Berechtigtes Interesse:

• Gilt, wenn Ihr Interesse an der Verarbeitung die Interessen der Betroffenen überwiegt
• Beispiel: Predictive Maintenance (kein direkter Personenbezug), Prozessoptimierung
• Wichtig: Erfordert eine dokumentierte Interessenabwägung

Art. 6 Abs. 1 lit. a — Einwilligung:

• Erforderlich bei besonders sensiblen Anwendungen (z. B. Mitarbeiter-Monitoring)
• Muss freiwillig, informiert und widerrufbar sein
• Achtung: Im Arbeitsverhältnis ist „Freiwilligkeit” oft fraglich

Auftragsverarbeitungsvertrag (AVV): Pflicht bei externen KI-Diensten

Sobald ein externer Dienstleister Ihre Daten verarbeitet — und das ist bei den meisten Cloud-basierten KI-Lösungen der Fall — benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Was muss der AVV enthalten?

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorien der betroffenen Personen
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs)
• Regelungen zu Unterauftragnehmern
• Löschpflichten nach Ende der Verarbeitung

Checkliste für KI-Dienstleister

Bevor Sie einen KI-Dienstleister beauftragen, klären Sie:

• Bietet der Anbieter einen DSGVO-konformen AVV an?
• Wo werden die Daten verarbeitet (EU oder Drittland)?
• Werden Ihre Daten für das Training eigener Modelle verwendet?
• Gibt es eine Löschbestätigung nach Vertragsende?
• Welche Unterauftragnehmer sind involviert?
• Ist der Anbieter nach ISO 27001 oder SOC 2 zertifiziert?

Wo leben Ihre Daten? EU vs. USA vs. Rest der Welt

Das Drittlandproblem

Viele populäre KI-Dienste (OpenAI, Google Cloud AI, AWS) verarbeiten Daten in den USA. Seit dem Schrems-II-Urteil und dem EU-US Data Privacy Framework gelten besondere Regeln:

EU-US Data Privacy Framework (DPF):

• US-Unternehmen auf der DPF-Liste dürfen personenbezogene Daten aus der EU verarbeiten
• Aber: Prüfen Sie, ob Ihr konkreter Anbieter auf der Liste steht
• Risiko: Das DPF könnte wie seine Vorgänger (Safe Harbor, Privacy Shield) gekippt werden

Standardvertragsklauseln (SCCs):

• Alternative zum DPF für Datentransfers in Drittländer
• Erfordern eine Transfer Impact Assessment (TIA)
• Zusätzliche technische Maßnahmen (z. B. Verschlüsselung) können nötig sein

Praxisempfehlung: EU-first

Für die meisten mittelständischen KI-Projekte empfehle ich einen EU-first-Ansatz:

1. Bevorzugen Sie EU-basierte KI-Anbieter: Aleph Alpha (DE), Mistral AI (FR), oder selbst gehostete Open-Source-Modelle
2. Nutzen Sie EU-Rechenzentren: Azure EU, AWS Frankfurt, Google Cloud EU
3. Prüfen Sie On-Premise-Optionen: Für besonders sensible Daten kann eine lokale Installation die bessere Wahl sein

Tipp: Selbst gehostete Open-Source-Modelle (z. B. Llama, Mistral) geben Ihnen die volle Kontrolle über Ihre Daten — und machen den AVV mit einem US-Anbieter überflüssig.

Anonymisierung und Pseudonymisierung: Ihre besten Verbündeten

Anonymisierung

Wenn Daten so verarbeitet werden, dass kein Personenbezug mehr herstellbar ist, greift die DSGVO nicht mehr. Echte Anonymisierung ist der Goldstandard.

Methoden:

• Entfernung aller direkten Identifikatoren (Name, E-Mail, Kundennr.)
• k-Anonymität: Jeder Datensatz ist mindestens k-mal in den Daten vertreten
• Differential Privacy: Gezieltes Rauschen in den Daten verhindert Rückschlüsse
• Aggregation: Nur Durchschnittswerte und Summen statt Einzeldaten

Achtung: Pseudonymisierung ist keine Anonymisierung. Pseudonymisierte Daten bleiben personenbezogen, weil die Zuordnung theoretisch wiederhergestellt werden kann.

Pseudonymisierung

Trotzdem sinnvoll als Schutzmaßnahme:

• Ersetzt direkte Identifikatoren durch Pseudonyme
• Reduziert das Risiko bei Datenpannen
• Wird von der DSGVO als technische Schutzmaßnahme anerkannt
• Kann die Interessenabwägung bei Art. 6 Abs. 1 lit. f positiv beeinflussen

Praxis-Workflow: Daten für KI aufbereiten

1. Daten inventarisieren: Welche personenbezogenen Daten sind in den Trainingsdaten?
2. Notwendigkeit prüfen: Braucht das KI-Modell den Personenbezug wirklich?
3. Anonymisieren, wo möglich: Entfernen Sie alle nicht benötigten Identifikatoren
4. Pseudonymisieren, wo Anonymisierung nicht möglich ist: Z. B. bei Kundensupport-Daten
5. Dokumentieren: Halten Sie den Prozess und die Ergebnisse fest

Datenschutz-Folgenabschätzung (DSFA): Wann ist sie Pflicht?

Pflicht bei hohem Risiko

Eine DSFA nach Art. 35 DSGVO ist Pflicht, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” mit sich bringt. Im KI-Kontext betrifft das:

• Automatisierte Entscheidungsfindung mit rechtlicher Wirkung (Art. 22 DSGVO)
• Profiling von Mitarbeitern oder Kunden
• Systematische Überwachung öffentlich zugänglicher Bereiche
• Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Biometrie)
• Neue Technologien in großem Umfang

Inhalte einer DSFA

1. Systematische Beschreibung der Verarbeitungsvorgänge
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit
3. Bewertung der Risiken für die Rechte der Betroffenen
4. Geplante Abhilfemaßnahmen (technisch und organisatorisch)

Praxistipp

Auch wenn keine DSFA-Pflicht besteht: Dokumentieren Sie Ihre Datenschutz-Überlegungen zu jedem KI-Projekt. Das zeigt der Aufsichtsbehörde, dass Sie verantwortungsvoll handeln — und schützt Sie im Streitfall.

Brauchen Sie einen Datenschutzbeauftragten (DSB)?

Pflicht in Deutschland

In Deutschland ist ein DSB Pflicht, wenn:

• Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
• Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht
• Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist

Interne vs. externe DSBs

Kriterium	Interner DSB	Externer DSB
Kosten	Festgehalt + Weiterbildung	300–1.500 €/Monat
KI-Expertise	Muss aufgebaut werden	Spezialist wählbar
Kündigungsschutz	Besonderer Kündigungsschutz	Vertragslaufzeit
Verfügbarkeit	Vor Ort	Nach Vereinbarung
Empfehlung für KMU	Ab 50 Mitarbeiter	Unter 50 Mitarbeiter

Empfehlung für KI-Projekte: Ein externer DSB mit KI-Erfahrung ist für die meisten Mittelständler die bessere Wahl. Er bringt Spezialwissen mit und ist kostengünstiger als ein interner Vollzeit-DSB.

Praktische Checkliste: DSGVO-konforme KI in 10 Schritten

1. Zweck definieren: Warum setzen Sie KI ein? Welches Problem wird gelöst?
2. Rechtsgrundlage bestimmen: Vertrag, berechtigtes Interesse oder Einwilligung?
3. Datenbestand analysieren: Welche personenbezogenen Daten sind betroffen?
4. Anonymisieren/Pseudonymisieren: Wo möglich, den Personenbezug entfernen
5. DSFA prüfen: Besteht eine Pflicht zur Datenschutz-Folgenabschätzung?
6. AVV abschließen: Mit jedem externen Dienstleister, der Daten verarbeitet
7. Verarbeitungsverzeichnis aktualisieren: KI-Verarbeitung eintragen
8. Betroffene informieren: Datenschutzerklärung um KI-Verarbeitung ergänzen
9. Technische Maßnahmen umsetzen: Verschlüsselung, Zugriffskontrolle, Logging
10. Regelmäßig überprüfen: Mindestens jährlich die Konformität prüfen

Der EU AI Act: Was kommt auf den Mittelstand zu?

Neben der DSGVO tritt seit 2024 schrittweise der EU AI Act in Kraft. Für die meisten KI-Projekte im Mittelstand gilt:

• Minimales Risiko: Die Mehrheit der Unternehmens-KI (Dokumentenverarbeitung, Prozessoptimierung) fällt in die Kategorie „minimales Risiko” und ist kaum reguliert
• Hohes Risiko: KI in der Personalauswahl, Kreditvergabe oder Sicherheitstechnik unterliegt strengen Anforderungen (Dokumentation, Transparenz, menschliche Aufsicht)
• Verboten: Social Scoring, manipulative KI, biometrische Massenüberwachung

Für den Mittelstand relevant: Ab August 2026 gelten die Pflichten für Hochrisiko-KI vollständig. Prüfen Sie jetzt, ob Ihre KI-Anwendungen betroffen sind.

Fazit: Datenschutz als Qualitätsmerkmal

DSGVO-Konformität bei KI-Projekten ist kein Hindernis — es ist ein Qualitätsmerkmal. Unternehmen, die Datenschutz von Anfang an mitdenken, bauen robustere Systeme, gewinnen das Vertrauen ihrer Kunden und vermeiden teure Nachbesserungen.

Der Aufwand für DSGVO-konforme KI ist überschaubar, wenn Sie strukturiert vorgehen. Die zehn Schritte in der Checkliste oben kosten Sie ein bis zwei Tage Arbeit — und schützen Sie vor Risiken, die ein Vielfaches davon kosten können.

Sie planen ein KI-Projekt und wollen von Anfang an datenschutzkonform arbeiten? Wir unterstützen Sie bei der Planung, der Anbieterwahl und der Dokumentation — damit Ihr Projekt sowohl technisch als auch rechtlich auf solidem Fundament steht.

Jetzt Beratungsgespräch vereinbaren →