PanoArt360

PanoArt360 — Zurück zum Blog

PanoArt360
Zurück zum Blog DSGVO & Datenschutz

DSGVO & KI-Tools 2026: Was Unternehmen beim Einsatz beachten müssen

21. April 2026 10 Min. Lektüre PanoArt360
DSGVO KI Tools ChatGPT Datenschutz

ChatGPT, Copilot, Gemini, DALL-E – KI-Tools sind in deutschen Unternehmen längst angekommen. Mitarbeiter nutzen sie für E-Mails, Präsentationen, Code, Bildgenerierung und Kundenkommunikation. Das Problem: Die wenigsten Unternehmen haben systematisch geprüft, ob dieser Einsatz DSGVO-konform ist.

Das ist kein akademisches Problem. Die Aufsichtsbehörden in Deutschland und Europa sind aktiv: Es gab bereits Ermittlungen und Büßgelder im Zusammenhang mit dem unsachgemäßen Einsatz von KI-Tools in Unternehmen. Dieser Artikel erklärt die wichtigsten Risikobereiche und zeigt, wie Sie rechtssicher handeln.

Das Grundproblem: Personenbezogene Daten und KI

Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden – also Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Wenn ein Mitarbeiter einen Text über einen Kunden in ChatGPT eingibt („Schreib mir eine Nachfass-E-Mail an Herrn Müller von der Firma XY bezüglich des Angebots vom 3. April“), werden personenbezogene Daten an einen US-amerikanischen Anbieter übertragen.

Das ist DSGVO-relevant aus mehreren Gründen:

  • Drittland-Transfer: OpenAI, Google, Microsoft sitzen in den USA. Datentransfers in Drittländer außerhalb des EWR sind nur unter bestimmten Bedingungen erlaubt.
  • Auftragsverarbeitung: Wenn KI-Tools personenbezogene Daten im Auftrag Ihres Unternehmens verarbeiten, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV).
  • Zweckbindung: Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden – nicht um in KI-Modellen zu landen.
  • Trainingsnutzung: Bei einigen KI-Diensten werden Eingaben zum Training der Modelle genutzt, wenn dies nicht aktiv deaktiviert wird.

Dos & Don'ts im täglichen Einsatz

Erlaubt / Empfohlen
  • Allgemeine Texte ohne Personenbezug erstellen lassen
  • AVV mit dem KI-Anbieter abschließen (z.B. ChatGPT Enterprise)
  • Datenschutzschulung für Mitarbeiter zum KI-Einsatz durchführen
  • Training auf eigenen Daten deaktivieren (Einstellung bei OpenAI)
  • EU-basierte KI-Alternativen prüfen (z.B. Mistral, Aleph Alpha)
  • Richtlinie für KI-Nutzung im Unternehmen erstellen
Vermeiden
  • Kundendaten (Name, E-Mail, Adresse) direkt in Prompts eingeben
  • KI-Tools ohne AVV für Kundenkommunikation nutzen
  • Mitarbeiter ohne Schulung KI-Tools eigenständig nutzen lassen
  • Gesundheitsdaten, Finanzdaten oder sensible Infos eintippen
  • Kostenlose Versionen ohne Datenschutzoptionen im Unternehmenskontext nutzen
  • Kein Datenschutzaudit vor breitem Rollout

Welche KI-Tools sind DSGVO-freundlicher?

ChatGPT (OpenAI)

Die kostenlose Version ist für den Unternehmenseinsatz mit personenbezogenen Daten nicht geeignet – Daten können zum Training genutzt werden. ChatGPT Enterprise und die API mit deaktiviertem Training bieten dagegen einen AVV und schließen Trainingsnutzung aus. Datentransfer in die USA ist durch OpenAIs EU-Standardvertragsklauseln abgedeckt, aber umstritten.

Microsoft Copilot (mit M365-Lizenz)

Im Rahmen einer Microsoft-365-Business-Lizenz läuft Copilot auf der Microsoft-Cloud-Infrastruktur mit AVV und DSGVO-Konformität. Das ist aktuell eine der rechtssichersten Optionen für KMU, die bereits Microsoft-365 nutzen.

Lokale KI-Modelle (Ollama, LM Studio)

Wer höchste Datensicherheit braucht, kann Open-Source-Modelle (Llama, Mistral) lokal auf eigener Hardware ausführen. Keine Daten verlassen das Unternehmen. Nachteil: Technischer Aufwand und geringere Modellqualität gegenüber ChatGPT-4.

AI Act ab 2026 beachten: Der EU AI Act tritt schrittweise in Kraft. Ab 2026 müssen Unternehmen, die KI-Systeme im Hochrisiko-Bereich einsetzen (z.B. Personalentscheidungen, Kreditvergabe), zusätzliche Anforderungen erfüllen. Informieren Sie sich frühzeitig, ob Ihre KI-Anwendungen betroffen sind.

Praktische Maßnahmen für KMU

  1. KI-Nutzungsrichtlinie erstellen: Legen Sie schriftlich fest, welche KI-Tools im Unternehmen erlaubt sind und wie sie genutzt werden dürfen. Klare Regeln zum Umgang mit Kundendaten.
  2. Mitarbeiter schulen: Erklären Sie konkret, was in KI-Prompts eingegeben werden darf und was nicht. Praxisbeispiele helfen mehr als abstrakte Regeln.
  3. Training deaktivieren: Bei ChatGPT unter Einstellungen → „Daten und Privatsphäre“ das Training der Modelle mit Ihren Daten deaktivieren.
  4. AVV prüfen: Für jeden genutzten KI-Dienst prüfen, ob ein AVV vorliegt oder abgeschlossen werden kann.
  5. Datenschutzerklärung aktualisieren: Erwähnen Sie den Einsatz von KI-Tools in Ihrer Datenschutzerklärung, soweit Kundendaten betroffen sein können.
Hinweis: Dieser Artikel gibt einen Überblick und ersetzt keine Rechtsberatung. Für eine verbindliche DSGVO-Einschätzung Ihrer spezifischen KI-Nutzung wenden Sie sich an einen Datenschutzbeauftragten oder Fachanwalt für IT-Recht.

Fazit: Jetzt handeln, nicht warten

KI-Tools sind zu nützlich, um sie im Unternehmenskontext ganz zu meiden. Aber ungeregelter Einsatz ist ein echtes Compliance-Risiko. Die gute Nachricht: Mit klar definierten Richtlinien, den richtigen Tool-Varianten und einer Mitarbeiterschulung lässt sich der KI-Einsatz in den meisten KMU in wenigen Wochen auf eine rechtssichere Basis stellen.

Fragen zu Datenschutz und digitaler Compliance Ihrer Website? Sprechen Sie uns an.

Weitere Artikel

DSGVO & Datenschutz DSGVO 2025: Was Unternehmen jetzt wissen müssen KI & Digitalisierung ChatGPT & OpenAI im Unternehmen: 10 Dos & Don'ts

DSGVO-konforme Website & digitale Strategie?

Wir helfen Ihnen, Ihre Website und digitale Prozesse rechtssicher aufzustellen.

Beratung anfragen