In fast jedem Gespräch, das ich über KI-Einführung führe, taucht das Thema Datenschutz irgendwann auf. Meistens am Ende. Meistens dann, wenn bereits Entscheidungen gefallen sind. Und meistens mit einem schlechten Gefühl auf beiden Seiten: Das hätten wir früher besprechen sollen.

Compliance ist in vielen Unternehmen ein Nachgedanke. Ein Häkchen, das am Ende gesetzt werden muss, bevor ein Projekt live geht. Das ist nicht nur riskant. Es ist teuer.

In diesem Artikel geht es nicht um Paragraphen. Es geht um die praktische Frage: Was müssen Führungskräfte im Marketing, Vertrieb und im KI-Umfeld heute verstanden haben, damit sie morgen keine bösen Überraschungen erleben?

"Datenschutz ist kein Bremsklotz. Er ist ein Wettbewerbsvorteil, wenn man ihn früh genug angeht."

Der Deal, der nicht hätte scheitern dürfen

Auf einer Branchenveranstaltung hat mir ein Vertriebsleiter eine Geschichte erzählt, die mir seitdem nicht mehr aus dem Kopf geht. Sein Unternehmen hatte monatelang an einem Enterprise-Abschluss gearbeitet. Technisch passte alles. Die Beziehung war gut. Das Angebot lag vor.

Dann die Sicherheitsprüfung auf Kundenseite. Der IT-Verantwortliche stellte zwei Fragen: "Habt ihr ISO 27001?" und "Wie verarbeitet ihr unsere Kundendaten, wenn ihr KI-Tools einsetzt?"

Vertrieb: "ISO 27001 ist in Planung, aktuell noch nicht zertifiziert."
Kunde: "Und die KI-Tools?"
Vertrieb: "Wir nutzen verschiedene Dienste, die im Team produktiv eingesetzt werden."
Kunde: "Welche Daten fliessen dabei wohin?"
Stille.

Der Deal scheiterte nicht an der Technologie. Er scheiterte daran, dass niemand im Unternehmen eine Antwort auf eine legitime Frage hatte, die jeder Enterprise-Einkäufer stellt. Diese Fragen sind heute Standard. Und sie werden häufiger, nicht seltener.

Die vier Frameworks, die Entscheider verstehen müssen

Es geht nicht darum, Jurist zu werden. Es geht darum, die Grundlogik zu verstehen, damit man die richtigen Fragen stellen kann und weiß, wann man wen hinzuziehen muss.

DSGVO
Datenschutz-Grundverordnung
Gilt für alle, die personenbezogene Daten von EU-Bürgern verarbeiten. Kernprinzip: Privacy by Design. Datenschutz muss von Anfang an mitgedacht werden, nicht als Ergänzung.
EU AI Act
EU-Verordnung zu KI-Systemen
Klassifiziert KI-Anwendungen nach Risikoklassen. Hochrisiko-Systeme (z.B. Personalentscheidungen, Kreditvergabe) unterliegen strengen Anforderungen. Gilt ab 2025/2026 stufenweise.
ISO 27001
Informationssicherheits-Management
Internationaler Standard für ein Informationssicherheits-Managementsystem (ISMS). Wird von Enterprise-Kunden und im öffentlichen Sektor häufig als Voraussetzung für Lieferanten gefordert.
SOC 2
Service Organization Controls
US-amerikanischer Standard, der im B2B-SaaS-Umfeld zum De-facto-Nachweis für Datensicherheit geworden ist. Besonders relevant für Unternehmen mit US-Kunden oder internationalen Enterprise-Deals.

Was Unternehmen bei DSGVO und KI regelmäßig übersehen

KI-Tools verarbeiten oft mehr Daten als gedacht

Wenn Mitarbeiter KI-Assistenten für E-Mails, Protokolle oder Kundenanfragen nutzen, fließen häufig personenbezogene Daten in externe Systeme. Viele Unternehmen wissen nicht, was dabei genau wohin geht, wer diese Daten verarbeitet und auf Basis welcher Vereinbarung.

Das ist kein Kleingeld-Problem. Eine fehlende Auftragsverarbeitungsvereinbarung mit einem KI-Anbieter kann teuer werden. Und sie kann Enterprise-Deals blockieren, bei denen der Kunde fragt: "Welche Sub-Auftragsverarbeiter nutzt ihr?"

Einwilligung ist keine Lösung für alles

Ein häufiges Missverständnis: "Wir holen eine Einwilligung ein, dann ist alles in Ordnung." Die DSGVO kennt andere Rechtsgrundlagen, die in vielen Geschäftskontexten sinnvoller und robuster sind. Einwilligung kann widerrufen werden. Das erzeugt operative Probleme, die sich vermeiden lassen.

Wer KI im Kundenservice, im Marketing oder im Vertrieb einsetzt und dabei auf Einwilligung setzt, ohne die Alternativen geprüft zu haben, baut auf einem wackeligen Fundament.

Profiling und automatisierte Entscheidungen

Lead Scoring, Kundensegmentierung, automatisierte Angebotserstellung: Viele dieser Prozesse fallen unter die DSGVO-Regeln zu Profiling und automatisierten Entscheidungen. Wenn daraus Entscheidungen folgen, die Kunden oder Interessenten erheblich beeinflussen, gibt es klare Anforderungen an Transparenz und Widerspruchsrecht.

Das ist kein Grund, diese Prozesse nicht einzusetzen. Aber es ist ein Grund, sie von Anfang an rechtssicher zu gestalten.

Der EU AI Act: Was jetzt schon relevant ist

Der EU AI Act wird oft als "zukünftiges Thema" behandelt. Das ist ein Fehler. Die Verordnung ist in Kraft. Die ersten Verbote gelten bereits. Die vollen Anforderungen für Hochrisiko-Systeme greifen stufenweise bis 2026.

Was bedeutet das praktisch für B2B-Unternehmen im Bereich Marketing, Sales und KI?

Transparenzpflichten: Wer KI-Systeme einsetzt, die mit Menschen interagieren, muss dies kenntlich machen. KI-generierte Texte, Chatbots, automatisierte Empfehlungen: Das Verschweigen, dass KI im Spiel ist, wird reguliert.

Dokumentationspflichten: Wer KI-Systeme für Personalentscheidungen, Kreditbewertungen oder ähnliche Prozesse einsetzt, muss dokumentieren können, wie das System funktioniert, welche Daten es nutzt und wie Entscheidungen zustande kommen.

Verbotene Praktiken: Einige KI-Anwendungen sind ab sofort verboten. Dazu gehören bestimmte Formen von Social Scoring, manipulative Techniken und Echtzeit-Gesichtserkennung in öffentlichen Räumen. Auch im B2B-Kontext gilt: Wer KI-gestützte Verhaltensanalyse einsetzt, sollte prüfen, ob er in der Nähe verbotener Praktiken operiert.

"Der EU AI Act ist nicht nur ein Compliance-Thema. Er verändert, welche KI-Anwendungen überhaupt noch zulässig sind."

ISO 27001 und SOC 2: Wann wird es relevant?

Diese Frage lässt sich einfach beantworten: sobald Enterprise-Kunden im Spiel sind.

Im Mittelstand wird ISO 27001 häufig erst dann ein Thema, wenn der erste große Kunde danach fragt. Dann beginnt das Zertifizierungsprojekt unter Zeitdruck, mit hohen Kosten und dem Risiko, den Deal trotzdem zu verlieren, weil die Zertifizierung nicht rechtzeitig fertig ist.

ISO 27001 aufzubauen dauert je nach Unternehmensgröße und Ausgangssituation sechs bis achtzehn Monate. Wer wartet, bis der Kunde fragt, verliert in der Regel mindestens einen Deal, bevor das Zertifikat vorliegt.

SOC 2 ist das US-amerikanische Pendant und relevant, sobald amerikanische Unternehmen oder internationale Enterprise-Kunden als Zielgruppe in Frage kommen. Viele SaaS-Anbieter in Deutschland unterschätzen, wie selbstverständlich SOC 2 in US-Enterprise-Einkaufsprozessen erwartet wird.

Was "Compliance by Design" konkret bedeutet

Es geht nicht darum, ein Compliance-Team einzustellen und Prozesse zu dokumentieren, bevor man irgendetwas baut. Es geht darum, vier Fragen bei jeder relevanten Entscheidung mitzudenken.

01
Welche Daten verarbeiten wir, und auf welcher Rechtsgrundlage?
Für jedes System und jeden Prozess, der personenbezogene Daten berührt. Nicht "irgendwie einwilligen lassen", sondern die passende Rechtsgrundlage bewusst wählen.
02
Welche externen Dienstleister erhalten Zugang zu diesen Daten?
KI-Tools, CRMs, Marketing-Automation, Analytics. Für jeden dieser Dienstleister braucht es eine Auftragsverarbeitungsvereinbarung. Das gilt auch für US-Anbieter.
03
Fällt unser KI-Einsatz unter den EU AI Act, und in welche Risikoklasse?
Nicht alle KI-Anwendungen sind gleich reguliert. Die Antwort auf diese Frage bestimmt, welche Dokumentations- und Transparenzpflichten gelten.
04
Was können unsere Zielkunden über Sicherheitsstandards fragen, und haben wir eine Antwort?
Nicht erst dann beantworten, wenn ein Deal am Tisch liegt. Die Antwort muss vorher existieren. Das bedeutet: Informationssicherheit muss in der Unternehmensstruktur verankert sein.

Compliance als Vertriebsargument

Hier liegt eine Chance, die viele Unternehmen nicht sehen. Wer DSGVO-Konformität, EU-AI-Act-Compliance und ISO 27001 nachweisen kann, hat in Enterprise-Deals einen messbaren Vorteil gegenüber Mitbewerbern, die das nicht können.

In Branchen mit hohen Compliance-Anforderungen, Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor, Industrie mit sensiblen Prozessen, ist das nicht optional. Dort ist Compliance der Türöffner, nicht der Bremsklotz.

Aber auch im klassischen B2B-Mittelstand steigt die Erwartungshaltung. Einkäufer stellen heute Fragen, die vor drei Jahren niemand gestellt hat. Die Unternehmen, die darauf vorbereitet sind, gewinnen. Die anderen verlieren Deals und wissen oft nicht einmal warum.

Häufige Fragen

Was Führungskräfte am häufigsten fragen

Müssen wir als Mittelständler ISO 27001 haben?
Gesetzlich vorgeschrieben ist es in den meisten Branchen nicht. Faktisch wird es immer häufiger von Enterprise-Kunden und im öffentlichen Beschaffungswesen gefordert. Wer in diese Richtung wachsen will, sollte nicht warten, bis der erste Deal daran scheitert.
Dürfen wir KI-Tools wie ChatGPT im Unternehmen einsetzen?
Grundsätzlich ja, aber nicht ohne Rahmenbedingungen. Es braucht Klarheit darüber, welche Daten eingegeben werden dürfen, welche Vereinbarungen mit dem Anbieter bestehen, und wie Mitarbeiter geschult werden. Ein Ad-hoc-Einsatz ohne diese Grundlage ist datenschutzrechtlich problematisch.
Was ist der EU AI Act, und wann gilt er für uns?
Der EU AI Act ist eine EU-Verordnung, die KI-Systeme nach Risiko klassifiziert. Bestimmte Verbote gelten bereits. Anforderungen für Hochrisiko-Systeme greifen ab 2026. Unternehmen sollten jetzt prüfen, welche ihrer KI-Anwendungen in welche Kategorie fallen.
Was ist der Unterschied zwischen ISO 27001 und SOC 2?
Beide sind Standards für Informationssicherheit, aber mit unterschiedlichem Fokus und Ursprung. ISO 27001 ist ein internationaler Standard mit Zertifizierung. SOC 2 ist ein US-amerikanisches Prüfungsrahmenwerk, das vor allem im SaaS-Bereich und bei US-Enterprise-Kunden erwartet wird. Manche Unternehmen streben beide an.
Brauchen wir einen Datenschutzbeauftragten?
In vielen Fällen ist er gesetzlich vorgeschrieben: bei Verarbeitung besonderer Kategorien personenbezogener Daten, bei umfangreichem Profiling oder ab einer gewissen Mitarbeiterzahl. Unabhängig davon ist eine interne Verantwortlichkeit für Datenschutz sinnvoll, selbst wenn kein Datenschutzbeauftragter vorgeschrieben ist.
Was kostet eine ISO 27001 Zertifizierung?
Das hängt von Unternehmensgröße und Ausgangssituation ab. Realistisch sind für mittelständische Unternehmen Gesamtkosten von 30.000 bis 100.000 Euro inklusive Beratung, internem Aufwand und Zertifizierungsaudit. Entscheidend ist nicht nur der Preis, sondern der Zeitraum: sechs bis achtzehn Monate bis zur Zertifizierung.