In fast jedem Gespräch, das ich mit Führungskräften über KI führe, taucht irgendwann dieselbe Frage auf. Meistens ein bisschen zögerlich, manchmal fast entschuldigend: "Dürfen wir das eigentlich?" Das "das" kann vieles sein: Kundendaten in ChatGPT eingeben, Angebote mit Claude schreiben, Gesprächsnotizen mit einem KI-Tool zusammenfassen.

Die gute Nachricht: Die Antwort ist in den meisten Fällen Ja. Aber nicht uneingeschränkt und nicht ohne Rahmenbedingungen. Und genau diese Rahmenbedingungen sind es, die die meisten Unternehmen nicht kennen, obwohl sie in einer Stunde erarbeitet sein könnten.

In diesem Artikel gebe ich konkrete Antworten auf die Fragen, die mir in der Praxis am häufigsten gestellt werden. Nicht aus Juristenperspektive, sondern aus der Perspektive von jemandem, der jeden Tag mit Mittelstandsunternehmen an der Schnittstelle von KI und DSGVO arbeitet.

"Die meisten Datenschutzfragen bei KI sind lösbar — man muss sie nur stellen, bevor man startet."

Warum KI und DSGVO kein Widerspruch sind

Die DSGVO reguliert, wie personenbezogene Daten verarbeitet werden dürfen. Sie verbietet nicht, KI einzusetzen. Sie sagt aber: Wer personenbezogene Daten verarbeitet, also Daten, die einer Person zugeordnet werden können, braucht eine Rechtsgrundlage, einen Auftragsverarbeitungsvertrag mit jedem Dienstleister, der diese Daten berührt, und Transparenz darüber, was mit den Daten passiert.

Das klingt nach viel. Es ist in der Praxis oft weniger aufwendig als gedacht, weil alle großen KI-Anbieter Enterprise-Produkte entwickelt haben, die genau diese Anforderungen erfüllen. Der entscheidende Unterschied liegt nicht zwischen KI und kein KI, sondern zwischen dem richtigen Tarif und dem falschen.

Die freie Version vs. der Enterprise-Tarif

Wer ChatGPT kostenlos nutzt oder sich mit einem persönlichen Account in Claude oder Gemini einloggt, akzeptiert Nutzungsbedingungen, die eine Verwendung seiner Eingaben für Modelltraining erlauben können. Das ist für private Nutzung in Ordnung. Für Unternehmensdaten, erst recht für personenbezogene Daten von Kunden oder Mitarbeitern, ist es das nicht.

Der Wechsel zum Enterprise- oder API-Tarif ändert das grundlegend. Laut den veröffentlichten Verarbeitungsbedingungen aller drei großen Anbieter gilt für Business- und Enterprise-Tarife: Keine Nutzung der Eingabedaten für das Training eigener Modelle, Abschluss eines Auftragsverarbeitungsvertrags (AVV nach DSGVO Art. 28) möglich, und in vielen Fällen Verarbeitung auf europäischen Servern.

OpenAI
ChatGPT Enterprise
DSGVO-fähig
AVV verfügbar, keine Trainingsnutzung der Eingabedaten, EU-Datenhaltung optional. Für Kundendaten: Enterprise-Tarif Pflicht, kostenlose Version ungeeignet.
Anthropic
Claude für Unternehmen
DSGVO-fähig
API und Claude Teams: AVV verfügbar, keine Trainingsnutzung, Datenverarbeitung nach DSGVO Art. 28 dokumentiert. Starke Datenschutzarchitektur.
Google
Gemini for Workspace
DSGVO-fähig
In Google Workspace integriert, EU-Serveroption, AVV im Workspace-Vertrag enthalten. Besonders geeignet für Unternehmen, die bereits auf Google-Infrastruktur setzen.

Welche Daten dürfen als Kontext eingegeben werden?

Das ist die Frage, die ich am häufigsten höre. Und sie ist gut gestellt, weil sie auf das Wesentliche zielt: nicht ob KI erlaubt ist, sondern welche Daten in welchem Kontext verarbeitet werden dürfen.

Meine Praxisfaustregel, die ich in jedem Projekt nutze: Daten lassen sich in drei Kategorien einteilen.

Kategorie 1: Problemlos verwendbar

Allgemeine Brancheninformationen, interne Prozessbeschreibungen, anonymisierte Beispiele ohne Personenbezug, Textentwürfe die keine personenbezogenen Informationen enthalten, Produktbeschreibungen und Angebotsinhalte ohne Kundennamen. Diese Daten können ohne Einschränkung in jeden KI-Dienst eingegeben werden, auch in die kostenlose Version.

Kategorie 2: Nur mit Enterprise-Tarif und AVV

Namen und Kontaktdaten von Leads oder Kunden, Gesprächsnotizen mit Kundenbezug, Angebote mit konkreten Kundennamen, Mitarbeiterdaten jeder Art, E-Mails mit personenbezogenen Inhalten. Für diese Daten braucht ihr zwingend einen Enterprise-Tarif mit abgeschlossenem AVV beim KI-Anbieter. Nur so habt ihr eine DSGVO-konforme Rechtsgrundlage.

Kategorie 3: Besondere Vorsicht

Gesundheitsdaten, politische Überzeugungen, ethnische Herkunft, religiöse Daten, Daten aus Personalentscheidungsprozessen. Das sind besondere Kategorien nach DSGVO Art. 9 mit erhöhten Anforderungen. Hier braucht ihr vor dem KI-Einsatz rechtliche Beratung, nicht nur einen AVV.

"Wer weiß, in welche Kategorie seine Daten fallen, hat 80 Prozent der Datenschutzfragen bei KI bereits beantwortet."

Der Auftragsverarbeitungsvertrag: Pflicht, nicht Option

Die DSGVO regelt in Artikel 28: Wer als Unternehmen personenbezogene Daten an einen externen Dienstleister weitergibt, der diese Daten in seinem Auftrag verarbeitet, braucht dafür einen Auftragsverarbeitungsvertrag. Das gilt für jeden Cloud-Dienst, für jede Marketing-Automatisierungssoftware, und eben auch für jeden KI-Anbieter, dem ihr Daten mit Personenbezug zur Verfügung stellt.

In der Praxis sieht das so aus: Bei allen drei großen Anbietern, OpenAI, Anthropic und Google, ist der AVV in den Enterprise-Tarifen entweder automatisch enthalten oder auf Anfrage abschließbar. Das ist keine besondere Leistung, sondern Standard für professionelle Softwareanbieter, die Europa als Markt ernst nehmen.

Was ich in der Praxis immer wieder sehe: Unternehmen nutzen KI-Tools seit Monaten, ohne je geprüft zu haben, ob ein AVV vorliegt. Das ist kein böser Wille, sondern fehlende Struktur. Wer das jetzt nachholt, ist in wenigen Stunden auf der sicheren Seite.

Fünf Schritte zu einem DSGVO-konformen KI-Einsatz

Das MASAKI-Framework, das ich in meiner Arbeit nutze, ordnet Datenschutz und Governance als integralen Bestandteil jeder KI-Einführung ein, nicht als nachgelagerte Compliance-Aufgabe. Konkret bedeutet das: Bevor das erste Tool produktiv eingesetzt wird, sind diese fünf Schritte zu klären.

01
Tool-Inventar erstellen
Welche KI-Tools nutzen Mitarbeiter im Unternehmen, bewusst oder unbewusst? ChatGPT im Browser, Copilot in Word, KI-Funktionen im CRM? Erst wenn der Ist-Zustand bekannt ist, können Maßnahmen greifen.
02
Daten klassifizieren
Welche Daten werden in welches Tool eingegeben? Personenbezug ja oder nein? Die drei Kategorien (problemlos, AVV-pflichtig, besondere Vorsicht) liefern das Raster dafür.
03
Enterprise-Tarife prüfen und AVV abschließen
Für alle Tools, in die personenbezogene Daten fließen: Prüfen ob ein Business- oder Enterprise-Tarif mit AVV vorhanden ist. Wenn ja: abschließen. Wenn nein: Tool für personenbezogene Daten sperren oder ersetzen.
04
Interne KI-Nutzungsrichtlinie erstellen
Eine Seite reicht. Welche Tools sind freigegeben, welche nicht? Welche Daten dürfen eingegeben werden, welche nicht? Diese Richtlinie schützt nicht nur rechtlich, sie schafft Klarheit für alle Mitarbeiter.
05
Verzeichnis der Verarbeitungstätigkeiten aktualisieren
Jeder KI-Einsatz mit Personenbezug gehört ins Verzeichnis der Verarbeitungstätigkeiten nach DSGVO Art. 30. Das ist kein Riesenprojekt, aber ein Pflichtfeld für Unternehmen mit mehr als 250 Mitarbeitern — und empfohlen für alle anderen.

Was EU AI Act und DSGVO gemeinsam bedeuten

Seit August 2024 ist der EU AI Act in Kraft. Die Anforderungen greifen stufenweise: Verbotene KI-Praktiken sind seit Februar 2025 untersagt, Anforderungen für Hochrisiko-KI-Systeme gelten ab August 2026. Für die meisten Marketing- und Vertriebsanwendungen im Mittelstand gilt: Diese Tools fallen in die Kategorie "geringes Risiko" und unterliegen keinen besonderen Zulassungspflichten.

Was jedoch gilt: Wer KI-generierte Inhalte mit Kundenkommunikation verbindet, also etwa automatisierte E-Mails oder KI-gestützte Chatbots, muss das kenntlich machen. Transparenzpflicht ist nicht optional, sondern Bestandteil des EU AI Acts auch für niedrigriskante Systeme.

Die gute Nachricht: Wer die DSGVO-Hausaufgaben erledigt hat, hat 70 Prozent der AI-Act-Anforderungen für typische B2B-Anwendungen bereits abgedeckt. Datenschutz und KI-Governance sind keine parallelen Baustellen, sondern dasselbe Thema aus zwei Blickwinkeln.

Was ich in meiner Arbeit mit dem vollständigen Compliance-Artikel zu DSGVO, EU AI Act, SOC 2 und ISO 27001 ausführlicher beschreibe: Compliance ist langfristig ein Vertriebsvorteil, kein Bremsklotz. Kunden, insbesondere im Enterprise-Bereich, fragen heute systematisch nach Datenschutz. Wer vorbereitet ist, gewinnt.

Die wichtigsten Maßnahmen auf einen Blick
  • Für jeden KI-Anbieter mit Personenbezug: Enterprise-Tarif und AVV abschließen
  • Kostenlose Versionen nur für Daten ohne Personenbezug nutzen
  • Interne Richtlinie: Welche Daten dürfen in welches Tool
  • KI-generierte Kundenkommunikation als solche kennzeichnen (EU AI Act)
  • Verzeichnis der Verarbeitungstätigkeiten um KI-Einsätze erweitern

Die häufigste Fehleinschätzung in der Praxis

Was ich in Gesprächen mit Geschäftsführern und Vertriebsleitern immer wieder beobachte: Die meisten überschätzen den Aufwand für DSGVO-konformen KI-Einsatz und unterschätzen gleichzeitig das Risiko des unregulierten Status quo.

Ein Team, das ChatGPT kostenlos für Kundenkommunikation nutzt, ist nicht böswillig. Es hat schlicht keine klare Richtlinie. Die Lösung ist nicht ein Verbot, sondern ein Rahmen: welches Tool, welcher Tarif, welche Daten. Das ist in einem halben Tag erarbeitet.

In über 20 Jahren Arbeit in Marketing, Vertrieb und Revenue-Steuerung, bei EY, etventure und Ogilvy, habe ich gelernt: Unsicherheit entsteht fast nie weil etwas wirklich kompliziert ist, sondern weil die Fragen nicht gestellt wurden. Bei KI und DSGVO gilt das genauso. Die Fragen sind einfacher als gedacht. Man muss sie nur stellen.

Wer einen strukturierten Überblick über seinen KI-Readiness-Status inklusive Datenschutz möchte, findet in meiner Checkliste einen guten Ausgangspunkt.

"Ein halber Tag strukturierte Arbeit trennt DSGVO-konformen KI-Einsatz vom unregulierten Status quo."
Häufige Fragen

Was Entscheider am häufigsten fragen

Ist ChatGPT DSGVO-konform nutzbar?
Kurz gesagt: Ja, aber nicht in der kostenlosen Version und nicht ohne Auftragsverarbeitungsvertrag. ChatGPT Enterprise und die OpenAI API bieten einen AVV und verzichten auf die Nutzung eurer Eingabedaten für das Modelltraining. Wer mit personenbezogenen Daten arbeitet, also Kundennamen, Kontaktdaten oder Gesprächsnotizen, braucht zwingend den Enterprise-Tarif. Die kostenlose Version ist für interne Texte ohne Personenbezug in Ordnung, für Kundendaten nicht.
Was ist ein Auftragsverarbeitungsvertrag und brauchen wir einen?
Kurz gesagt: Ja, sobald personenbezogene Daten in einen KI-Dienst fließen. Ein Auftragsverarbeitungsvertrag (AVV) regelt nach DSGVO Artikel 28, wie ein externer Dienstleister eure Daten verarbeiten darf. Alle großen KI-Anbieter bieten ihn für Business- und Enterprise-Tarife an. Ohne AVV fehlt die rechtliche Grundlage für die Verarbeitung personenbezogener Daten durch einen Drittanbieter.
Welcher KI-Anbieter ist am besten für den Datenschutz im Mittelstand geeignet?
Kurz gesagt: OpenAI Enterprise, Claude für Teams oder API und Gemini for Workspace sind alle DSGVO-fähig — der Unterschied liegt im Tarif, nicht im Anbieter. Entscheidend ist, welches Tool bereits im Einsatz ist und welcher Tarif abonniert wird. Wer bereits Google Workspace nutzt, ist mit Gemini am schnellsten aufgestellt. Wer mit OpenAI oder Anthropic arbeiten will, schließt einen AVV ab und nutzt den Business- oder Enterprise-Tarif.
Dürfen wir Kundendaten als Kontext in KI-Tools eingeben?
Kurz gesagt: Mit dem richtigen Tarif und einem AVV: ja. Ohne diese Grundlage: nein. Personenbezogene Daten wie Namen, E-Mail-Adressen, Gesprächsnotizen oder Angebotsinhalte mit Kundenbezug dürfen nur dann in KI-Tools eingegeben werden, wenn ein Enterprise-Tarif mit AVV beim Anbieter vorliegt. Eine interne Richtlinie, die genau das regelt, schützt euer Unternehmen und schafft Klarheit für alle Mitarbeiter.
Was gilt beim EU AI Act für KI im Mittelstand?
Kurz gesagt: Für die meisten Vertriebs- und Marketing-Tools gilt geringes Risiko, aber Transparenzpflicht. Der EU AI Act klassifiziert KI-Systeme nach Risikoklassen. Standardanwendungen wie KI-gestützte E-Mails, Lead-Scoring oder Zusammenfassungen fallen meist unter "geringes Risiko". Was für alle gilt: KI-generierte Kommunikation mit Kunden muss als solche erkennbar sein. Wer das ignoriert, riskiert Abmahnungen, nicht nur Bußgelder.
Wie erstellen wir eine interne KI-Nutzungsrichtlinie?
Kurz gesagt: Eine Seite reicht für den Anfang. Die Richtlinie sollte drei Dinge regeln: welche Tools im Unternehmen freigegeben sind, welche Datentypen in diese Tools eingegeben werden dürfen, und was mit KI-generierten Outputs passiert, zum Beispiel ob sie vor Versand geprüft werden müssen. Diese Richtlinie schützt euer Unternehmen rechtlich, reduziert Unsicherheit bei Mitarbeitern und macht euch gegenüber Enterprise-Kunden auskunftsfähig.