DSGVO-konforme KI: Was Geschäftsführer 2026 wissen müssen

Hinweis: Dieser Artikel ist eine Praxis-Einordnung, keine Rechtsberatung. Für konkrete Fälle sollten Sie Ihren Datenschutzbeauftragten oder Anwalt einbeziehen.

"Wir machen DSGVO-konforme KI" – diesen Satz hört man heute von fast jedem KI-Anbieter. Was aber heißt das eigentlich? Und welche konkreten Anforderungen erfüllen Sie als Geschäftsführer eigentlich, wenn Sie einen Anbieter beauftragen? Eine kurze Einordnung – ohne juristisches Buzzword-Bingo.

Die drei Bezugsrahmen

DSGVO

Bezieht sich auf personenbezogene Daten. Relevant, sobald irgendwelche Daten von Mitarbeitenden, Kundinnen oder Patienten verarbeitet werden – also fast immer. Wichtig: Auftragsverarbeitungsvertrag (AVV), Rechtsgrundlage, technische und organisatorische Maßnahmen (TOMs), Auskunftsrechte.

EU AI Act

Seit 2024 in Kraft, gestaffelt anwendbar. Klassifiziert KI-Systeme nach Risiko (verboten, hochriskant, begrenzt, minimal). Für die meisten Mittelstands-Use-Cases ist die Risiko-Stufe "begrenzt" oder "minimal" relevant – mit klaren Transparenz- und Dokumentationspflichten.

Branchenspezifisches

Im Gesundheitswesen die KHZG-Anforderungen, im Finanzbereich BaFin und MaRisk, im Bildungsbereich KMK-Empfehlungen. Diese kommen oft zusätzlich zu DSGVO und AI Act.

Sieben praktische Stellschrauben

1. Standort der Verarbeitung. EU oder Deutschland sind unkritisch. USA mit Standardvertragsklauseln ist heikel und für sensible Bereiche oft nicht haltbar.
2. Auftragsverarbeitungsvertrag. Nicht "haben wir doch" – sondern aktuell, vollständig, mit Sub-Auftragsverarbeitern.
3. Trainingsdaten. Wurden Ihre Daten zum Training fremder Modelle verwendet? Bei OpenAI Enterprise: nein. Bei kostenlosem ChatGPT: ja. Wichtig zu wissen.
4. Pseudonymisierung. Vor der Verarbeitung Personenbezug entfernen, wo möglich. Halbiert oft das Risiko.
5. Mensch-in-der-Schleife. Bei Entscheidungen mit Auswirkung auf Personen Pflicht.
6. Transparenz gegenüber Betroffenen. Datenschutzhinweise müssen KI-Verarbeitung erklären, nicht nur erwähnen.
7. Audit-Trail. Was hat die KI wann auf welcher Basis entschieden – das müssen Sie nachvollziehen können.

Was Sie konkret von einem KI-Anbieter verlangen sollten

• Aktuelle AVV-Vorlage
• Liste der Sub-Auftragsverarbeiter
• TOM-Dokumentation
• Hosting-Standort als Vertragsbestandteil
• Klausel "keine Nutzung Ihrer Daten zum Training"
• Auf Anfrage: Risiko-Klassifizierung nach AI Act

"Wenn ein Anbieter Ihnen sagt, das brauche er nicht zu liefern – ist er der falsche Anbieter."

Sind Foundation Models wie GPT-4o überhaupt DSGVO-konform nutzbar?

Ja, mit klaren Bedingungen. OpenAI Enterprise und Azure OpenAI bieten EU-Hosting, AVV, keine Trainingsnutzung. Das ist für viele Use Cases ausreichend. Für besonders sensible Daten – Pflege, Medizin, Schüler – setzen wir trotzdem oft auf lokal gehostete Open-Source-Modelle wie Llama 3 oder Mistral. Datensparsam ist immer besser als datendurchsetzt.

Fazit

DSGVO-konforme KI ist 2026 keine Magie. Es ist Sorgfalt: Auftragsverarbeitung, Hosting-Standort, Pseudonymisierung, Audit-Trail. Wenn ein Anbieter diese vier Punkte sauber adressiert, sind Sie auf der sicheren Seite – egal wie groß oder klein das KI-System ist.

Verwandte Artikel

• KI-Automatisierung Mittelstand 2026
• ChatGPT vs. Custom AI
• KI im Gesundheitswesen