Wenn ich mit Unternehmen über KI spreche, kommt früher oder später immer derselbe Satz: "Wir müssen das erst mit dem Datenschutzbeauftragten klären." Meistens ist das eine gute Reaktion. Manchmal ist es eine Ausrede, um nicht anfangen zu müssen. Und manchmal bedeutet es, dass jemand wirklich keine Ahnung hat, was konkret zu klären wäre.
Dieser Text ist für alle drei Gruppen. Was Sie über Datenschutz und KI wissen müssen, bevor Sie beginnen, nicht als Jurist, sondern als jemand, der regelmäßig KI-Projekte in deutschen Mittelstandsunternehmen begleitet.
Der EU AI Act ist seit August 2024 in Kraft und wird bis 2026 schrittweise anwendbar. Er klassifiziert KI-Systeme nach Risikostufen: von verboten über hochriskant bis hin zu minimalen Risiken. Die gute Nachricht für die meisten Mittelständler: Die internen Automatisierungstools, um die es in den meisten Projekten geht, fallen in die Kategorie mit minimalem oder keinem Regulierungsbedarf.
Hochriskant im Sinne des AI Acts sind Systeme, die in Bereichen wie Personalentscheidungen, Kreditwürdigkeit, kritischer Infrastruktur oder Strafverfolgung eingesetzt werden. Wer ein Tool baut, das Urlaubsanträge verwaltet oder Wartungsprotokolle digitalisiert, bewegt sich weit unterhalb dieser Schwelle.
Das bedeutet: Für die überwiegende Mehrheit der KI-Projekte im Mittelstand gibt der EU AI Act keine neuen Pflichten vor, die über die ohnehin geltende DSGVO hinausgehen.
Die DSGVO gilt für alles, was personenbezogene Daten verarbeitet. Das ist der eigentliche Rahmen, in dem Sie sich bewegen. Drei Fragen sind hier zentral.
Erstens: Verarbeitet Ihr KI-System personenbezogene Daten? Das können Kundendaten, Mitarbeiterdaten oder auch weniger offensichtliche Daten sein, etwa IP-Adressen oder Verhaltensprofile. Wenn ja, brauchen Sie eine Rechtsgrundlage für diese Verarbeitung (Einwilligung, berechtigtes Interesse oder Vertragserfüllung) und müssen die Verarbeitung dokumentieren.
Zweitens: Wo werden die Daten verarbeitet? Wenn Sie ein KI-Tool eines US-amerikanischen Anbieters nutzen und Kundendaten in dieses System eingeben, verlassen diese Daten möglicherweise den EU-Rechtsraum. Das ist nicht automatisch verboten, braucht aber eine Grundlage, typischerweise Standardvertragsklauseln oder ein Data Processing Agreement mit dem Anbieter.
Drittens: Gibt es eine automatisierte Einzelentscheidung? Wenn ein KI-System eine Entscheidung trifft, die eine Person erheblich betrifft, etwa die Ablehnung eines Kreditantrags oder eine Kündigung, greifen besondere DSGVO-Regeln (Artikel 22). Für interne Prozessautomatisierungen ist das in aller Regel nicht relevant.
Für den Einstieg in KI-Projekte empfehle ich einen pragmatischen Dreischritt. Erstens: Für den Pilot nur Testdaten verwenden, keine echten Personal- oder Kundendaten. Das eliminiert den Großteil der datenschutzrechtlichen Fragen sofort und ermöglicht schnelles Ausprobieren ohne juristisches Risiko.
Zweitens: Den Datenschutzbeauftragten früh informieren, nicht um Erlaubnis zu fragen, sondern um ihn einzubinden. Wer seinen DSB als Blockierer erlebt, hat meist versäumt, ihn rechtzeitig zum Sparringspartner zu machen. Ein guter DSB will Lösungen finden, keine Projekte verhindern.
Drittens: Bei der Auswahl von KI-Tools auf EU-Hosting oder zumindest auf DSGVO-konforme Anbieter mit belastbaren Data Processing Agreements achten. In Europa gibt es inzwischen für nahezu jeden Anwendungsfall Anbieter, die diese Anforderungen erfüllen. Das ist keine technische Einschränkung mehr, sondern eine Auswahlentscheidung.
Die meisten Datenschutzprobleme in KI-Projekten entstehen nicht, weil jemand böswillig gehandelt hat. Sie entstehen, weil jemand nach dem Go-live gefragt hat statt davor. Dann sind Systeme im Betrieb, Daten werden bereits verarbeitet, und das Nacharbeiten ist aufwendig.
Wenn Sie Ihren Datenschutzbeauftragten zu dem Zeitpunkt einbinden, zu dem Sie den Prozess auswählen, nicht zu dem Zeitpunkt, zu dem Sie das Tool bereits gekauft haben, lösen sich die meisten Fragen ohne großen Aufwand. Das ist kein bürokratischer Rat. Es ist einfach effizienter.
Im Einkauf steckt mehr Automatisierungspotenzial als in den meisten anderen Abteilungen, und kaum jemand redet darüber. Was KI hier konkret leisten kann und wo der Einstieg sinnvoll ist.
Nicht jede KI-Initiative braucht ein Projekt, ein Budget und einen Lenkungsausschuss. Es gibt Lösungen, die Sie in einem Nachmittag umsetzen können, und die sofort einen Unterschied machen.
Die Versprechen der KI-Anbieter sind groß. Was bleibt davon nach sechs Monaten realer Nutzung übrig? Ein nüchterner Blick auf Zahlen, Erwartungen und was tatsächlich funktioniert.