KI DSGVO-konform im Unternehmen einsetzen: Der komplette Leitfaden
KI im Unternehmen einführen und DSGVO-konform bleiben: Self-Hosted vs. EU-Cloud, rechtliche Pflichten, technische Maßnahmen und praktische Checkliste.
Künstliche Intelligenz verspricht enorme Produktivitätsgewinne — aber viele Unternehmen zögern beim Einsatz. Der häufigste Grund: Unsicherheit beim Datenschutz. Dürfen Mitarbeiter Kundendaten in ein KI-System eingeben? Was passiert mit den Daten? Und was sagt die DSGVO dazu?
Die gute Nachricht: KI lässt sich vollständig DSGVO-konform einsetzen. Sie müssen nur wissen, welchen Weg Sie wählen und welche Maßnahmen nötig sind. Dieser Leitfaden zeigt Ihnen alle Optionen.
Warum ist DSGVO bei KI so wichtig?
Wenn Mitarbeiter Kundennamen, E-Mail-Adressen oder Vertragsdaten in ein KI-Tool eingeben, ist das eine Verarbeitung personenbezogener Daten im Sinne der DSGVO. Das bedeutet:
- Rechtsgrundlage nötig: Sie brauchen eine Rechtsgrundlage nach Art. 6 DSGVO (in der Regel berechtigtes Interesse oder Einwilligung)
- Informationspflicht: Betroffene müssen wissen, dass ihre Daten durch KI verarbeitet werden (Art. 13/14 DSGVO)
- Auftragsverarbeitung: Nutzen Sie einen externen KI-Dienst, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV)
- Drittland-Transfer: Werden Daten in die USA geschickt, gelten zusätzliche Anforderungen
Häufiger Fehler: Mitarbeiter nutzen ChatGPT mit der kostenlosen Version oder einem privaten Account. Dabei werden die eingegebenen Daten zum Training des Modells verwendet — ein klarer DSGVO-Verstoß, wenn personenbezogene Daten betroffen sind.
Die drei Wege: So bringen Sie KI ins Unternehmen
Es gibt nicht den einen richtigen Weg. Je nach Datensensibilität, Budget und Anforderungen bieten sich drei Modelle an:
Weg A: Self-Hosted (eigene Hardware)
Sie betreiben das KI-Modell auf Ihrer eigenen Infrastruktur — sei es ein lokaler Server, ein NAS oder ein gemieteter Dedicated Server in Deutschland.
Technisch: Open-Source-Modelle wie Llama 3.1 oder Mistral laufen über Ollama als Inference-Server. Als Benutzeroberfläche dient Open WebUI, das sich wie ChatGPT bedienen lässt.
DSGVO-Vorteil: Die Daten verlassen nie Ihr Netzwerk. Kein Drittland-Transfer, kein Auftragsverarbeiter, minimaler Dokumentationsaufwand.
Geeignet für: Unternehmen mit sensiblen Daten (Personalakten, Finanzen, Patientendaten), Branchen mit strengen Compliance-Anforderungen.
Weg B: Managed Hosting (Dienstleister betreibt für Sie)
Ein IT-Dienstleister wie webAION betreibt die KI-Infrastruktur für Sie auf deutschen Servern. Sie nutzen das System über den Browser.
Technisch: Gleicher Stack wie Self-Hosted, aber der Dienstleister kümmert sich um Betrieb, Updates und Monitoring.
DSGVO-Vorteil: Daten bleiben in Deutschland. Sie schließen einen AVV mit dem Dienstleister ab — das ist der DSGVO-konforme Standardweg für ausgelagerte Datenverarbeitung.
Geeignet für: Unternehmen ohne eigene IT-Abteilung, die dennoch datenschutzkonform arbeiten wollen.
Weg C: EU-Cloud mit AVV
Sie nutzen die KI-Dienste großer Cloud-Anbieter, die Rechenzentren in der EU betreiben: Azure OpenAI (Region: West Europe), AWS Bedrock (Region: Frankfurt) oder Google Cloud Vertex AI.
DSGVO-Vorteil: Die Anbieter sind unter dem EU-US Data Privacy Framework zertifiziert, bieten Standard-AVVs an und nutzen Kundendaten nicht zum Modell-Training (vertraglich fixiert).
Geeignet für: Unternehmen, die die leistungsstärksten Modelle (GPT-4o, Claude) brauchen und über das Budget verfügen.
Vergleich auf einen Blick
| Kriterium | Self-Hosted | Managed Hosting | EU-Cloud |
|---|---|---|---|
| DSGVO-konform? | Ja | Ja, mit AVV | Ja, mit AVV + DPF |
| Verfügbare Modelle | Open Source | Open Source | Alle (GPT-4o, Claude etc.) |
| Modellqualität | Gut bis sehr gut | Gut bis sehr gut | Beste verfügbare |
| Drittland-Transfer | Nein | Nein | Nein (EU-Region) |
| IT-Aufwand intern | Hoch | Gering | Gering |
| Laufende Kosten | Hardware + Strom | Monatliches Abo | Pay-per-Token |
Technische Maßnahmen für DSGVO-Konformität
Unabhängig vom gewählten Weg sollten Sie diese Maßnahmen umsetzen:
Pseudonymisierung vor der Eingabe
Bevor personenbezogene Daten an ein KI-Modell übergeben werden, sollten Sie sie pseudonymisieren. Das bedeutet: Namen, E-Mail-Adressen und andere identifizierende Merkmale durch Platzhalter ersetzen.
Beispiel: Statt “Schreibe eine Antwort an Max Mustermann, max@firma.de, bezüglich seiner Reklamation vom 15.03.” besser: “Schreibe eine Antwort an [Kunde], bezüglich seiner Reklamation vom 15.03.”
Zugriffskontrolle
- Benutzerkonten pro Mitarbeiter (keine geteilten Zugänge)
- Rollenbasierte Zugriffskontrolle (nicht jeder braucht Zugang zu allem)
- Audit-Logs: Wer hat wann welche Anfrage gestellt?
Verschlüsselung
- In Transit: TLS-Verschlüsselung für alle Verbindungen zum KI-System
- At Rest: Gespeicherte Daten (Prompt-Logs, hochgeladene Dokumente) verschlüsselt ablegen
Löschkonzept
Legen Sie fest, wie lange Prompt-Historien gespeichert werden. Eine Empfehlung: 30 Tage Aufbewahrung, danach automatische Löschung. Bei besonders sensiblen Daten: keine Speicherung der Prompts.
Datensparsamkeit
Geben Sie nur die Daten ein, die für die Aufgabe tatsächlich nötig sind. Keine ganzen Kundendatenbanken in den Chat kippen — auch nicht bei Self-Hosted-Lösungen.
Rechtliche Pflichten im Überblick
Datenschutz-Folgenabschätzung (DSFA)
Nach Art. 35 DSGVO ist eine DSFA Pflicht, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen birgt. Bei KI-Systemen, die personenbezogene Daten verarbeiten, ist das in der Regel der Fall.
Ausnahme: Wenn Sie KI ausschließlich für interne Texterstellung nutzen (Marketingtexte, Zusammenfassungen) und keine personenbezogenen Daten eingeben, können Sie auf die DSFA verzichten.
Verarbeitungsverzeichnis (Art. 30 DSGVO)
Ergänzen Sie Ihr Verarbeitungsverzeichnis um die KI-Verarbeitung. Dokumentieren Sie:
- Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- Empfänger (bei Cloud-Nutzung: der Anbieter)
- Löschfristen
- Technische und organisatorische Maßnahmen
Auftragsverarbeitungsvertrag (AVV)
Bei Weg B und C ist ein AVV Pflicht. Der AVV regelt, wie der Auftragsverarbeiter mit Ihren Daten umgehen darf. Microsoft, AWS und Google bieten Standard-AVVs an, die Sie online akzeptieren können.
Bei einem Managed-Hosting-Dienstleister erhalten Sie den AVV als Teil des Servicevertrags.
Informationspflicht
Informieren Sie Mitarbeiter und ggf. Kunden darüber, dass KI eingesetzt wird:
- Mitarbeiter: Interner Leitfaden mit klaren Regeln (was darf eingegeben werden, was nicht)
- Kunden: Ergänzung der Datenschutzerklärung, wenn Kundendaten durch KI verarbeitet werden
- Automatisierte Entscheidungen: Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer rein automatisierten Entscheidung unterworfen zu werden. Wenn KI Entscheidungen trifft, die Menschen betreffen, muss immer ein Mensch die finale Entscheidung treffen.
EU AI Act Risikoklasse
Seit August 2025 müssen Unternehmen den EU AI Act beachten. Die gute Nachricht: Die meisten typischen Business-Anwendungen (Texterstellung, Zusammenfassungen, E-Mail-Assistenten) fallen unter die Kategorie “minimales Risiko” und erfordern keine besonderen Maßnahmen.
Achtung bei: KI-gestützter Personalauswahl, Kreditwürdigkeitsprüfung oder biometrischer Erkennung — diese fallen unter “hohes Risiko” und erfordern umfangreiche Dokumentation und Prüfung.
Mehr dazu in unserem Artikel: EU AI Act für KMU — was jetzt zu tun ist.
Das EU-US Data Privacy Framework
Viele Unternehmen fragen sich: “Darf ich Azure OpenAI oder AWS Bedrock nutzen, wenn Microsoft und Amazon US-Unternehmen sind?”
Ja, unter bestimmten Voraussetzungen:
Das EU-US Data Privacy Framework (DPF) regelt seit Juli 2023 den Datentransfer zwischen EU und USA. Microsoft, Amazon und Google sind DPF-zertifiziert. In Kombination mit EU-Datenresidenz (Rechenzentrum in den Niederlanden oder Frankfurt) und einem AVV ist die Nutzung DSGVO-konform.
Das Restrisiko: Der Europäische Gerichtshof hat mit “Schrems I” und “Schrems II” bereits zwei Vorgänger-Abkommen gekippt. Ein “Schrems III” könnte auch das DPF für ungültig erklären. Stand April 2026 ist das DPF jedoch gültig und anerkannt.
Absicherung: Setzen Sie auf einen Hybrid-Ansatz. Unkritische Aufgaben über EU-Cloud, sensible Daten über Self-Hosted. So sind Sie auch bei einem möglichen Wegfall des DPF abgesichert.
Unsere Empfehlung: Der Hybrid-Ansatz
Die stärkste Strategie kombiniert beide Welten:
- Für den Alltag (Texte schreiben, Zusammenfassungen, Brainstorming): EU-Cloud mit den besten verfügbaren Modellen
- Für sensible Daten (Personalakten, Finanzdaten, Patientendaten): Self-Hosted mit Open-Source-Modellen über Ollama
So nutzen Sie die beste verfügbare KI-Qualität, ohne bei sensiblen Daten Kompromisse beim Datenschutz einzugehen.
Checkliste: KI DSGVO-konform einführen
Bevor Sie KI im Unternehmen ausrollen, gehen Sie diese Punkte durch:
- Einsatzzweck definieren: Welche Aufgaben soll die KI übernehmen? Sind personenbezogene Daten betroffen?
- Deployment-Modell wählen: Self-Hosted, Managed oder EU-Cloud — je nach Datensensibilität und Budget
- AVV abschließen: Bei externen Anbietern oder Dienstleistern (Pflicht nach Art. 28 DSGVO)
- DSFA durchführen: Wenn personenbezogene Daten verarbeitet werden (Art. 35 DSGVO)
- Verarbeitungsverzeichnis ergänzen: KI-Verarbeitung dokumentieren (Art. 30 DSGVO)
- Technische Maßnahmen umsetzen: Zugriffskontrolle, Verschlüsselung, Löschkonzept
- Mitarbeiter schulen: Was darf eingegeben werden, was nicht. Klare Richtlinien erstellen
- Datenschutzerklärung aktualisieren: Wenn Kundendaten betroffen sind
- AI Act Risikoklasse prüfen: In den meisten Fällen “minimales Risiko”
- Regelmäßig überprüfen: Mindestens jährlich prüfen, ob alles noch aktuell ist
Häufige Fragen
Dürfen meine Mitarbeiter ChatGPT nutzen?
Ja, aber nur mit einem Business-Account (ChatGPT Team oder Enterprise), bei dem die Daten nicht zum Training verwendet werden. Private Accounts oder die kostenlose Version sind für Unternehmensdaten tabu. Besser: Eine Self-Hosted-Alternative einrichten, die genauso einfach zu bedienen ist.
Brauche ich für jedes KI-Tool einen AVV?
Ja, für jeden externen Dienst, der personenbezogene Daten verarbeitet. Bei Self-Hosted-Lösungen entfällt der AVV, da kein Auftragsverarbeiter beteiligt ist.
Ist Self-Hosted KI wirklich so gut wie ChatGPT?
Open-Source-Modelle wie Llama 3.1 und Mistral sind für die meisten Geschäftsanwendungen ausreichend gut. Für komplexe Analysen oder mehrsprachige Aufgaben haben Cloud-Modelle wie GPT-4o oder Claude noch Vorteile — daher empfehlen wir den Hybrid-Ansatz.
Was kostet die Einführung?
Das hängt vom gewählten Weg ab. Ein KI-Audit als Einstieg hilft, den richtigen Weg und das Budget für Ihr Unternehmen zu bestimmen. Sprechen Sie uns an für eine unverbindliche Ersteinschätzung.
Was passiert, wenn ein Mitarbeiter versehentlich sensible Daten eingibt?
Bei Self-Hosted-Lösungen bleiben die Daten intern — das Risiko ist begrenzt. Bei Cloud-Lösungen greifen die vertraglichen Vereinbarungen des AVV. Wichtig ist: Schulen Sie Ihre Mitarbeiter vorab und definieren Sie klare Regeln, welche Daten eingegeben werden dürfen.
Nächster Schritt: KI-Audit für Ihr Unternehmen
Sie wollen wissen, welcher Weg für Ihr Unternehmen der richtige ist? Unser KI-Audit analysiert Ihre Prozesse, prüft die DSGVO-Anforderungen und liefert Ihnen einen konkreten Umsetzungsplan — inklusive Checkliste und Empfehlung.
KI im eigenen Unternehmen einsetzen?
Multi-Provider-KI mit Claude, Gemini, ChatGPT und n8n — DSGVO-konform und pragmatisch. Im kostenlosen 15-Minuten-Erstgespräch klären wir, was sich für dich rechnet.
Das könnte Sie auch interessieren
EU AI Act 2026: Was KMU jetzt tun müssen — Risiko-Klassifizierung + Pflichten-Check
EU AI Act tritt 2026 stufenweise in Kraft. Was bedeutet das konkret für KMU? Risiko-Klassen, Pflichten, Bußgelder, Compliance-Checkliste.
Ollama selbst hosten 2026: Kosten, Hardware & DSGVO
Ollama selbst hosten statt Cloud-KI: Server-Hardware, Kosten und DSGVO im Klartext — mit Modellvergleich und Einrichtung. Die ChatGPT-Alternative für Unternehmen.
ChatGPT vs. Claude vs. Gemini: Welches KI-Modell für welche Aufgabe?
ChatGPT, Claude oder Gemini? Ein Decision-Tree mit acht typischen KMU-Aufgaben, dazu eine DSGVO-Uebersicht, welche Modelle für sensible Daten geeignet sind.