Wer als Geschäftsführer eines kleinen Unternehmens 2026 ChatGPT öffnet und schnell ein Kundenanschreiben formulieren lässt, denkt zuerst an eingesparte Zeit. Erst beim zweiten Gedanken kommt die Frage: Darf ich das überhaupt? Was ist mit den Daten meines Kunden? Und wo liegen die Server eigentlich?
Das Spannungsfeld zwischen DSGVO und KI ist real – aber es ist auch beherrschbar. Sie müssen kein Anwalt werden, um KI rechtssicher in Ihrem Betrieb einzusetzen. Sie brauchen nur ein paar klare Regeln und einen Workflow, der Sie nicht jedes Mal aufs Neue ins Schwitzen bringt.
Was sich 2026 geändert hat
Seit Februar 2026 sind die ersten Pflichten des EU AI Act in Kraft – die europäische Verordnung, die KI-Systeme nach Risikoklassen reguliert. Für die meisten KMU sind die Auswirkungen überschaubar, aber sie bestehen. Hinzu kommt die DSGVO, die seit 2018 ohnehin bei jeder Datenverarbeitung mitgedacht werden muss.
Das wichtigste Update für KMU: KI-Anbieter müssen seit dem AI Act offenlegen, womit sie ihre Modelle trainieren. Und sie müssen klare Auftragsverarbeitungsverträge anbieten. Das ist gut für Sie – denn Anbieter, die das nicht tun, sollten Sie ohnehin meiden. Ein Überblick zur aktuellen Lage findet sich auf den offiziellen EU-Informationsseiten zum AI Act.
Die zwei Fragen, die alles entscheiden
Bevor Sie ein KI-Tool für Geschäftliches einsetzen, müssen Sie genau zwei Fragen beantworten – und beide sind ohne Jurastudium machbar.
Frage 1: Welche Daten gebe ich rein?
Hier liegt der Hauptunterschied zwischen Privatnutzung und Geschäftseinsatz. Wenn Sie ChatGPT bitten, ein Gedicht für eine Geburtstagskarte zu schreiben, ist das harmlos. Wenn Sie aber eine Kundenanfrage einkopieren, in der Adresse, Telefonnummer und Bauvorhaben stehen – dann übermitteln Sie personenbezogene Daten an einen Dienstleister.
Die Faustregel: Daten, die Sie in einer Mail an einen externen Dienstleister anonymisieren würden, sind auch in einer KI-Anfrage anonymisiert zu halten. Wenn Sie Texte zur Überarbeitung schicken, ersetzen Sie Namen durch „Kunde X“, Adressen durch „Musterstraße“. Die KI versteht den Inhalt trotzdem – nur ohne Identifizierungsmerkmale.
Frage 2: Welches Tool nutze ich?
Nicht jeder KI-Dienst ist für KMU geeignet. Drei Faktoren machen den Unterschied:
Datensitz und Auftragsverarbeitung. Bietet der Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO an? OpenAI tut das in der Business-Version (ChatGPT Team und Enterprise), die kostenlose Privatversion nicht. Das ist der wichtigste Unterschied.
Trainingsfreiheit. Werden Ihre Eingaben zum weiteren Training des Modells verwendet? In den Business-Versionen typischerweise nein – ein entscheidender Unterschied zu den Gratis-Varianten.
Servereinstellungen. Können Sie wählen, wo Daten verarbeitet werden? Microsoft Azure OpenAI bietet beispielsweise EU-Regionen an. Für sensible Branchen ist das ein Pluspunkt.
Die DSGVO-Ampel: Wann ist KI unkritisch, wann heikel?
Statt sich durch Paragrafen zu wühlen, hilft eine simple Einteilung. Die meisten KI-Anwendungen in einem KMU-Alltag fallen in eine von drei Kategorien.
Grün: Unkritisch in jeder Variante
Hierzu zählt alles, wo keine personenbezogenen Daten ins Spiel kommen: Brainstorming für Marketing-Ideen, Übersetzung allgemeiner Texte, Erstellung von Vorlagen, Zusammenfassen von Wikipedia-Artikeln, Erklärung von Fachbegriffen. Auch die 5-Minuten-Regel zur KI-Nutzung spielt sich überwiegend in dieser Zone ab.
Hier können Sie auch die Gratis-Varianten der großen Tools nutzen, ohne ein schlechtes Gefühl haben zu müssen.
Gelb: Mit Vorsicht und Anonymisierung
Texte mit indirektem Personenbezug. Beispiel: Sie haben eine Kundenanfrage zu einer Heizungsstörung und wollen KI bitten, eine professionelle Antwort zu formulieren. Lösung: Sie kopieren die Anfrage in die KI ein – aber ohne Namen, Adresse und Kontaktdaten. Das Ergebnis ist genauso gut wie mit Personalia, datenschutzrechtlich aber unbedenklich.
In dieser Zone arbeitet der Großteil der KMU. Wer sich angewöhnt, vor jedem Copy-Paste in die KI kurz nach Personalia zu suchen, hat 90 Prozent der DSGVO-Risiken eliminiert.
Rot: Nur mit Business-Lösung und AVV
Verarbeitung echter Kundendaten in größerem Umfang: ein Kunden-CRM auswerten, Bewerbungsunterlagen analysieren, Patientenakten zusammenfassen. Hier kommen Sie um eine Business-Lösung nicht herum. ChatGPT Team, Microsoft Copilot for Business oder Claude Enterprise bieten solche Verträge.
Der Unterschied im Preis ist überschaubar – meist 20–30 Euro pro Nutzer und Monat. Der Unterschied im Schutz ist erheblich.
Drei Stolperfallen, die KMU regelmäßig übersehen
Aus der Beratungspraxis kommen drei Themen, die immer wieder unterschätzt werden – und nicht nur DSGVO-relevant sind, sondern auch praktische Konsequenzen haben.
Browser-Plugins und Extensions. KI-Plugins für Outlook, Gmail oder den Browser sind bequem – senden aber oft komplette E-Mail-Inhalte an externe Server. Prüfen Sie vor jeder Installation, welche Berechtigungen das Tool verlangt. Eine Erweiterung, die Zugriff auf „alle Daten auf besuchten Websites“ will, ist im Geschäftskontext kritisch.
Sprachsteuerung und Diktierfunktionen. Wer per Spracheingabe lange Memos diktiert, schickt im Zweifel Audio-Daten in die Cloud. Bei den großen Anbietern ist das DSGVO-konform geregelt – bei kleineren oft nicht. Bei einer Geschäftsanrufaufzeichnung sind zudem Einwilligungen der Gesprächspartner zu beachten.
KI-generierte Bilder mit echten Menschen. Wenn KI-Tools Bilder von realen Personen generieren oder bearbeiten – etwa für die Website oder einen Newsletter –, gelten Persönlichkeitsrechte und Datenschutz gleichermaßen. Stockfotos oder explizit für KI-Nutzung erstellte Bilder sind hier die sichere Wahl.
Was Sie schriftlich brauchen
Drei Dokumente sollten in Ihrem Betrieb existieren, sobald KI regelmäßig im Einsatz ist:
1. Eine kurze KI-Richtlinie für Mitarbeiter. Maximal eine Seite, in der steht: Welche Tools sind erlaubt, welche nicht. Was darf reinkopiert werden, was nicht. An wen wendet man sich bei Unsicherheit. Diese eine Seite verhindert mehr Datenschutzprobleme als jede Schulung.
2. Auftragsverarbeitungsverträge mit Ihren KI-Anbietern. Für jedes Tool, das mit Kundendaten in Berührung kommt. Bei den großen Anbietern stehen die Verträge online zum Download bereit – ein paar Klicks, fertig.
3. Ein Eintrag im Verzeichnis Ihrer Verarbeitungstätigkeiten. Falls Sie eines führen müssen (ab 250 Mitarbeitern Pflicht, oft aber auch darunter sinnvoll), gehört der KI-Einsatz hinein. Eine Zeile pro eingesetztem Tool reicht oft aus.
Mehr braucht es für die meisten KMU nicht. Wer diese drei Punkte hat, ist bei einer Datenschutzprüfung gut aufgestellt – und schläft nachts ruhiger.
Was passiert bei Verstößen wirklich?
Die Schreckensmeldungen über DSGVO-Strafen in zweistelliger Millionenhöhe stammen meistens von großen Konzernen. Für KMU sieht die Realität anders aus. Die deutschen Datenschutzaufsichtsbehörden arbeiten in der Praxis nach dem Prinzip der Verhältnismäßigkeit: Erste Auffälligkeiten führen zu Hinweisen und Nachfragen, nicht zu sofortigen Bußgeldern.
Wenn ein KMU eine angemessene KI-Richtlinie hat, AVVs vorweist und auf Anfragen schnell reagiert, ist das Risiko substanzieller Strafen gering. Echte Probleme entstehen meistens dann, wenn Unternehmen auf Beschwerden gar nicht reagieren oder grobe Verstöße systematisch wiederholen.
Anders ausgedrückt: Sie müssen nicht perfekt sein. Sie müssen nur erkennbar darauf achten.
Praxistipps: KI-Workflows DSGVO-konform aufsetzen
Statt KI-Nutzung zu vermeiden, lohnt es sich, von vornherein DSGVO-konforme Abläufe zu etablieren. Drei Beispiele aus der Praxis:
E-Mail-Antworten: Statt eine Mail komplett in ChatGPT zu kopieren, formulieren Sie die Kernfrage neu („Kunde fragt, ob Wartung dieses Jahr noch möglich ist“) und lassen die KI eine Antwort daraus formulieren. Schneller, sicherer, oft besser.
Angebotserstellung: KI generiert Standard-Bausteine basierend auf Ihren Vorlagen. Den Kundennamen und die Spezifika fügen Sie selbst ein – im fertigen Dokument, nicht im Prompt. Das ist Teil eines guten automatisierten Workflows für KMU.
Texte für die Website: Hier gibt es keine personenbezogenen Daten – grünes Feld. KI darf nach Herzenslust schreiben, Sie überarbeiten und veröffentlichen. Genau wie auch in unserem Artikel zur KI-Analyse typischer KMU-Websites beschrieben.
Was bringt das Thema in den nächsten 12 Monaten?
Drei Entwicklungen zeichnen sich ab. Erstens: Die KI-Anbieter werden weiterhin in EU-Server investieren. OpenAI, Google und Anthropic haben angekündigt, ihre Europa-Präsenz auszubauen. Das macht den Einsatz für KMU einfacher.
Zweitens: Es entsteht ein Markt für deutschsprachige, lokal gehostete Modelle. Anbieter wie Aleph Alpha aus Heidelberg oder Mistral aus Frankreich bauen Lösungen, die in puncto DSGVO leichter zu rechtfertigen sind als die US-Marktführer.
Drittens: Die Aufsichtsbehörden werden konkretere Leitlinien veröffentlichen. Der Umgang mit KI war 2024 noch experimentell – 2026 werden klare Mindeststandards Realität. Wer jetzt anfängt, sich zu professionalisieren, ist vorne.
Der pragmatische Mittelweg
Sie müssen weder KI verteufeln noch blauäugig einsetzen. Der pragmatische Mittelweg sieht so aus: Verstehen, welche Daten Sie reingeben. Anbieter wählen, die ernst zu nehmen sind. Eine simple Richtlinie für Ihr Team aufsetzen. Und im Zweifelsfall lieber einmal mehr anonymisieren als einmal zu wenig.
Mit diesem Vorgehen profitieren Sie von der Geschwindigkeit moderner KI – und gehen kein Risiko ein, das Ihren Betrieb gefährden könnte. Datenschutz ist 2026 kein Verhinderer mehr, sondern ein Wettbewerbsvorteil. Kunden, die wissen, dass Sie sorgfältig mit ihren Daten umgehen, kommen wieder.
Sie wollen wissen, ob Ihr aktueller KI-Einsatz DSGVO-konform ist – oder welche Tools für Ihre Branche geeignet sind? Unsere kostenlose KI-Checkliste deckt die häufigsten Lücken auf. Oder sprechen Sie direkt mit uns – wir prüfen Ihren Status in 30 Minuten und zeigen, wo Handlungsbedarf besteht.
Dieser Artikel ist Teil unseres Leitfadens KI für KMU – alle Themen im Überblick.