Die Debatte ist seit Anfang 2026 in Bewegung: Darf KI-Training mit personenbezogenen Daten auf Basis des "berechtigten Interesses" nach DSGVO laufen — ohne individuelle Einwilligungen? Die EU-Kommission zieht diese Option — die deutsche Datenschutzkonferenz hält dagegen. Was realistisch bleibt und was es für einen Mittelständler in Bautzen oder Plauen heißt, ist nicht dasselbe wie die Überschrift in Brüssel vermuten lässt.
In unseren +15 Projekten ist diese Debatte ein Dauerthema in Kickoff-Gesprächen. Geschäftsführer lesen die Schlagzeile, werden nervös, wollen wissen, ob das KI-Projekt jetzt "unsicher" wird. Die kurze Antwort: Nein. Die lange Antwort erklärt, warum die Reform des KI-Trainings fast nichts daran ändert, wie ein sächsischer Mittelständler heute ein KI-System sauber aufstellt.
Was genau passiert ist
Im April 2026 hat das Handelsblatt die Debatte zur DSGVO-Reform rund um KI-Training prominent aufgegriffen. Kern der Diskussion: Die EU-Kommission erwägt, den KI-Modellanbietern eine breitere Rechtsgrundlage zu geben — nämlich "berechtigtes Interesse" nach Art. 6 Abs. 1 lit. f DSGVO. Das würde bedeuten: OpenAI, Mistral, Aleph Alpha und andere könnten öffentlich verfügbare Daten fürs Training nutzen, ohne individuelle Einwilligungen von Betroffenen einzuholen — solange eine Interessenabwägung das rechtfertigt.
Die deutsche Datenschutzkonferenz und mehrere Landesdatenschutzbeauftragte warnen. Sie sehen die Betroffenenrechte (Auskunft, Löschung, Widerspruch) strukturell gefährdet. Auch heise hat die Sorge aufgegriffen, dass die DSGVO in dem Kontext unter Druck kommt.
Parallel dazu läuft die Diskussion um den EU AI Act — den Mittelständler laut Handelsblatt kennen sollten. Die Logik ist ähnlich: Die EU verschärft einerseits (AI Act), sucht andererseits nach pragmatischen Ausnahmen (DSGVO-Reform für Training). Beides zielt auf das gleiche Endziel — europäische KI-Anbieter sollen mithalten können, ohne dass der Datenschutz-Standard vollständig kippt.
Die offizielle Seite der Kommission zum regulatorischen Rahmen für KI dokumentiert den Stand der Beratungen. Ein finaler Rechtsakt zur DSGVO-Reform für KI-Training steht Q2 2026 aus.
Was das für den sächsischen Mittelstand heißt
Erster, wichtigster Punkt: Die Debatte betrifft primär Anbieter großer Sprachmodelle, nicht Anwender. Wenn OpenAI, Mistral oder Aleph Alpha Modelle trainieren, reiben sich ihre DSGVO-Pflichten mit der Realität der neuronalen Netze. Wenn Sie als sächsischer Mittelständler diese Modelle einsetzen, ist Ihre DSGVO-Pflicht etwas anderes — nämlich der saubere Umgang mit Ihren Kundendaten im AVV-Rahmen.
Zweiter Punkt: Die DSGVO-Reform, wenn sie kommt, entlastet Mittelständler nicht. Sie entlastet Modellanbieter. Ein Handwerksbetrieb in Chemnitz, der einen KI-Agenten für Kundenanfragen baut, hat dieselben Pflichten wie heute — AVV mit dem Anbieter, Nutzungsrichtlinie intern, Schulung dokumentieren. Das ändert sich durch keine denkbare Reform.
Dritter Punkt: Der realistische Zeithorizont. Ein EU-Rechtsakt, der die DSGVO in Bezug auf KI-Training ändert, braucht mindestens 12 bis 18 Monate — Legislativ-Vorschlag, Trilog, Umsetzung in nationales Recht. Wer heute plant, plant für den Stand Mai 2026. Alles andere ist Spekulation.
Vierter Punkt: Die Planungssicherheit. Ein Betrieb, der seinen KI-Einsatz sauber aufstellt (Enterprise-Variante mit AVV, interne Richtlinie, AI-Act-Schulung nach Artikel 4), ist nach jeder denkbaren Reform weiter sauber. Wer die Architektur verschiebt, um "erst mal abzuwarten", verliert Monate Produktivität.
Die Debatte verschiebt sich in Brüssel — die Betriebe in Sachsen brauchen trotzdem heute eine saubere Architektur. Wer darauf wartet, dass Gesetze sie entlasten, verschenkt Monate.
Was wir empfehlen
Konkret, für den sächsischen Mittelstand, Stand Mai 2026:
1. Nicht warten. Die Debatte ist wichtig, aber sie ändert nichts an dem, was Sie heute tun müssen. Wer ein KI-Projekt plant, sollte es planen — und nicht hoffen, dass die DSGVO in 18 Monaten bequemer wird.
2. Saubere AVV-Architektur. Enterprise-Variante Ihres bevorzugten Modellanbieters (ChatGPT Enterprise, Microsoft Copilot for Business, Mistral Le Chat Enterprise, Claude Teams), deaktiviertes Training, EU-Hosting wenn möglich, AVV unterschrieben. Das ist heute der Standard und bleibt der Standard.
3. Interne Nutzungsrichtlinie. Zweiseitig, klar formuliert: welche Tools, welche Daten dürfen rein, wer ist Ansprechpartner, was passiert bei Zweifeln. Unterschrift aller Mitarbeitenden dokumentieren.
4. AI-Act-Schulung nach Artikel 4. 60 bis 90 Minuten einmal im Jahr, Teilnehmerliste ablegen. Das erfüllt gleichzeitig die AI-Act-Schulungspflicht und die DSGVO-Awareness-Pflicht.
5. Technische Trennung personenbezogener Daten. Bei Kunden- oder Mitarbeiterdaten: Pseudonymisierung, Zugriffsrollen, Logging. Bei rein internen Wissens-Agenten reicht oft die klare Trennung vom Kundendaten-System.
Wer diese fünf Punkte hat, ist für die Debatte in Brüssel gelassen — egal wie sie ausgeht.
Unser Take
Wir beobachten die Debatte seit Anfang 2026 genau. Unsere Einschätzung: Die DSGVO wird in Bezug auf KI-Training reformiert werden, aber nicht so radikal, wie die Überschriften suggerieren. Die Kommission braucht einen Kompromiss, der europäische KI-Anbieter entlastet, ohne den europäischen Datenschutz-Standard zu verlieren. Das wird ein moderater Eingriff.
Für unsere Projekte heißt das: Wir bauen weiter nach dem bewährten Muster — Enterprise-Architektur, AVV, Richtlinie, Schulung. In +15 Projekten hat sich dieses Muster gehalten, und es wird sich halten. Die Reform, wenn sie kommt, ändert am Alltag des sächsischen Mittelständlers wenig. Was sich ändert, ist die Geschwindigkeit, in der neue KI-Modelle auf den Markt kommen — und das ist eine gute Nachricht für alle, die KI produktiv einsetzen.
Die schlechte Nachricht: Wer abwartet, verliert. Ein KI-System, das heute 4 bis 12 Wochen bis zur Produktivität braucht, spart über zwei Jahre die Personalkosten einer halben Stelle. Wer sechs Monate wartet, um die DSGVO-Reform abzusehen, schenkt diese Produktivität her.
Häufige Fragen
Stand Q2 2026 ändert sich formal noch nichts. Die EU-Kommission diskutiert, ob KI-Training auf Basis berechtigten Interesses zulässig sein soll. Ein finaler Rechtsakt steht aus.
Stand: Mai 2026 — Die DSGVO-Debatte zum KI-Training ist in Bewegung. Wir aktualisieren den Artikel, sobald ein konkreter Rechtsakt vorliegt.