Ist DSGVO-Compliance bei KI wirklich in einer Woche machbar?

Ja, für die Standard-Anwendungen des Mittelstands. Voraussetzung: Man arbeitet die zehn Punkte strukturiert ab und lässt sich nicht von Nebenschauplätzen ablenken. Für komplexe Systeme mit vielen Beteiligten kann es zwei bis drei Wochen dauern — aber nicht drei Monate.

Muss ich für jedes KI-Tool einen neuen AVV unterschreiben?

Ja. Jeder KI-Anbieter, der im Auftrag des Unternehmens personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag. Für die großen Anbieter (OpenAI, Microsoft, Anthropic, Mistral) gibt es Standard-AVV-Vorlagen, die sich schnell anpassen lassen.

Was ist mit Kundendaten in KI-Chats?

Der Standard: Keine personenbezogenen Daten in Public-ChatGPT, keine Kundennamen in öffentliche Modelle, Pseudonymisierung wo möglich. Mit Enterprise-Varianten und AVV dürfen personenbezogene Daten verarbeitet werden, wenn die sonstige Architektur sauber ist.

Wer ist im Unternehmen verantwortlich?

Die Geschäftsführung. Delegation an einen Datenschutzbeauftragten oder IT-Verantwortlichen ist möglich, aber die Gesamtverantwortung bleibt bei der GF. Das ist auch der Grund, warum wir in Kick-offs immer die GF mit am Tisch haben wollen — Datenschutz ist Chefsache.

Was passiert bei einem Datenschutz-Audit?

Die Aufsichtsbehörde prüft die Dokumentation: AVV vorhanden, Nutzungsrichtlinie intern, Schulungsnachweise, Löschroutinen definiert, Betroffenenrechte-Prozess dokumentiert. Wer die zehn Punkte sauber hat, besteht ein Audit ohne größere Probleme.

KI-Datenschutz-Check für Mittelständler: Die 10-Punkte-Checkliste

Die Frage nach DSGVO-Compliance kommt in 100 Prozent der Erstgespräche. Die Sorge dahinter ist groß: Bußgelder, Reputationsschaden, Auditrisiko. Was meist fehlt, ist eine klare Liste dessen, was wirklich zu tun ist. Die zehn Punkte unten sind unsere Arbeitsgrundlage aus +15 Projekten — strukturiert, abarbeitbar, überprüfbar.

Wichtig: Diese Checkliste ersetzt keine rechtliche Beratung. Sie ist eine praxisnahe Orientierung, die mit dem jeweiligen Datenschutzbeauftragten zu validieren ist. Aber sie gibt Mittelständlern ein Gerüst, mit dem sie strukturiert in die Gespräche gehen können — statt von Unsicherheit gebremst zu werden.

Die 10-Punkte-Checkliste

1. Rechtsgrundlage nach Art. 6 DSGVO klären

Jede KI-Verarbeitung braucht eine Rechtsgrundlage. Die häufigsten im Mittelstand:

Vertrag (Art. 6 Abs. 1 lit. b) — KI unterstützt die Erfüllung eines Vertrags, z. B. KI-Agent für Kundenbetreuung
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — interne Prozess-Automatisierung, z. B. Dokumenten-Klassifikation, Vertriebs-Vorqualifikation
Einwilligung (Art. 6 Abs. 1 lit. a) — bei besonderen Datenkategorien oder unklaren Fällen

Die Datenschutzkonferenz (DSK) hat in ihrem Leitfaden für DSGVO-konforme KI klargestellt: Die Rechtsgrundlage gehört dokumentiert, nicht implizit angenommen.

2. Auftragsverarbeitungsvertrag (AVV) unterzeichnet

Wenn der KI-Anbieter personenbezogene Daten verarbeitet, ist ein AVV nach Art. 28 DSGVO Pflicht. Für Enterprise-Varianten der großen Anbieter (ChatGPT Enterprise, Microsoft Copilot for Business, Claude Teams, Mistral Le Chat Enterprise) gibt es Standard-AVVs, die in der Regel schnell unterzeichenbar sind. Der AVV regelt u. a.: Zweckbindung, Subauftragsverarbeiter, technische Maßnahmen, Löschroutinen nach Vertragsende.

Action: AVV in die Vertrags-Akte, Gültigkeit dokumentieren, Version und Datum vermerken.

3. Interne Nutzungsrichtlinie schreiben

Zweiseitige Richtlinie reicht. Inhalt:

Welche KI-Tools sind zugelassen?
Welche Daten dürfen rein (Kategorien: öffentlich / intern / personenbezogen / besondere Kategorien)?
Wer ist Ansprechpartner bei Fragen?
Was passiert bei Zweifeln oder Verstößen?

Alle Mitarbeitenden unterschreiben, Dokumentation archivieren. Das Bundesamt für Sicherheit in der Informationstechnik hat Vorlagen für IT-Security-Richtlinien, die gut adaptierbar sind.

4. KI-Kompetenz-Schulung nach AI-Act Art. 4

Seit Februar 2025 gilt die Schulungspflicht für alle, die KI-Systeme nutzen oder deren Output verarbeiten. Einmalig 60 bis 90 Minuten, jährliche Auffrischung. Inhalt:

Grundlagen KI-Systeme
Datenschutz-Grundregeln
Nutzungsrichtlinie des Betriebs
Umgang mit Halluzinationen und Output-Prüfung

Teilnehmerliste archivieren. Das ist zugleich AI-Act-Schulung und DSGVO-Awareness. Heise dokumentiert die praktische Umsetzung laufend — und das Handelsblatt hat umfangreich zum AI-Act für Mittelständler berichtet.

5. Pseudonymisierung personenbezogener Daten

Wo es ohne vollständige personenbezogene Daten geht, pseudonymisieren: "Kunde 1234" statt "Max Müller", "Objekt A" statt "Grundstück Leipziger Straße 42". Das reduziert das Risiko, ermöglicht viele KI-Anwendungen, erleichtert Löschroutinen. Bei vielen Mittelstands-Use-Cases (Dokumenten-KI, interne Wissens-Systeme) ist Pseudonymisierung vollständig machbar.

Tiefer: Die technisch-organisatorischen Maßnahmen (Punkte 6-10)

6. Löschroutinen definiert

Jede Datenverarbeitung braucht ein Ende. Für KI-Systeme heißt das:

Wann werden Interaktions-Logs gelöscht? (z. B. 90 Tage nach Abschluss der Anfrage)
Wann werden trainierte oder feinjustierte Modelle gelöscht (bei Vertragsende)?
Wann werden Vektor-Datenbanken geleert (z. B. bei Kunden-Löschanfrage)?

Dokumentiert in einem Löschkonzept. Ein Dokument, in dem für jede KI-relevante Datenkategorie das Löschregime steht.

7. Zugriffsrollen und Berechtigungskonzept

Wer darf welche KI-Systeme nutzen? Wer hat Admin-Zugriff? Wer hat Einblick in Logs? Rollenkonzept mit Zuweisung zu konkreten Personen. Standard-Rollen sind meist: Nutzer, Key User, Admin. Mehr braucht es selten. Wichtig: Zugriffs-Audits einmal pro Jahr, idealerweise im Rahmen der generellen DSGVO-Audit-Routine.

8. Logging und Nachvollziehbarkeit

Jede relevante KI-Interaktion wird geloggt. Mindestens: Wer hat wann welche Anfrage gestellt, was war der Output, welche Daten wurden verarbeitet? Das Logging erfüllt zwei Zwecke: Auskunftsrecht der Betroffenen (Art. 15 DSGVO) und Nachvollziehbarkeit bei Audits.

Wichtig: Das Logging darf selbst keine unzulässigen personenbezogenen Daten ansammeln — oft werden Logs gekürzt oder pseudonymisiert gespeichert.

9. Betroffenenrechte-Prozess

Was passiert, wenn ein Kunde eine Auskunft, Berichtigung oder Löschung bezüglich KI-Verarbeitung verlangt? Drei-Schritte-Prozess auf einer Seite:

Anfrage geht an Datenschutzbeauftragten / IT-Verantwortlichen
Suche in den relevanten Systemen (CRM, KI-Logs, Vektor-DB)
Antwort an Betroffenen innerhalb 30 Tage (Art. 12 DSGVO)

Der Prozess ist intern dokumentiert, die Zuständigen sind geschult. Die Handelsblatt-Übersicht zum ChatGPT-Datenschutz und verwandte Publikationen zeigen: Der Betroffenenrechte-Prozess wird zunehmend angefragt.

10. Audit-Dokumentation

Alle Punkte 1-9 in einem Ordner: Rechtsgrundlagen-Dokument, AVVs, Nutzungsrichtlinie mit Unterschriften, Schulungsnachweise, Pseudonymisierungs-Konzept, Löschkonzept, Rollenkonzept, Logging-Konzept, Betroffenenrechte-Prozess. Bei einem Audit ist der Ordner das, was die Aufsichtsbehörde sieht.

Die Datenschutzkonferenz-Orientierungshilfen und die BSI-Leitfäden sind die Referenzen, an denen sich ein Audit orientiert. Wer die zehn Punkte hat, ist für beide Quellen sauber aufgestellt.

Datenschutz bei KI klingt kompliziert — ist es aber nicht, wenn man die Architektur vor dem ersten Prompt klärt. Zehn Punkte, eine Woche, saubere Grundlage.

Ein Praxisbeispiel aus einem unserer Projekte

Ein Steuerbüro im Chemnitzer Raum wollte einen KI-Agenten für Mandanten-Anfragen einsetzen. Standard-Situation: viele personenbezogene Daten, sensible Steuerdaten, hohes Vertraulichkeitsgebot.

Wir haben die zehn Punkte in acht Arbeitstagen abgearbeitet:

Rechtsgrundlage: Vertrag (Mandatsverhältnis) + berechtigtes Interesse für Prozess-Automatisierung
AVV: Enterprise-Variante eines EU-hostet Modells, Standard-AVV unterzeichnet
Nutzungsrichtlinie: 2-seitig, Mandanten-Kategorien als Nicht-Eingabe-Liste
Schulung: 90-Minuten-Session für alle 12 Mitarbeitenden, dokumentiert
Pseudonymisierung: Kunden-IDs statt Namen, Beträge gerundet
Löschroutinen: 60 Tage für Interaktions-Logs, 30 Tage für Zwischenergebnisse
Zugriffsrollen: 3 Rollen (Steuerberater, Mitarbeiter, Admin)
Logging: Gekürzt, pseudonymisiert, 12 Monate
Betroffenenrechte: Standard-Prozess aus allgemeiner DSGVO-Routine angepasst
Audit-Dokumentation: digitaler Ordner, standard-strukturiert

Ergebnis: Nach 8 Werktagen war die Datenschutz-Architektur so sauber, dass der KI-Agent ohne Bedenken starten konnte. Kein einziger Datenschutz-Vorfall seit Go-Live.

Unser Take

Aus +15 Projekten: Datenschutz ist nicht das Hindernis für KI-Projekte im Mittelstand — der mentale Aufwand ist es. Betriebe scheuen die Komplexität, bevor sie sie gesehen haben. Mit einer strukturierten Liste ist der tatsächliche Aufwand überschaubar: in einer Woche durchziehbar, mit Standard-Vorlagen für AVV, Nutzungsrichtlinie, Schulungs-Curriculum.

Unsere Empfehlung: Die zehn Punkte im Kick-off-Zeitraum abarbeiten, parallel zur Scope- und Daten-Klärung. So ist bis Projekt-Go-Live die Datenschutz-Architektur gleichzeitig mit dem System fertig. Kein nachträgliches "Wir klären das später" — denn "später" bedeutet in der Regel "nach dem ersten Audit-Schreiben".

Die DSK entwickelt ihre Leitfäden weiter, das Datenschutzrecht bleibt in Bewegung. Aber die zehn Punkte sind das stabile Fundament — sie ändern sich nicht wesentlich, egal was auf EU-Ebene beschlossen wird.

Häufige Fragen

Ja, für Standard-Anwendungen. Komplexe Systeme brauchen zwei bis drei Wochen, aber nicht drei Monate. Strukturierte Abarbeitung der zehn Punkte ist der Schlüssel.

Stand: Juni 2026 — Datenschutzrecht entwickelt sich weiter. Wir prüfen pro Projekt den aktuellen Stand.