Kurz gesagt: KI im Betrieb ist datenschutzrechtlich machbar und gängige Praxis — es gibt aber vier Punkte, die zur sauberen Einrichtung gehören: Wo liegen die Daten (EU oder USA, Cloud oder eigener Server)? Gibt es einen Auftragsverarbeitungsvertrag mit dem Anbieter? Wissen Ihre Kunden, dass KI mitschreibt? Und erfassen Sie nur, was nötig ist? Wer das von Anfang an mitdenkt, hat keine bösen Überraschungen — Panik ist fehl am Platz, Sorgfalt aber Pflicht.

„Dürfen wir das datenschutzrechtlich überhaupt?" ist eine der ersten Fragen, die im Erstgespräch kommt — und sie ist berechtigt. KI verarbeitet Texte, Sprache, Fotos, manchmal Kundendaten. Da hört der Spaß für viele auf, und das zu Recht. Die gute Nachricht: Die meisten Sorgen lassen sich mit ein paar klaren Regeln auflösen.

Ich baue selbst KI-Software, die mit echten Kundendaten arbeitet — etwa mein digitales Bautagebuch, in das Bauleiter täglich Fotos, Sprachnotizen und Projektdaten geben. Datenschutz ist da kein Beiwerk, sondern Teil des Fundaments. Hier ist die praktische Einordnung, ohne Jura-Vorlesung.

Wo liegen Ihre Daten — und wer verarbeitet sie?

Die erste und wichtigste Frage ist nicht „welche KI?", sondern wo die Daten landen. Sobald Sie etwas in ein KI-Werkzeug geben, verlässt es Ihren Computer und wird woanders verarbeitet. Entscheidend ist, wo dieses „woanders" steht.

  • EU oder USA? Viele bekannte KI-Dienste laufen auf Servern in den USA. Das ist nicht automatisch verboten, erfordert aber eine saubere rechtliche Grundlage und Aufmerksamkeit, gerade bei personenbezogenen Daten. Anbieter mit EU-Servern machen vieles einfacher.
  • Cloud oder eigener Server? Bei einem Cloud-Dienst vertrauen Sie dem Anbieter Ihre Daten an. Bei einer Lösung auf Ihrem eigenen Server oder gar auf dem Gerät selbst bleiben die Daten bei Ihnen — datenschutzrechtlich die ruhigste Variante.

Ich sage Ihnen ehrlich: Für die meisten Betriebe ist eine Cloud-Lösung mit EU-Bezug und sauberem Vertrag völlig in Ordnung. Man muss nur wissen, was man nutzt — und das vorher klären, nicht hinterher.

Der Auftragsverarbeitungsvertrag — kein Papierkram zum Wegheften

Sobald ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, verlangt die DSGVO einen Auftragsverarbeitungsvertrag (kurz AVV). Das klingt nach Bürokratie, ist aber Ihr wichtigster Hebel: Der AVV legt fest, dass der Anbieter Ihre Daten nur für Ihren Zweck nutzt, sie schützt und nicht weiterverkauft.

Worauf Sie achten sollten:

  • Ein seriöser KI-Anbieter stellt den AVV von sich aus bereit — oft als Download oder im Vertragsbereich. Müssen Sie lange danach suchen, ist das ein Warnzeichen.
  • Prüfen Sie, welche Unterauftragnehmer der Anbieter einsetzt — also wessen Server und Modelle im Hintergrund mitlaufen. Eine seriöse Lösung legt das offen.
  • Klären Sie, ob Ihre Eingaben zum Training verwendet werden. Bei geschäftlichen Diensten ist das meist ausgeschlossen — bei kostenlosen Verbraucher-Versionen oft nicht. Das ist ein entscheidender Unterschied.

Ohne AVV sollten Sie keine personenbezogenen Daten durch ein fremdes KI-Werkzeug schicken. Das ist kein Detail, sondern die rechtliche Basis.

Transparenz: Ihre Kunden müssen wissen, dass KI mitschreibt

Datenschutz ist das eine, Ehrlichkeit das andere — und beides hängt zusammen. Wenn bei Ihnen eine KI Anfragen beantwortet, Gespräche zusammenfasst oder Dokumente erstellt, sollten die betroffenen Menschen das wissen.

Das verlangt nicht nur das Vertrauen Ihrer Kunden, sondern zunehmend auch das Gesetz. Die EU-KI-Verordnung (oft „AI Act" genannt) sagt in einfachen Worten: Wer mit einer KI kommuniziert, hat ein Recht zu erfahren, dass es eine KI ist. Ein Bot, der so tut, als wäre er ein Mensch, ist nicht nur schlechter Stil — er kann auch rechtlich problematisch werden.

In der Praxis ist das unkompliziert:

  • Ein kurzer Hinweis am Anfang („Sie schreiben mit einem digitalen Assistenten") reicht meist aus.
  • In der Datenschutzerklärung steht, welche KI-Dienste Sie nutzen und wofür.
  • Bei Telefon-Assistenten gehört ein gesprochener Hinweis dazu.

Transparenz kostet Sie nichts und schafft Vertrauen. Wer ehrlich sagt, dass KI im Spiel ist, wirkt souveräner als jemand, der es verschleiert.

Datensparsamkeit: nur erfassen, was wirklich nötig ist

Die DSGVO baut auf einem einfachen Grundsatz auf: Erheben Sie nur die Daten, die Sie wirklich brauchen. Das gilt für KI genauso wie für jeden Zettel im Büro — und gerade bei KI verleitet die Bequemlichkeit dazu, „lieber alles" reinzukippen.

Zwei praktische Regeln, die ich Kunden mitgebe:

  • Keine sensiblen Daten ins offene Chatfenster. Gesundheitsdaten, vollständige Personalakten, Bankverbindungen, ganze Verträge mit Namen — solche Dinge gehören nicht ungeprüft in einen frei zugänglichen KI-Chat. Wenn KI damit arbeiten soll, braucht es eine dafür eingerichtete, abgesicherte Lösung.
  • So wenig wie möglich, so viel wie nötig. Wenn ein WhatsApp-Bot eine Terminanfrage entgegennimmt, braucht er Name und Anliegen — nicht das Geburtsdatum. Je weniger persönliche Daten Sie verarbeiten, desto kleiner ist Ihr Risiko.

Datensparsamkeit ist kostenlos und oft wirksamer als jede teure Technik.

Lokale KI als datenschutzfreundliche Option

Wenn Sie mit besonders heiklen Daten arbeiten oder einfach ruhiger schlafen wollen, gibt es einen Weg, bei dem die Daten Ihren Betrieb gar nicht erst verlassen: KI direkt auf Ihrem eigenen Server oder Gerät, ohne Cloud.

Die Modelle laufen dann lokal. Keine Übertragung an einen externen Dienst, kein AVV mit einem US-Anbieter nötig, weil schlicht niemand außer Ihnen die Daten sieht. Für Branchen mit strengen Anforderungen — oder für Betriebe, die das Thema grundsätzlich aus dem Haus halten wollen — ist das eine ernsthafte Option.

Ehrlich gesagt: Lokale KI ist aufwendiger einzurichten und nicht für jeden Fall die beste Wahl. Für viele Betriebe ist eine saubere Cloud-Lösung mit EU-Bezug der pragmatischere Weg. Aber zu wissen, dass es die Alternative gibt, nimmt dem Thema viel Druck.

Fazit

KI und Datenschutz schließen sich nicht aus — im Gegenteil, mit etwas Sorgfalt ist beides gut vereinbar. Klären Sie, wo Ihre Daten liegen, schließen Sie einen Auftragsverarbeitungsvertrag, machen Sie den KI-Einsatz transparent und erfassen Sie nur, was nötig ist. Bei besonders heiklen Daten ist lokale KI eine ruhige Alternative. Das ist machbar und gängige Praxis — es gehört aber von Anfang an zur sauberen Einrichtung, nicht als nachträglicher Flicken.

Wenn Sie unsicher sind, ob Ihr geplanter KI-Einsatz datenschutzrechtlich sauber ist, schauen wir das gemeinsam an. Im kostenlosen Erstgespräch sage ich Ihnen ehrlich, worauf Sie bei Ihrem konkreten Fall achten müssen — und ob es einfacher geht, als Sie befürchten.

Passend dazu