KI DSGVO-konform nutzen

KI DSGVO-konform einsetzen in 5 Schritten: KI-Inventar, Rechtsgrundlage, Datenflüsse, Richtlinie, Schulung. Was es kostet und warum Nichtstun teurer ist.

sebastian@agent-schomerus.de7. April 20265 Min. Lesezeit

KI DSGVO-konform nutzen: 5 Schritte für jedes Unternehmen (+ was es wirklich kostet)

Letzte Woche hat sich ein Geschäftsführer bei mir gemeldet. 80 Mitarbeiter, produzierendes Gewerbe, solides Unternehmen. Sein Team nutzt ChatGPT seit Monaten — kostenloser Account, keine Richtlinien, Kundennamen im Prompt.

Nach dem Rechtsrahmen-Artikel der letzten Woche war ihm klar: Es gibt ein Problem. Drei Gesetze greifen gleichzeitig. Aber jetzt die Frage, die wirklich zählt:

"Was kostet es, das richtig zu machen?"

Die Antwort hat ihn überrascht. Nicht weil es teuer ist — sondern weil es so viel günstiger ist als die Alternative.

Was kostet es, das richtig zu machen? — Die Frage nach dem Wake-Up-Call

53 Prozent der deutschen Unternehmen nennen rechtliche Verunsicherung als größtes Hemmnis beim Einsatz von KI (Bitkom, 2025)^[1]. Und diese Verunsicherung hat einen Preis: Sie verhindert Handeln. Unternehmen tun weder das eine (KI nutzen) noch das andere (KI absichern). Sie warten. Und während sie warten, nutzen ihre Mitarbeiter längst KI — ohne Regeln.

Die gute Nachricht: DSGVO-konforme KI-Nutzung ist kein sechsstelliges Projekt. Es sind fünf konkrete Schritte, die jedes Unternehmen in 30 Tagen umsetzen kann.

Schritt 1 — KI-Inventar erstellen: Welche Tools nutzt wer?

Der erste Schritt klingt simpel und ist trotzdem der wichtigste: eine ehrliche Bestandsaufnahme aller KI-Tools im Unternehmen. Nicht nur die offiziell genehmigten — sondern alle. Auch die privaten ChatGPT-Accounts, die Gemini-Tabs im Browser, die DeepL-Nutzung ohne Firmen-Login.

Bei dem Unternehmen, das ich begleitet habe, kamen 11 verschiedene Tools zum Vorschein. Die IT kannte drei davon. Das ist kein Einzelfall — laut aktuellen Studien haben 98 Prozent der Organisationen Anzeichen von Schatten-KI (Vectra AI/Varonis, 2026)^[2]. Nur 26 Prozent stellen offiziell generative KI bereit (Bitkom, 2025)^[1].

So geht es: Rundmail ans Team. Keine Schuldzuweisung, keine Konsequenzen. Einfach: "Welche KI-Tools nutzt ihr bei der Arbeit?" Die Antworten sammeln, in eine Liste packen, pro Tool den Personenbezug prüfen.

Kosten: 0 Euro. Ein Tag Arbeit.

Schritt 2 — Rechtsgrundlage pro Tool prüfen

Jede Datenverarbeitung durch KI braucht eine Rechtsgrundlage nach Artikel 6 DSGVO (LfDI Baden-Württemberg)^[3]. Die meistgenutzte: berechtigte Interessen (Art. 6 Abs. 1 lit. f). Aber Achtung — verschiedene Verarbeitungsphasen brauchen separate Rechtsgrundlagen. Das Training eines Modells ist eine andere Verarbeitung als die Nutzung, und die Nutzung eine andere als die Ergebnisverarbeitung.

Das klingt komplex, folgt aber einem klaren Schema: Für jedes Tool aus dem Inventar prüfen, welche Daten verarbeitet werden, auf welcher Rechtsgrundlage, und ob eine Datenschutz-Folgenabschätzung (DSFA) nötig ist.

Kosten: 2.000-5.000 Euro mit externem Datenschutzberater. Oder intern mit Vorlage, wenn ihr einen Datenschutzbeauftragten habt.

Schritt 3 — Datenflüsse dokumentieren: Wohin gehen eure Prompts?

Hier wird es interessant. Ich habe für das Projekt alle Datenflüsse eines KI-Tools nachgezeichnet. Der Weg eines Prompts: Mitarbeiter tippt → Daten an OpenAI-Server → Server in den USA → Subprozessoren verarbeiten → Prompt wird gespeichert.

Und dann der Punkt, den die meisten nicht kennen: der US Cloud Act. Dieses Gesetz erlaubt US-Behörden, auf Daten zuzugreifen — auch wenn diese auf europäischen Servern liegen. Entscheidend ist nicht, wo die Daten sind, sondern wem der Anbieter gehört.

"Europäische Server" klingt sicher. Ist es aber nicht automatisch, wenn der Anbieter US-Recht unterliegt.

So geht es: Ein Datenfluss-Diagramm pro Tool. Eingabe → Verarbeitung → Speicherung → Löschung. Subprozessoren-Liste des Anbieters lesen. Auftragsverarbeitungsvertrag (DPA) prüfen.

Kosten: Intern machbar. Ein halber Tag pro Tool.

Schritt 4 — KI-Richtlinie verabschieden

Eine KI-Richtlinie ist das Dokument, das klar regelt: Was darf in Prompts rein, was nicht? Welche Tools sind genehmigt? Was passiert bei einem Verstoß? Nur 23 Prozent der deutschen Unternehmen haben bisher KI-Regeln aufgestellt (Bitkom, 2025)^[1]. Das bedeutet: 77 Prozent navigieren ohne Kompass.

Was rein muss:

Liste genehmigter KI-Tools (mit Links zu DPAs)
Verbotene Datentypen in Prompts (Kundennamen, Finanzdaten, Gesundheitsdaten)
Regeln für die Nutzung (nur Business-Accounts, kein privater Account für Firmendaten)
Eskalationsprozess bei Verstößen
Verantwortlichkeiten (wer genehmigt neue Tools?)

Kosten: 1.000-3.000 Euro für eine Vorlage plus juristische Prüfung durch euren Datenschutzbeauftragten.

Schritt 5 — Team schulen (es ist Pflicht seit Februar 2025)

Seit dem 2. Februar 2025 gilt Artikel 4 des EU AI Act: Unternehmen müssen sicherstellen, dass Mitarbeiter, die KI nutzen oder darüber entscheiden, ausreichend geschult sind. Fünf Kernbereiche: Grundverständnis (AI Literacy), Recht und Compliance, Ethik, Datensicherheit, Praxis.

43 Prozent der deutschen Unternehmen haben keinerlei KI-Schulungen (Bitkom, 2025)^[1]. Nicht "unzureichende" — gar keine. Das ist seit über einem Jahr ein Rechtsverstoß.

Kosten: Ab 500 Euro pro Team. Online-Schulungen, Workshops oder Multiplikatoren-Programme — das Format ist nicht vorgeschrieben, nur das Ergebnis.

Die Kostenrechnung: Compliance vs. Verstoß

Jetzt die Rechnung, die den Geschäftsführer überrascht hat:

Investition	Kosten
5 Schritte Compliance (KMU)	5.000-15.000 €
DSFA (Datenschutz-Folgenabschätzung)	3.000-8.000 €
Gesamt Prävention	8.000-23.000 €

Risiko	Kosten
Shadow-AI-Datenschutzvorfall (Durchschnitt)	4,63 Mio. USD ^[4]
DSGVO-Bußgeld (Maximum)	20 Mio. € oder 4 % Umsatz
AI-Act-Bußgeld (Maximum)	35 Mio. € oder 7 % Umsatz ^[5]
OpenAI-Strafe Italien (real, 2024)	15 Mio. € ^[6]
DSGVO-Bußgelder kumuliert EU (seit 2018)	7,1 Mrd. € ^[7]

Die DSFA kostet einen Bruchteil des niedrigsten Bußgeldes. Die 5 Schritte kosten weniger als das Monatsgehalt einer Führungskraft. Und Unternehmen, die ihr KI-Budget von drei auf fünf Prozent steigern, berichten von bis zu 40 Prozent schnelleren Routineprozessen (Synclaro, 2026)^[8].

Die Frage ist nicht, ob ihr euch DSGVO-Konformität leisten könnt. Die Frage ist, ob ihr euch leisten könnt, es nicht zu tun.

Fazit — 30 Tage bis zur Grundsicherung

Fünf Schritte. 30 Tage. Ein überschaubares Budget. Das ist der Weg von "wir hoffen, dass nichts passiert" zu "wir wissen, dass wir abgesichert sind".

In vier Monaten greifen die Hochrisiko-Anforderungen des EU AI Act (August 2026)^[5]. Wer jetzt mit den Grundlagen anfängt, hat genug Vorlauf.

Nächste Woche wird es unbequem: Ich zeige die 5 größten DSGVO-Mythen über KI — und warum "Enterprise-Version = sicher" der gefährlichste davon ist.

Du willst wissen, wo dein Unternehmen steht? Starte mit Schritt 1: Frag dein Team, welche KI-Tools sie nutzen. Die Antwort wird dich überraschen.

Quellen & Referenzen (8)

1
Bitkom — Durchbruch bei Künstlicher Intelligenz (Sept. 2025)
bitkom.orgAbgerufen: 27.03.2026↩
2
Vectra AI / Varonis — Schatten-KI im Unternehmen: 98% betroffen
econlab-ai.deAbgerufen: 27.03.2026↩
3
LfDI Baden-Württemberg — Rechtsgrundlagen im Datenschutz beim Einsatz von KI
baden-wuerttemberg.datenschutz.deAbgerufen: 27.03.2026↩
4
IBM — Cost of a Data Breach Report 2025
ibm.comAbgerufen: 27.03.2026↩
5
ADVISORI — EU AI Act Hochrisiko-Pflichten August 2026
advisori.deAbgerufen: 27.03.2026↩
6
Garante per la Protezione dei Dati Personali — OpenAI-Strafe 15 Mio. EUR (2024)
garanteprivacy.itAbgerufen: 02.04.2026↩
7
Kiteworks — DSGVO-Bußgelder erreichen 7,1 Milliarden EUR
kiteworks.comAbgerufen: 27.03.2026↩
8
Synclaro — ChatGPT für Unternehmen 2026: DSGVO-konforme KI-Integration
synclaro.deAbgerufen: 02.04.2026↩

Häufig gestellte Fragen

Was kostet DSGVO-konforme KI-Nutzung für ein KMU?

Das Grundpaket liegt bei 5.000-15.000 Euro: KI-Inventar (0 Euro), Rechtsgrundlagen-Prüfung (2-5.000 Euro), KI-Richtlinie (1-3.000 Euro), Schulung (ab 500 Euro pro Team). Dazu optional eine DSFA für 3-8.000 Euro. Der ROI wird in vielen Fällen innerhalb von drei bis sechs Monaten durch Prozessoptimierung erreicht.

Reicht die Enterprise-Version von ChatGPT für DSGVO-Konformität?

Nein, allein reicht sie nicht. ChatGPT Enterprise bietet zwar einen Auftragsverarbeitungsvertrag (DPA) und Training-Opt-Out, aber: Der Server-Standort muss geprüft werden, die Subprozessoren-Liste muss bekannt sein, und eine eigene KI-Richtlinie ist trotzdem nötig. Außerdem greift bei US-Anbietern weiterhin der Cloud Act.

Welche Fragen muss ich meinem KI-Anbieter stellen?

Drei Kernfragen: Erstens — Wo stehen die Server und wer sind die Subprozessoren? Zweitens — Werden Nutzerdaten für das Training verwendet? Drittens — Wie lange werden Prompts gespeichert und nach welchen Löschfristen? Keine befriedigende Antwort auf eine dieser Fragen bedeutet: Anbieter wechseln.

Können wir DSGVO-Konformität intern umsetzen?

Vieles geht intern: KI-Inventar, Richtlinie mit Vorlage, Team-Schulung. Die Rechtsgrundlagen-Prüfung und die DSFA sollten besser mit einem externen Datenschutzbeauftragten oder Anwalt erfolgen. Ein Hybridmodell — intern vorbereiten, extern prüfen lassen — ist am effizientesten.

Gibt es DSGVO-konforme Alternativen zu ChatGPT?

Ja, mehrere: Mistral aus Paris (europäischer Anbieter, EU-Server, kein Cloud Act), DeepL aus Köln (deutsche Server, deutsches Recht, spezialisiert auf Übersetzung), Azure OpenAI mit EU Data Boundary (GPT-Modelle auf EU-Servern), Claude Team/API von Anthropic (kein Training mit Nutzerdaten). Entscheidend bei jedem Tool: DPA vorhanden, Server-Standort klar, Training-Policy transparent.**Was kostet DSGVO-konforme KI-Nutzung für ein KMU?** Das Grundpaket liegt bei 5.000-15.000 Euro: KI-Inventar (0 Euro), Rechtsgrundlagen-Prüfung (2-5.000 Euro), KI-Richtlinie (1-3.000 Euro), Schulung (ab 500 Euro pro Team). Dazu optional eine DSFA für 3-8.000 Euro. Der ROI wird in vielen Fällen innerhalb von drei bis sechs Monaten durch Prozessoptimierung erreicht.