Was kostet Nichtstun?

„Was kostet DSGVO-konforme KI?“ Diese Frage höre ich in fast jedem Gespräch mit Geschäftsführern. Sie ist verständlich. Aber sie greift zu kurz. Denn die eigentliche Rechnung hat eine andere Seite — und die ist unbequemer.

Diese Woche habe ich für ein mittelständisches Unternehmen mit circa 80 Mitarbeitern eine Kostenrechnung aufgemacht. Nicht für die KI-Lösung. Für das Problem. Das Ergebnis hat den Geschäftsführer überrascht — und mich dazu gebracht, diese Rechnung öffentlich zu machen.

„Was kostet DSGVO-konforme KI?“ — warum diese Frage in die Irre führt

Die Frage nach den Kosten einer KI-Lösung suggeriert, dass es sich um eine optionale Investition handelt. Etwas, das man sich leisten kann — oder eben nicht. In Wahrheit sind die Kosten des Nichtstuns in den meisten Fällen höher als jede Lösung. Sie verteilen sich auf vier Blöcke, die in keinem Budget stehen.

Kostenblock 1: Bußgelder, die keine Theorie mehr sind

Die italienische Datenschutzbehörde hat gegen OpenAI ein Bußgeld von 15 Millionen Euro^[1] verhängt — das erste große KI-spezifische DSGVO-Bußgeld in Europa. In Hamburg: 492.000 Euro^[2] für einen Finanzdienstleister, dessen KI-gestützte Kreditkartenentscheidungen nicht transparent dokumentiert waren.

Das sind keine Konzern-Probleme. Die Hamburger Strafe traf keinen Weltkonzern. Und ab August 2026 kommt eine zweite Regulierungsebene dazu: der EU AI Act. Bußgelder bis zu 35 Millionen Euro^[3] oder 7 Prozent des weltweiten Jahresumsatzes. Das BSI hat angekündigt, ab dem Stichtag aktiv zu prüfen. Keine Schonfrist^[8].

Besonders kritisch: DSGVO und AI Act können denselben Verstoß doppelt sanktionieren. Wer KI-Systeme mit personenbezogenen Daten betreibt, muss beide Regelwerke gleichzeitig einhalten.

Kostenblock 2: Wissensverlust, der nie in der Bilanz steht

Die Einarbeitung eines neuen^[6] Mitarbeiters kostet zwischen 30.000 und 60.000 Euro — je nach Position und Branche. Aber das ist nur der dokumentierbare Teil. Was sich nicht beziffern lässt: implizites Wissen. Erfahrungswerte. Kontextverständnis. Beziehungen zu Kunden und Lieferanten.

Der Techniker aus meinem Kundengespräch hat 30 Jahre Erfahrung. Verteilt auf Notizzettel, E-Mails und seinen Kopf. Wenn er geht, geht dieses Wissen mit. Die Personalabteilung schätzt die Einarbeitung seines Nachfolgers auf 6 bis 12 Monate und 60.000 bis 100.000 Euro. Optimistisch.

In den nächsten fünf Jahren gehen in Deutschland über vier Millionen Babyboomer in Rente. Das ist kein Einzelfall — das ist ein Muster. Ein KI-basiertes Wissensmanagementsystem hätte das Erfahrungswissen des Technikers bewahren können. DSGVO-konform, durchsuchbar, für jeden im Team zugänglich.

Kostenblock 3: Schatten-KI, der unsichtbare Risikofaktor

Laut Bitkom sind 42 Prozent der deutschen Unternehmen^[5] von Schatten-KI betroffen — Mitarbeiter nutzen KI-Tools ohne Freigabe der Geschäftsführung. Die durchschnittlichen Kosten eines Shadow-AI-Datenschutzvorfalls liegen bei 4,63 Millionen US-Dollar. Das sind 670.000 Dollar mehr als bei normalen Datenpannen.

62 Prozent der Unternehmen^[4] befinden sich in der Experimentierphase — ohne Governance, ohne klare Regeln, ohne Überblick darüber, welche Tools im Einsatz sind. Die Frage ist nicht, ob eure Mitarbeiter KI nutzen. Die Frage ist: Wisst ihr, welche Tools? Und wissen sie, was sie eingeben dürfen?

Kostenblock 4: Der Wettbewerbsnachteil, den man nicht spürt — bis es zu spät ist

Eine MIT-Studie zeigt: Durch Feedback-Lernen entstehen bei KI-Systemen hohe Wechselkosten. Hat sich ein Unternehmen auf eine Lösung eingespielt, wird ein späterer Wechsel teuer und riskant. Wer zu spät einsteigt, bleibt dauerhaft auf der falschen Seite.

77 Prozent der Unternehmen^[7], die KI nutzen, berichten von einer verbesserten Wettbewerbsposition. 51 Prozent aller Unternehmen glauben: KI-Verzicht gefährdet die Zukunft. 2026 ist das kritische Zeitfenster — der Übergang von Experimenten zum Regelbetrieb. Wer jetzt nicht den Sprung schafft, zahlt in zwei Jahren ein Vielfaches.

Die Gegenrechnung: Was DSGVO-konforme KI tatsächlich kostet

Die vier Kostenblöcke summieren sich schnell auf sechsstellige Beträge — pro Jahr, pro Unternehmen. Dagegen stehen die tatsächlichen Kosten einer DSGVO-konformen KI-Einführung:

Stufe 1 — sofort, kostenlos: KI-Richtlinie erstellen und Team-Schulung durchführen. Ein Nachmittag Aufwand. Deckt die KI-Kompetenzpflicht nach Artikel 4 des AI Act ab, die seit Februar 2025 gilt.

Stufe 2 — ab 25 Euro pro User und Monat: Mistral Teams (europäischer Anbieter, kein Cloud Act) oder Microsoft Copilot mit EU Data Boundary. DPA inklusive, Training-Opt-Out Standard.

Stufe 3 — ab 50 Euro pro User und Monat: ChatGPT Enterprise mit vollem Compliance-Paket: DPA, Training-Opt-Out, optionales EU-Hosting. Plus eigene DSFA und laufendes Monitoring.

Stufe 4 — individuell: Self-Hosting mit Open-Source-Modellen (Llama, Mistral Open) oder eine maßgeschneiderte RAG-Lösung für das eigene Firmenwissen. Volle Datensouveränität, aber IT-Kapazität erforderlich.

Für ein 50-Personen-Unternehmen liegt der Einstieg im ersten Jahr bei circa 15.000 bis 25.000 Euro — inklusive Toolkosten, Richtlinie und Schulung. Das ist weniger als ein einziger Wissensverlust-Vorfall. Und deutlich weniger als ein Bußgeldbescheid.

Die teuerste Entscheidung ist keine Entscheidung

Vier Wochen DSGVO und KI liegen hinter uns. Von Schatten-KI über die Praxis-Schritte und die fünf Mythen bis zur Kostenrechnung. Das Fazit lässt sich auf einen Satz reduzieren: Die Frage ist nicht, was DSGVO-konforme KI kostet. Die Frage ist, was es kostet, ohne sie weiterzumachen.

DSGVO-Konformität ist das Fundament. Der nächste Schritt: Wie wird euer Firmenwissen zu einer KI, die Antworten gibt — sicher, datenschutzkonform und durchsuchbar? Ab Mai zeige ich, wie RAG und Wissensmanagement funktionieren. Die Technologie, die das möglich macht.