KI-Automatisierung & DSGVO – worauf du achten musst
„Dürfen wir da überhaupt unsere Kundendaten reinfüttern?“ — eine Frage, die bei KI-Projekten früh kommt und absolut berechtigt ist. Die gute Nachricht: KI-Automatisierung und DSGVO schließen sich nicht aus. Man muss nur ein paar Dinge von Anfang an richtig aufsetzen. Ich zeige dir die wichtigsten Punkte — verständlich, aus der Praxis.
01Warum DSGVO bei KI besonders zählt
Bei einer Automatisierung fließen oft personenbezogene Daten — Namen, Mailadressen, Vertragsdetails. Sobald ein KI-System diese verarbeitet, greift die DSGVO genauso wie bei jeder anderen Software. Der Unterschied: Bei KI ist für Außenstehende oft weniger klar, was mit den Daten passiert. Genau deshalb lohnt es sich, das sauber zu regeln — für die Rechtssicherheit und für das Vertrauen deiner Kunden.
Der gute Ansatz ist, Datenschutz nicht als lästige Hürde am Ende zu sehen, sondern von Anfang an mitzudenken. „Privacy by Design“ nennt sich das im Fachjargon: Wenn eine Automatisierung von vornherein datensparsam und transparent gebaut ist, lösen sich die meisten DSGVO-Fragen fast von selbst. Teuer und stressig wird es nur, wenn man erst baut und hinterher fragt, ob man das eigentlich durfte.
Und noch etwas: Datenschutz ist längst ein Vertrauensthema geworden. Kunden fragen heute selbstverständlich, was mit ihren Daten passiert. Wer hier eine klare, saubere Antwort geben kann, verschafft sich einen echten Vorteil — besonders im B2B, wo der eigene Datenschutz Teil der Lieferantenprüfung ist.
021 · Auftragsverarbeitung (AVV)
Sobald ein externer Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet — etwa der KI-Anbieter im Hintergrund —, brauchst du einen Auftragsverarbeitungsvertrag (AVV). Der regelt, wer was mit den Daten darf und dass sie nur für deinen Zweck genutzt werden.
In der Praxis achte ich darauf, Anbieter zu wählen, die einen sauberen AVV anbieten und deine Daten nicht zum Training ihrer Modelle verwenden. Das ist ein entscheidender Punkt: Geschäftskunden-Angebote seriöser KI-Anbieter schließen Training mit deinen Inhalten in der Regel aus — anders als kostenlose Consumer-Tools.
Das ist einer der wichtigsten Unterschiede überhaupt, deshalb noch einmal deutlich: Wenn du eine kostenlose KI-App im Browser mit Kundendaten fütterst, weißt du oft nicht, was mit diesen Daten geschieht — im Zweifel fließen sie ins Training. In einem professionellen Setup mit AVV ist das vertraglich ausgeschlossen. Für Firmendaten führt an einer solchen Business-Vereinbarung kein Weg vorbei.
In der Praxis prüfe ich vor jedem Projekt: Gibt es einen AVV? Was steht zu Löschung und Speicherdauer drin? Werden Subunternehmer offengelegt? Diese Fragen klingen bürokratisch, sind aber schnell beantwortet, wenn man weiß, wonach man sucht — und sie ersparen dir später viel Ärger.
032 · Wo deine Daten verarbeitet werden
Die Frage „Wo läuft das eigentlich?“ ist zentral. Werden Daten in ein Drittland — etwa in die USA — übertragen, braucht es zusätzliche Garantien. Einfacher und für viele Mittelständler beruhigender ist die Verarbeitung in der EU.
Deshalb setze ich, wo möglich, auf eine EU-Verarbeitung und darauf, dass Daten in deinen eigenen Systemen bleiben. Der Agent liest über kontrollierte Schnittstellen nur das, was er für die Aufgabe braucht — es entsteht keine zweite, unkontrollierte Datensammlung irgendwo im Netz.
Warum ist die EU-Frage so wichtig? Weil bei einer Übermittlung in Drittländer zusätzliche Prüfungen und Vertragsklauseln nötig werden, um ein gleichwertiges Schutzniveau sicherzustellen. Das ist machbar, aber aufwändiger und für viele Mittelständler unnötig kompliziert. Wer von vornherein auf eine EU-Verarbeitung setzt, spart sich diesen Umweg.
Mir ist dabei ein Punkt wichtig, den ich immer transparent mache: Auch meine eigene Website oder einzelne Werkzeuge können auf Anbietern außerhalb der EU laufen. Deshalb trenne ich sauber zwischen dem, was öffentlich unkritisch ist, und deinen sensiblen Kundendaten — letztere gehören in eine EU-Verarbeitung, und genau so setze ich es auf.
Ein häufiges Missverständnis will ich dabei ausräumen: „EU-Verarbeitung“ heißt nicht, dass du auf die besten KI-Modelle verzichten musst. Seriöse Anbieter stellen ihre Modelle inzwischen auch mit Verarbeitung innerhalb der EU bereit. Du bekommst also beides — starke Technik und einen kurzen, sauberen Datenweg. Man muss es nur bewusst so auswählen, statt zum nächstbesten kostenlosen Dienst zu greifen.
043 · Nur so viel Daten wie nötig
Ein Grundprinzip der DSGVO ist Datensparsamkeit: nur so viele Daten verarbeiten, wie die Aufgabe wirklich erfordert. Das passt perfekt zu sauber gebauter Automatisierung.
Konkret heißt das: Der Agent bekommt nicht Zugriff auf die gesamte Kundendatenbank, sondern nur auf die Felder, die er für seinen Job braucht. Muss er ein Angebot schreiben, sieht er Name und Projektdaten — aber nicht die komplette Zahlungshistorie. Weniger Datenzugriff bedeutet weniger Risiko und eine einfachere rechtliche Bewertung.
Dieses Prinzip ist einer der schönsten Glücksfälle bei sauber gebauter Automatisierung: Was rechtlich klug ist, ist auch technisch klug. Ein Agent, der nur die nötigen Felder sieht, ist nicht nur DSGVO-freundlicher, sondern auch fokussierter und weniger fehleranfällig. Datensparsamkeit und gute Technik ziehen am selben Strang.
Praktisch bedeutet das: Wir definieren zu Beginn genau, welche Datenfelder der Agent für seine Aufgabe wirklich braucht — und alles andere bleibt außen vor. Diese kurze Übung am Anfang spart später viel Diskussion und macht die Lösung von sich aus schlank und prüfbar.
054 · Transparenz und menschliche Kontrolle
Die DSGVO räumt Menschen das Recht ein, nicht ausschließlich einer automatisierten Entscheidung mit erheblicher Wirkung unterworfen zu werden. Für die meisten Büro-Automatisierungen (Angebote vorbereiten, Mails sortieren) ist das unkritisch — trotzdem ist es guter Stil und gute Absicherung, den Menschen an den wichtigen Stellen im Boot zu halten.
Deshalb baue ich Automatisierungen so, dass wichtige Schritte eine menschliche Freigabe haben und nachvollziehbar bleibt, was passiert ist. Das schafft Transparenz — gegenüber Behörden, aber vor allem gegenüber deinen Kunden.
Konkret heißt das zum Beispiel: Der Agent bereitet die Antwort auf eine Reklamation vor, aber ein Mensch liest sie und gibt sie frei, bevor sie rausgeht. Oder er schlägt eine Einstufung vor, die letzte Entscheidung trifft aber eine Sachbearbeiterin. So bleibt immer ein Mensch verantwortlich — und du kannst jederzeit nachvollziehen und belegen, wie eine Entscheidung zustande kam.
06Deine Kurz-Checkliste
Wenn du ein KI-Projekt startest, hak diese Punkte ab:
- AVV mit dem KI-/Automatisierungsdienstleister vorhanden?
- Werden meine Daten nicht zum Training genutzt?
- Verarbeitung in der EU oder mit ausreichenden Garantien?
- Bekommt der Agent nur die nötigen Daten (Datensparsamkeit)?
- Sind wichtige Entscheidungen mit menschlicher Freigabe abgesichert?
- Ist das Verarbeitungsverzeichnis aktualisiert?
Klingt nach viel — ist aber in der Praxis schnell geregelt, wenn man es von Anfang an mitdenkt. Genau das mache ich in jedem Projekt.
Du musst diese Liste übrigens nicht allein abarbeiten. In der Regel binde ich deinen Datenschutzbeauftragten oder deine IT früh ein, damit die Punkte gemeinsam abgehakt werden. So entsteht am Ende nicht nur eine funktionierende Automatisierung, sondern auch die Dokumentation, die du im Ernstfall vorlegen kannst — ohne dass hinterher jemand nachträglich alles rekonstruieren muss.
07Häufige Fragen
Darf ich ChatGPT oder Claude für Firmendaten nutzen?
Mit den Geschäftskunden-Angeboten der Anbieter in der Regel ja — sie bieten AVV und schließen Training mit deinen Daten aus. Von kostenlosen Consumer-Varianten für sensible Firmendaten rate ich ab.
Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?
Das hängt vom Risiko der Verarbeitung ab. Bei vielen einfachen Büro-Automatisierungen ist sie nicht nötig, bei umfangreicher Verarbeitung sensibler Daten schon. Im Zweifel mit dem Datenschutzbeauftragten klären.
Reicht ein AVV allein aus?
Der AVV ist die Grundlage, aber nicht alles. Dazu kommen EU-Verarbeitung beziehungsweise Garantien, Datensparsamkeit, Transparenz und ein aktuelles Verarbeitungsverzeichnis. Zusammen ergibt das ein sauberes Setup.
Was ist mit US-Anbietern?
Nutzbar, aber nur mit den passenden rechtlichen Garantien für den Datentransfer. Wo es geht, wähle ich eine EU-Verarbeitung — das ist einfacher und schafft mehr Vertrauen.
Welcher Ablauf lohnt sich bei dir zuerst?
Lass uns 30 Minuten unverbindlich sprechen — wir schauen auf einen konkreten Prozess und ob sich Automatisierung rechnet.
Erstgespräch anfragen