Wenn du KI im Unternehmen einsetzen willst, musst du zwei Ebenen sauber trennen: Die DSGVO greift sofort, sobald KI-Tools personenbezogene Daten verarbeiten, und der EU AI Act ergänzt diese Pflicht mit einer risikobasierten Logik. Für KMU heißt das nicht, dass jede Automatisierung ein Rechtsproblem ist. Für KMU heißt das vor allem: vor dem Start klären, welche Daten fließen, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und wie das Tool organisatorisch eingeführt wird.
Ich erlebe in Projekten seit vielen Jahren ein wiederkehrendes Muster: Kleine Unternehmen scheitern selten an der Technik. Kleine Unternehmen scheitern an unklaren Prozessen, fehlenden Zuständigkeiten und daran, dass niemand genau sagen kann, welche Daten wohin gehen. Genau dort entsteht Unsicherheit bei DSGVO, KI im Unternehmen und Automatisierung. Dieser Beitrag ist deshalb kein juristischer Kommentar, sondern eine klare Entscheidungslogik für den Alltag in KMU.
Die wichtigste Unterscheidung lautet: Nicht jedes KI-Tool ist automatisch kritisch. Kritisch wird ein KI-Tool dann, wenn personenbezogene Daten, automatisierte Bewertungen von Menschen oder sensible Entscheidungen ins Spiel kommen.
DSGVO und KI für KMU richtig einordnen
Für viele Unternehmen wirkt die Kombination aus DSGVO und EU AI Act im ersten Moment größer, als sie im Alltag tatsächlich ist. Die DSGVO regelt die Verarbeitung personenbezogener Daten schon heute sehr konkret. Art. 6 Abs. 1 DSGVO verlangt eine passende Rechtsgrundlage für jede rechtmäßige Verarbeitung personenbezogener Daten, zum Beispiel Einwilligung, Vertragserfüllung oder rechtliche Verpflichtung Quelle: gdpr-info.eu.
Der EU AI Act kommt als zweite Ebene dazu. Die Verordnung ist am 1. August 2024 in Kraft getreten. Die Pflichten gelten aber nicht vollständig auf einen Schlag, sondern zeitlich gestaffelt, wie die EU-Kommission erklärt Quelle: digital-strategy.ec.europa.eu. Für KMU ist das wichtig, weil du nicht jedes Tool gleich behandeln musst. Der EU AI Act arbeitet mit Risikoklassen. Je näher ein System an sensiblen Entscheidungen über Menschen, Zugang, Bewertung oder Überwachung ist, desto höher ist der Prüfbedarf.
- DSGVO-Frage: Werden personenbezogene Daten verarbeitet?
- Organisationsfrage: Ist der Einsatz intern geregelt, dokumentiert und freigegeben?
- AI-Act-Frage: Gehört die Anwendung in einen Bereich mit erhöhtem Risiko oder ist sie eher unterstützend und organisatorisch beherrschbar?
Die meisten KMU nutzen KI-Tools nicht für Hochrisiko-Systeme, sondern für Marketing, Angebotsprozesse, Dokumente, interne Wissensdatenbanken oder wiederkehrende Automatisierungen. Genau deshalb braucht es keine Panik, sondern Reihenfolge.
Die erste Frage vor jedem Tool: Welche Daten fließen wirklich?
Bevor du über Datenschutztexte, Verträge oder Richtlinien nachdenkst, brauchst du ein einfaches Bild vom Datenfluss. In vielen kleinen Betrieben lautet die ehrliche Antwort am Anfang: Niemand weiß es genau. Ein Team nutzt ein Text-Tool, ein anderes Team lädt PDFs hoch, jemand verbindet das CRM mit einem Newsletter-System, und plötzlich arbeitet ein ganzer KI im MarTech-Stack, ohne dass der Inhaber eine vollständige Übersicht hat.
Ich starte deshalb fast immer mit drei simplen Fragen:
- Welche Eingaben landen im Tool? Freitext, Kundendaten, Angebotsdaten, Lebensläufe, Support-Anfragen, interne Dokumente.
- Welche Personen sind betroffen? Kunden, Interessenten, Mitarbeitende, Bewerber, Lieferanten.
- Was macht das Tool mit den Daten? Nur umformulieren, zusammenfassen, klassifizieren, priorisieren, bewerten oder Entscheidungen vorbereiten.
Diese Vorarbeit klingt banal, ist aber in der Praxis der Hebel. Wenn du den Datenfluss klar siehst, wird auch klar, ob überhaupt personenbezogene Daten verarbeitet werden, ob eine Auftragsverarbeitung vorliegt und ob ein Drittlandtransfer geprüft werden muss.
Die 7 Prüfsteine vor dem Einsatz von KI-Tools
1. Verarbeitet das KI-Tool personenbezogene Daten?
Die DSGVO ist nur dann direkt im Spiel, wenn personenbezogene Daten verarbeitet werden. Dazu gehören nicht nur Name und E-Mail-Adresse, sondern auch Kundennummern, Gesprächsnotizen, Fotos, Standortdaten, IP-Bezüge oder Kombinationen, mit denen Menschen identifizierbar werden. Wenn du Angebotsentwürfe mit Kundendaten erstellst oder Support-Mails analysierst, bist du fast immer im Datenschutzbereich.
2. Welche Rechtsgrundlage trägt die Verarbeitung?
Die zentrale Frage ist nicht, ob ein Tool modern ist. Die zentrale Frage ist, warum du die Daten verarbeiten darfst. Genau dafür brauchst du eine Rechtsgrundlage nach Art. 6 DSGVO. In KMU sind Vertragserfüllung, berechtigte Interessen oder in einzelnen Fällen eine Einwilligung typische Anknüpfungspunkte. Eine KI-Anwendung ersetzt die Rechtsgrundlage nicht. Eine KI-Anwendung braucht selbst eine tragfähige Rechtsgrundlage.
3. Ist eine Auftragsverarbeitung gegeben?
Wenn ein Anbieter Daten in deinem Auftrag verarbeitet, ist die Frage nach einem Vertrag zur Auftragsverarbeitung naheliegend. Viele SaaS- und KI-Tools fallen genau in diesen Bereich. Praktisch heißt das: Du prüfst nicht nur Funktionen und Preis, sondern auch Vertragsunterlagen, Rollenverteilung und technische Einstellungen. Für kleine Teams ist das oft der Punkt, an dem eine kurze Vorprüfung mehr spart als späteres Aufräumen.
4. Gibt es einen Drittlandtransfer?
Viele KI-Tools sitzen technisch oder organisatorisch nicht vollständig im EWR. Wenn Daten in ein Drittland fließen oder von dort aus zugänglich sind, musst du den Drittlandtransfer prüfen. Das ist kein Spezialthema für Konzerne. Das ist Alltag, sobald US-Dienste, globale Hosting-Strukturen oder externe APIs im Spiel sind. Der Einkauf eines Tools ohne Blick auf den Datenstandort ist für KMU einer der häufigsten Startfehler.
5. Liegt Profiling vor?
Profiling ist in Art. 4 Nr. 4 DSGVO als automatisierte Verarbeitung personenbezogener Daten zur Bewertung oder Vorhersage persönlicher Aspekte definiert Quelle: gdpr-info.eu. Für Marketing und CRM ist das relevant, wenn ein System Leads bewertet, Kaufwahrscheinlichkeiten schätzt, Reaktionsmuster prognostiziert oder Menschen in Segmente einordnet. Nicht jede Automatisierung ist Profiling. Aber viele scheinbar harmlose Scoring- oder Priorisierungsfunktionen liegen näher daran, als Unternehmen zunächst denken.
6. Welche Transparenzpflicht besteht?
Betroffene Personen müssen nachvollziehen können, was mit ihren Daten passiert. Für KMU bedeutet Transparenzpflicht vor allem: Datenschutzhinweise, interne Prozesse und Kommunikation müssen zur tatsächlichen Nutzung passen. Wenn du Kundendaten in automatisierten Abläufen einsetzt, sollte die Beschreibung nicht so klingen, als würde alles rein manuell laufen. Transparenz ist kein Formalismus. Transparenz reduziert Rückfragen, Misstrauen und Reibung.
7. Wer darf das Tool freigeben und wie wird der Einsatz dokumentiert?
In kleinen Unternehmen wird diese Frage oft übersehen. Dabei ist sie entscheidend. Jemand muss festlegen, welche Daten eingegeben werden dürfen, welche Daten tabu sind, welche Teams das Tool nutzen und welche Alternativen bei sensiblen Vorgängen gelten. Genau an dieser Stelle helfen ein kleiner KI-Readiness Check und eine einfache Freigabelogik deutlich mehr als zehn ungenutzte Richtliniendokumente.
Typische KMU-Anwendungen im Vergleich
Die folgende Übersicht nutze ich in ähnlicher Form oft als Startpunkt, wenn wir in der strategischen Beratung Anwendungen priorisieren. Die Übersicht ersetzt keine Einzelfallprüfung, zeigt aber schnell, wo organisatorische Sorgfalt genügt und wo vertiefte Prüfung nötig ist.
| Anwendung im KMU | Personenbezogene Daten wahrscheinlich? | AV-Vertrag prüfen? | Transparenzpflicht relevant? | AI-Act-Risiko grob | Praxis-Hinweis |
|---|---|---|---|---|---|
| Marketingtexte aus anonymisierten Produktinfos | Eher nein | Je nach Tool | Niedrig | Eher gering | Guter Einstieg, wenn keine Kundendaten eingegeben werden. |
| CRM-Lead-Scoring und Segmentierung | Ja | Ja, oft relevant | Hoch | Mittlerer Prüfbedarf | Profiling-Frage und Rechtsgrundlage sauber prüfen. |
| Angebotserstellung mit Kundenstammdaten | Ja | Ja, häufig relevant | Mittel | Eher gering bis mittel | Sauber machbar, wenn Datenfluss, Rollen und Tool-Einstellungen klar sind. |
| Zusammenfassung von Verträgen oder PDFs | Oft ja | Ja | Mittel | Eher gering bis mittel | Vor allem bei sensiblen Inhalten klare Upload-Regeln definieren. |
| Interne Wissensdatenbank mit Mitarbeiter- oder Kundendaten | Ja | Ja | Mittel bis hoch | Mittlerer Prüfbedarf | Zugriffsrechte, Datenquellen und Löschlogik vorab festlegen. |
| Bewerber-Vorselektion oder automatische Eignungsbewertung | Ja | Ja | Hoch | Hoher Prüfbedarf | Hier solltest du sehr vorsichtig sein und vertieft prüfen lassen. |
Gerade bei Angebots- und Dokumentenprozessen sehe ich viel Potenzial für kleine Teams. Wenn du wissen willst, wie so ein pragmatischer Einstieg aussehen kann, findest du in meinem Beitrag zur KI-gestützten Angebotserstellung ein typisches KMU-Szenario mit klarem Zeitgewinn.
Wann reicht saubere Organisation und wann brauchst du tiefere Prüfung?
Nicht jede KI-Einführung braucht sofort ein großes Governance-Projekt. Für viele KMU reicht am Anfang eine saubere organisatorische Einführung. Entscheidend ist die Risikologik.
Eher geringes Risiko
- Texte, Ideen oder Strukturvorschläge auf Basis bereinigter oder öffentlicher Informationen
- Interne Entwürfe ohne Kundenbezug
- Automatisierung kleiner Routineaufgaben ohne Personenbewertung
Mittlerer Prüfbedarf
- CRM-Prozesse mit Segmentierung, Priorisierung oder Vorhersagen
- Automatisierte Dokumentenverarbeitung mit Kunden- oder Mitarbeiterdaten
- Interne Wissensdatenbanken, in denen personenbezogene Daten mitlaufen
Hoher Prüfbedarf
- Systeme, die Menschen bewerten, ranken oder aussortieren
- KI-gestützte Entscheidungen mit spürbaren Folgen für Bewerber, Mitarbeitende oder Kunden
- Anwendungen in besonders sensiblen Prozessen mit hohem Reputations- und Haftungsrisiko
Mein pragmatischer Maßstab lautet: Je stärker ein KI-Tool Menschen beurteilt oder Entscheidungen über Menschen vorbereitet, desto weniger ist das ein reines Software-Thema und desto mehr ist es eine Führungs- und Verantwortungsfrage.
Genau deshalb beginne ich mit KMU selten bei der Tool-Liste. Ich beginne bei Ziel, Prozess und Verantwortlichkeit. Erst danach macht die Auswahl eines Tools Sinn. Wenn du KI nur auf ungeklärte Abläufe legst, automatisierst du am Ende vor allem Chaos. Wenn du zuerst Struktur schaffst, werden KI- und Digitalisierungslösungen zu einem echten Entlastungsfaktor.
Meine kompakte Freigabe-Checkliste für Inhaber und kleine Teams
Wenn du intern schnell entscheiden musst, ob ein Tool freigegeben werden kann, nutze diese Reihenfolge. Die Liste ist bewusst kurz gehalten und in kleinen Unternehmen sofort einsetzbar.
- 1. Zweck klar benennen: Welches Problem löst das Tool konkret?
- 2. Datenarten erfassen: Werden personenbezogene Daten eingegeben oder erzeugt?
- 3. Betroffene Gruppen benennen: Kunden, Interessenten, Mitarbeitende, Bewerber, Partner.
- 4. Rechtsgrundlage festhalten: Warum ist diese Verarbeitung zulässig?
- 5. Anbieterrolle prüfen: Liegt Auftragsverarbeitung vor?
- 6. Datenstandort prüfen: Gibt es einen Drittlandtransfer?
- 7. Funktionslogik prüfen: Bewertet oder prognostiziert das Tool Menschen? Dann Profiling-Frage klären.
- 8. Transparenz anpassen: Datenschutzhinweise und interne Kommunikation auf den realen Einsatz abstimmen.
- 9. Nutzungsregeln festlegen: Welche Daten sind erlaubt, welche verboten, wer darf freigeben?
- 10. Entscheidung dokumentieren: Tool, Zweck, Risiko, Freigabe, Verantwortliche Person, nächster Review-Termin.
Wenn bei drei oder mehr Punkten Unklarheit bleibt, ist das kein Zeichen von Versagen. Das ist ein Zeichen, dass zuerst ein kleiner Pilot oder eine strukturierte Vorprüfung sinnvoll ist. Genau so lassen sich Budget, Risiko und interner Aufwand für KMU klein halten.
Fragen? Antworten!
Gilt die DSGVO auch dann, wenn ich ein KI-Tool nur intern nutze?
Ja, sobald das KI-Tool intern personenbezogene Daten verarbeitet, gilt die DSGVO unabhängig davon, ob der Einsatz extern sichtbar ist. Für dich heißt das: Auch interne Effizienztools brauchen eine klare Prüfung von Datenarten, Rechtsgrundlage und Freigabe.
Brauche ich für jedes KI-Tool automatisch einen Vertrag zur Auftragsverarbeitung?
Nein, aber die Frage muss bei jedem Tool aktiv geprüft werden. Wenn ein Anbieter Daten in deinem Auftrag verarbeitet, ist Auftragsverarbeitung sehr wahrscheinlich relevant, und genau diese Prüfung schützt dich vor späteren Vertrags- und Datenschutzproblemen.
Ist jeder automatisierte Marketingprozess schon Profiling?
Nein, nicht jede Automatisierung ist automatisch Profiling. Relevant wird Profiling dann, wenn personenbezogene Daten automatisiert genutzt werden, um Verhalten, Interessen oder Wahrscheinlichkeiten von Personen zu bewerten oder vorherzusagen.
Was ist für KMU beim Drittlandtransfer der häufigste Fehler?
Der häufigste Fehler ist, den Datenstandort erst nach dem Einkauf eines Tools anzuschauen. Wenn du Drittlandtransfer früh prüfst, vermeidest du unnötige Wechselkosten, Datenschutzlücken und interne Unsicherheit.
Muss ich Kunden oder Mitarbeitende informieren, wenn ich KI in Prozessen nutze?
Wenn personenbezogene Daten verarbeitet werden, ist die Transparenzpflicht regelmäßig ein Thema. Für kleine Unternehmen ist das praktisch lösbar, wenn Datenschutzhinweise und interne Regeln den tatsächlichen Prozess ehrlich und verständlich abbilden.
Trifft der EU AI Act kleine Unternehmen überhaupt?
Ja, der EU AI Act kann auch KMU betreffen, aber nicht jede Nutzung gleich stark. Für viele KMU ist die wichtigste Frage zuerst nicht die große Regulierung, sondern die saubere Einordnung der Risikoklassen und des konkreten Anwendungsfalls.
Darf ich Kundendaten in generative KI-Tools eingeben?
Das lässt sich nicht pauschal mit Ja oder Nein beantworten. Du musst prüfen, ob personenbezogene Daten nötig sind, welche Rechtsgrundlage vorliegt, wie der Anbieter die Daten verarbeitet und ob interne Regeln den Einsatz begrenzen.
Wie starte ich mit KI im Unternehmen, ohne gleich eine Großbaustelle zu eröffnen?
Starte mit einem kleinen, klar abgegrenzten Prozess ohne sensible Daten und mit messbarem Nutzen. Genau dieser Weg schafft im KMU Vertrauen, reduziert Fehler und macht den späteren Ausbau deutlich einfacher.
Mein Fazit
DSGVO und KI für KMU sind vor allem eine Frage der Klarheit. Die Technik ist meist nicht das eigentliche Problem. Das eigentliche Problem sind unklare Datenflüsse, fehlende Verantwortlichkeiten und zu schnelle Tool-Entscheidungen. Wenn du zuerst Zweck, Daten, Rollen und Risiko ordnest, wird aus Unsicherheit eine saubere Entscheidungsbasis.
Ich bin überzeugt: Kleine Unternehmen müssen bei KI nicht hinterherlaufen und auch nicht alles blockieren. Kleine Unternehmen brauchen eine verantwortbare Form von Digitalisierung, die Zeit spart, Menschen respektiert und Prozesse wirklich verbessert. Genau dort entsteht aus Technologie ein sinnvoller Fortschritt statt nur mehr Komplexität.
