← Alle Artikel
·7 Min. Lesezeit

DSGVO & KI-Automatisierung: Der Compliance-Leitfaden für KMU

Welche DSGVO-Regeln gelten, wenn KMU KI-Automatisierung einsetzen? Dieser Leitfaden erklärt die wichtigsten Anforderungen praxisnah – ohne Juristendeutsch.

„Dürfen wir das eigentlich?" Diese Frage stellen viele Mittelständler, wenn sie über KI-Automatisierung nachdenken. Die gute Nachricht: In den meisten Fällen ja – wenn man ein paar grundlegende Regeln beachtet.

Dieser Leitfaden erklärt die wichtigsten DSGVO-Anforderungen für den KI-Einsatz im Unternehmen – ohne Juristendeutsch, mit konkreten Handlungsempfehlungen.

Inhaltsverzeichnis

Was die DSGVO zum KI-Einsatz sagt

Die DSGVO unterscheidet nicht zwischen "KI" und anderen Arten der Datenverarbeitung. Was zählt: Werden personenbezogene Daten verarbeitet? Wenn ja, gelten die DSGVO-Grundsätze – unabhängig davon, ob ein Mensch oder eine KI die Daten verarbeitet.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen: Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen, Verhaltensprofile, auch geschäftliche Kontaktdaten.

Das bedeutet: Ein KI-Chatbot, der Kundennamen erfasst, ein Lead-Scoring-System, das Nutzerverhalten analysiert, oder ein Sprachassistent, der Anrufe aufzeichnet – all das unterliegt der DSGVO.

Die 6 wichtigsten DSGVO-Anforderungen für KI

1. Rechtmäßigkeit der Verarbeitung

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Für KI-Anwendungen im B2B-Bereich sind die häufigsten:

  • Einwilligung (Art. 6 Abs. 1 lit. a): Nutzer stimmt aktiv zu. Für Chatbots, die Kontaktdaten speichern.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Daten nötig für die Vertragsabwicklung. Für Auftragsverarbeitung, CRM-Nutzung.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Unternehmen hat legitimes Interesse, das die Rechte der Betroffenen überwiegt. Für B2B-Lead-Tracking.

2. Transparenzpflicht

Nutzer müssen wissen, dass ihre Daten verarbeitet werden, und zwar bevor das passiert. Das heißt konkret:

  • Datenschutzerklärung aktuell und vollständig
  • Chatbots müssen sich als automatisiertes System identifizieren
  • Sprachaufzeichnungen erfordern einen ausdrücklichen Hinweis zu Beginn des Anrufs

3. Zweckbindung

Daten, die für einen Zweck gesammelt wurden, dürfen nicht für andere Zwecke genutzt werden. Wer Daten für Auftragsabwicklung sammelt, darf sie nicht ohne weiteres für Marketingzwecke nutzen.

4. Datensparsamkeit

KI-Systeme sollen nur die Daten erfassen, die wirklich notwendig sind. Ein Chatbot für Terminbuchungen braucht keine Gesundheitsdaten oder den vollständigen Personalausweis.

5. Auftragsverarbeitungsvertrag (AVV)

Wenn ein externer Dienstleister (Chatbot-Anbieter, CRM-Software, KI-Tool) personenbezogene Daten im Auftrag verarbeitet, ist ein schriftlicher AVV Pflicht. Fast alle seriösen Anbieter stellen diesen auf Anfrage zur Verfügung.

6. Keine automatisierten Einzelentscheidungen ohne Kontrolle

Art. 22 DSGVO verbietet vollständig automatisierte Entscheidungen, die erhebliche rechtliche Auswirkungen auf Personen haben, ohne dass ein Mensch involviert ist. Für die meisten KI-Automatisierungen im KMU-Bereich (Chatbots, Lead Scoring, Rechnungsverarbeitung) ist das kein Problem, da keine rechtlich relevanten Entscheidungen getroffen werden.

Checkliste: DSGVO-konformer KI-Einsatz

  • [ ] Rechtsgrundlage für jede Datenverarbeitung dokumentiert
  • [ ] Datenschutzerklärung um KI-Anwendungen ergänzt
  • [ ] AVV mit allen KI-Tool-Anbietern abgeschlossen
  • [ ] Verarbeitungsverzeichnis aktualisiert (Pflicht ab 250 Mitarbeitern, empfohlen für alle)
  • [ ] Datenflüsse dokumentiert: Wer greift auf welche Daten zu?
  • [ ] Serverstandorte geprüft: EU oder angemessenes Schutzniveau?
  • [ ] Mitarbeiter geschult: Wer darf KI-Tools wie einsetzen?
  • [ ] Löschkonzept definiert: Wann werden Daten gelöscht?
  • [ ] Einwilligungen für Chatbots und Tracking eingeholt
  • [ ] Datenschutz-Folgenabschätzung (DSFA) für risikoreiche KI-Anwendungen

Häufige Fallstricke

US-Cloud ohne Rechtsgrundlage: Viele KI-Tools (ChatGPT API, Salesforce, HubSpot) haben Server in den USA. Seit dem Schrems-II-Urteil sind reine US-Cloud-Dienste ohne Standardvertragsklauseln (SCC) problematisch. Prüfe immer: Gibt es EU-Server? Sind SCCs oder Angemessenheitsbeschlüsse vorhanden?

Chatbot-Tracking ohne Einwilligung: Wenn ein Chatbot Nutzerverhalten trackt (welche Fragen wurden gestellt, welche Seiten danach besucht), ist das Tracking nach TTDSG einwilligungspflichtig – wie für Cookies.

Aufzeichnung von Telefonaten: KI-Sprachassistenten zeichnen Gespräche oft auf oder analysieren sie in Echtzeit. Das erfordert einen expliziten Hinweis am Gesprächsbeginn – "Dieses Gespräch wird aufgezeichnet."

Fehlende Einwilligung für E-Mail-Automatisierung: Automatisierte E-Mails an Leads erfordern im B2C-Bereich immer eine ausdrückliche Einwilligung (Double-Opt-In). Im B2B-Bereich gibt es mehr Spielraum, aber das Thema sollte rechtlich geprüft werden.

EU AI Act: Was Unternehmen wissen müssen

Der EU AI Act (in Kraft seit 2024, schrittweise Anwendung bis 2026) klassifiziert KI-Systeme nach Risiko. Für die meisten KMU-Anwendungen gilt:

Minimales oder kein Risiko (keine besonderen Pflichten):

  • Chatbots zur Kundenbetreuung
  • Spam-Filter
  • KI-gestützte Textgenerierung
  • Automatisierte Rechnungsverarbeitung

Hohes Risiko (strenge Anforderungen):

  • KI in der Personalauswahl
  • KI-gestützte Kreditentscheidungen
  • KI in kritischen Infrastrukturen

Für die meisten KI-Automatisierungen im Vertrieb, Kundenservice und Backoffice besteht kein hohes Risiko und damit kein erhöhter Aufwand durch den AI Act.

FAQ

Brauchen wir einen Datenschutzbeauftragten für KI-Einsatz?

Ein Datenschutzbeauftragter (DSB) ist gesetzlich vorgeschrieben für Unternehmen, die als Kernaufgabe systematisch personenbezogene Daten verarbeiten oder ab 20 Mitarbeitern, die regelmäßig mit Daten arbeiten. Wenn ihr KI zur Kundeninteraktion einsetzt, ist ein externer DSB empfehlenswert.

Darf ich Kundengespräche mit KI aufzeichnen und analysieren?

Ja, wenn du die Kunden vorher informierst und die Aufzeichnung einer legitimen Rechtsgrundlage hat (z.B. Qualitätssicherung mit Einwilligung, Vertragserfüllung bei zuvor vereinbarter Aufzeichnung).

Ist der Einsatz von ChatGPT in unserem Unternehmen DSGVO-konform?

ChatGPT (OpenAI) hat Server in den USA. OpenAI bietet Standardvertragsklauseln an und eine Business-Option mit verbessertem Datenschutz. Wichtig: Keine personenbezogenen Kundendaten direkt in öffentliche ChatGPT-Chats eingeben. Für die API gelten strengere Vertragsbedingungen.

Müssen wir Kunden informieren, dass ein KI-Chatbot und kein Mensch antwortet?

Laut DSGVO und dem Transparency-Prinzip sollte ein Chatbot erkennbar als automatisiertes System gekennzeichnet sein. Explizit vorgeschrieben ist das im Telemediengesetz für Telefonbots (Ansage am Anfang).

Wie hoch sind Bußgelder bei DSGVO-Verstößen?

Bis zu 4% des weltweiten Jahresumsatzes oder 20 Mio. €, je nachdem was höher ist. In der Praxis verhängen deutsche Aufsichtsbehörden für KMU bei erstmaligen, nicht schwerwiegenden Verstößen in der Regel keine Höchststrafen – aber das Risiko ist real.

Bereit, KI in Ihrem Unternehmen einzusetzen?

Starten Sie mit einem kostenlosen 15-minütigen Erstgespräch.

Kostenloses Gespräch buchen