Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Top Themen in der KI-Compliance:
Cortina Consult
KI-Tools DSGVO-konform
KI-Compliance

KI-Tools 2026 DSGVO-konform nutzen

Warum „Einfach mal ausprobieren“ im Jahr 2026 ein echtes Bußgeldrisiko ist — und wie KMU künstliche Intelligenz rechtssicher in den Alltag integrieren.

KI-Beauftragten anfragen
KI-Tools: Kostenlose Compliance-Checkliste
Digitale Illustration zeigt ein zentrales Kristallsymbol, umgeben von Pfeilen, Datenpfaden und Textfeldern als Darstellung von KI-Datenverarbeitung

Das DSGVO-Dilemma der künstlichen Intelligenz

Seit dem Inkrafttreten des EU AI Act richtet sich der Blick vieler Compliance-Teams auf die neue KI-Verordnung. Das ist verständlich — aber es greift zu kurz. Denn wer KI-Tools im Unternehmensalltag einsetzt, operiert nicht in einem rechtsfreien Raum zwischen altem und neuem Recht. Die DSGVO war schon immer da. Und sie greift bei nahezu jeder KI-Anwendung, die personenbezogene Daten berührt.

Das betrifft nicht nur den Konzern mit einer eigenen KI-Abteilung. Es betrifft das Ingenieurbüro mit 18 Mitarbeitern, das ChatGPT für Angebotsentwürfe nutzt. Es betrifft die Marketingagentur, die Kundendaten in ein KI-Tool füttert, um automatisierte Newsletter zu generieren. Und es betrifft die HR-Abteilung, die Bewerber-Lebensläufe von einem Sprachmodell vorselektieren lässt.

Die entscheidende Frage ist nicht: „Dürfen wir KI nutzen?“ — sondern: „Haben wir den rechtlichen Rahmen dafür sauber aufgesetzt?“ Wer diese Frage im Jahr 2026 noch nicht gestellt hat, läuft in ein strukturelles Haftungsrisiko, das schnell existenzbedrohend werden kann.

Dieser Artikel zeigt Ihnen, wo die größten operativen Hebel liegen — und was Sie konkret tun müssen, damit KI in Ihrem Unternehmen nicht zum Compliance-Problem wird.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Die AV-Vertragsfalle: Warum Gratis-Tools ein No-Go sind

Der Einstieg in KI beginnt in den meisten Unternehmen mit einem kostenlosen Account. Schnell ausprobiert, sofort nützlich — und datenschutzrechtlich oft ein erhebliches Problem.

Das Kleingedruckte der „Free“-Modelle

Wer ein kostenloses KI-Tool nutzt, zahlt häufig mit etwas anderem: seinen Eingaben. Viele Anbieter behalten sich in ihren Nutzungsbedingungen das Recht vor, Prompts zum Training ihrer Modelle zu verwenden — sofern der Nutzer nicht aktiv widerspricht oder ein kostenpflichtiges Business-Abonnement abschließt. Für rein private Nutzung mag das akzeptabel sein. Im unternehmerischen Kontext bedeutet es: Kundendaten, Vertragsdetails oder Mitarbeiterinformationen, die in einem solchen Prompt auftauchen, können in ein Trainingsdataset fließen, über das Sie keinerlei Kontrolle haben.

Achtung: Bereits das unbeabsichtigte Eingeben eines Namens, einer E-Mail-Adresse oder eines Bewerber-Lebenslaufs in ein kostenloses KI-Tool kann eine meldepflichtige Datenpanne nach Art. 33 DSGVO auslösen.

Der Enterprise-Weg: Zero Data Retention und der AVV

Der Ausweg ist klar, aber er kostet: Wer KI professionell und DSGVO-konform einsetzen will, braucht ein Business- oder Enterprise-Abonnement mit vertraglicher Grundlage. Konkret bedeutet das zwei Dinge:

  • Zero Data Retention: Der Anbieter speichert Ihre Eingaben nicht für eigene Trainingszwecke. Diese Zusicherung muss vertraglich verankert sein.
  • Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO: Sobald Sie personenbezogene Daten in ein KI-Tool übermitteln, werden Sie zum Verantwortlichen und der Anbieter zum Auftragsverarbeiter. Ein AVV ist dann keine Kann-Option — er ist gesetzlich vorgeschrieben.

Die gute Nachricht: Seriöse Anbieter wie OpenAI (ChatGPT Enterprise/API), Microsoft (Azure OpenAI) und Google (Vertex AI) stellen AVVs bereit. Aber Sie müssen sie aktiv einfordern und abschließen — der Anbieter kommt nicht automatisch auf Sie zu.

Der Drittlandtransfer 2026: Was beim Einsatz von US-Anbietern gilt

Nahezu alle führenden KI-Modelle stammen aus den USA. Das Data Privacy Framework (DPF) erleichtert seit 2023 den transatlantischen Datentransfer — aber es löst nicht alle Probleme. Prüfen Sie vor dem Einsatz eines US-Anbieters drei Dinge: Ist der Anbieter aktuell unter dem DPF zertifiziert? Existiert ein AVV? Und: Kann der Anbieter garantieren, dass die Verarbeitung auf Servern innerhalb des DPF-Rahmens stattfindet? Fehlt einer dieser Punkte, ist der Transfer ohne ergänzende Maßnahmen (z. B. Standardvertragsklauseln) rechtswidrig.

Die Datenschutz-Folgenabschätzung: Wann wird es ernst?

Viele KMU-Geschäftsführer assoziieren die Datenschutz-Folgenabschätzung (DSFA) mit Großkonzernen und komplexen Dateninfrastrukturen. Das ist ein Irrtum, der teuer werden kann.

Die „Neue Technologie“-Klausel

Art. 35 Abs. 1 DSGVO schreibt eine DSFA vor, wenn eine Verarbeitung „insbesondere bei Verwendung neuer Technologien“ voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. KI-Anwendungen erfüllen dieses Kriterium fast immer — durch ihre Opazität, die Möglichkeit zur Profilerstellung und die häufig automatisierte Entscheidungsfindung. Die Aufsichtsbehörden in Deutschland haben KI-basierte Verarbeitungen explizit auf ihre Positivlisten für DSFA-pflichtige Prozesse gesetzt.

KMU-Praxisbeispiele auf dem Prüfstand

KI im HR — Lebenslauf-Screening: Sie nutzen ein KI-Tool, das eingehende Bewerbungen vorselektiert und ranklistet. Das ist eine automatisierte Entscheidung, die erhebliche Auswirkungen auf Bewerber hat. DSFA-Pflicht? Mit hoher Wahrscheinlichkeit ja. Dazu kommen besondere Anforderungen aus Art. 22 DSGVO: Bewerber haben ein Recht darauf, nicht ausschließlich auf Basis automatisierter Verarbeitung beurteilt zu werden.

KI im Vertrieb/Marketing — Kundenprofiling: Ihr CRM-System nutzt KI, um Kaufwahrscheinlichkeiten zu berechnen und automatisierte E-Mail-Sequenzen auszulösen. Auch hier liegt ein hohes Risikopotenzial vor: systematisches Profiling, automatisierte Entscheidungen, große Datenmenge. DSFA-Pflicht? Sehr wahrscheinlich.

Der Quick-Guide zur KI-DSFA: In 4 Schritten

  1. Systematische Beschreibung der Verarbeitung: Welche Daten werden verarbeitet? Durch wen? Zu welchem Zweck? Welches KI-System kommt zum Einsatz?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Gibt es einen weniger eingriffsintensiven Weg zum gleichen Zweck?
  3. Risikobewertung: Welche Risiken entstehen für die betroffenen Personen? Wie wahrscheinlich und wie schwerwiegend sind sie?
  4. Maßnahmenplanung und Dokumentation: Welche technischen und organisatorischen Maßnahmen (TOMs) minimieren die identifizierten Risiken? Und: Alles schriftlich festhalten — die Aufsichtsbehörde kann die DSFA anfordern.

Infografik zu DSGVO-Anforderungen für KI-Agenten mit Symbolen für Transparenz, Rechtsgrundlage und Datenschutz-Folgenabschätzung

Datenpflege im KI-Zeitalter: VVT und das ungelöste Löschproblem

Das Verzeichnis von Verarbeitungstätigkeiten

Das VVT ist die Visitenkarte Ihres Datenschutzes gegenüber der Aufsichtsbehörde. Wer KI-Tools einsetzt und diese nicht im VVT dokumentiert hat, riskiert nicht nur eine Rüge — es fehlt schlicht die Grundlage für jeden weiteren Compliance-Nachweis. Für jeden KI-Einsatz gehört ins VVT: der konkrete Zweck, die betroffenen Datenkategorien, der Anbieter als Auftragsverarbeiter (mit Verweis auf den AVV) und die Rechtsgrundlage der Verarbeitung.

Das Recht auf Vergessenwerden — und warum KI hier an Grenzen stößt

Art. 17 DSGVO gibt betroffenen Personen das Recht, ihre Daten löschen zu lassen. Bei klassischen Datenbanken ist das handhabbar. Bei einem trainierten KI-Modell ist es ein strukturelles Problem: Wurde ein Modell mit personenbezogenen Daten trainiert, lassen sich diese im Nachhinein nicht „herauslöschen“. Das Modell hat die Informationen in seine Gewichte integriert.

Moderne Architekturen wie Retrieval Augmented Generation (RAG) bieten hier einen technisch eleganten Ausweg: Statt Daten direkt ins Modell zu trainieren, verbleibt das Wissen in einer externen, durchsuchbaren Wissensdatenbank. Das Modell greift nur zur Laufzeit darauf zu. Wird ein Datensatz gelöscht, ist er auch für das KI-System nicht mehr verfügbar. Für Unternehmen, die eigene KI-Lösungen planen, ist RAG aus Datenschutzsicht heute die empfehlenswerte Standardarchitektur.

KI-Projekte im Alltag: Die interne KI-Richtlinie als Schutzschild

Technische und vertragliche Maßnahmen reichen nicht aus, wenn Mitarbeiter täglich KI-Tools nutzen — oft ohne zu wissen, was erlaubt ist und was nicht. Eine interne KI-Richtlinie schließt diese Lücke und ist gleichzeitig ein zentrales Element Ihrer TOMs.

„Bring Your Own AI“ (BYOAI): Schatten-KI aktiv unterbinden

BYOAI ist das KI-Äquivalent zur klassischen Schatten-IT: Mitarbeiter nutzen private Accounts auf freigegebenen oder gesperrten KI-Plattformen — von der IT-Abteilung unbemerkt, ohne AVV, ohne ZDR-Zusicherung. Eine klare Richtlinie, welche Tools in welcher Konfiguration genutzt werden dürfen, ist der effektivste Schutz. Ergänzt werden sollte sie durch technische Maßnahmen (z. B. URL-Filterung für bekannte Consumer-Endpoints) und regelmäßige Sensibilisierung.

Die 5 goldenen Regeln einer KI-Mitarbeiterrichtlinie

Regel 1: Nur freigegebene Tools nutzen — Ausschließlich KI-Anwendungen verwenden, die vom Unternehmen explizit freigegeben wurden — inklusive Business-Account und abgeschlossenem AVV.

Regel 2: Keine personenbezogenen Daten ohne Prüfung — Namen, E-Mail-Adressen, Gehaltsdaten oder Gesundheitsinformationen gehören nicht in generische Prompts. Nur in gesicherten Umgebungen mit entsprechender Rechtsgrundlage.

Regel 3: Output immer prüfen — KI-Ausgaben sind kein Rechtsgutachten und kein Faktum. Jede relevante Ausgabe muss von einem Menschen verifiziert werden — insbesondere vor dem Versand an Kunden oder Behörden.

Regel 4: Automatisierte Entscheidungen kennzeichnen — Wenn KI eine Empfehlung oder Entscheidung beeinflusst, die eine betroffene Person betrifft, muss das intern dokumentiert werden — und ggf. der betroffenen Person mitgeteilt werden.

Regel 5: Unklarheiten melden, nicht ignorieren — Mitarbeiter, die unsicher sind, ob ein KI-Einsatz mit der Richtlinie vereinbar ist, müssen eine klare Anlaufstelle haben — und nutzen. Im Zweifel: erst fragen, dann nutzen.

6. Fazit & Checkliste für Geschäftsführer

KI ist kein Bedrohungsszenario für Datenschützer — sie ist eine enorme Chance für KMU. Aber wie bei jeder mächtigen Technologie gilt: Wer den rechtlichen Rahmen ignoriert, zahlt früher oder später den Preis. Die gute Nachricht ist, dass die notwendigen Maßnahmen überschaubar und handhabbar sind. Sie erfordern keine Rechtsabteilung — aber sie erfordern Struktur.

Die folgende Checkliste fasst die wichtigsten To-dos zusammen:

Checkliste: KI-Compliance für Geschäftsführer
☐ Bestandsaufnahme: Alle im Unternehmen genutzten KI-Tools identifiziert
☐ Alle Consumer-Accounts durch Business/Enterprise-Accounts ersetzt
☐ AVV mit jedem KI-Anbieter abgeschlossen und archiviert
☐ Zero-Data-Retention schriftlich vom Anbieter bestätigt
☐ DPF-Zertifizierung der US-Anbieter überprüft und dokumentiert
☐ KI-Verarbeitungen im Verzeichnis von Verarbeitungstätigkeiten (VVT) eingetragen
☐ Prüfung: Besteht DSFA-Pflicht für eingesetzte KI-Anwendungen?
☐ DSFA durchgeführt und dokumentiert (wo erforderlich)
☐ Interne KI-Richtlinie erstellt und kommuniziert
☐ Mitarbeiter zu erlaubten Tools und Verhaltensregeln geschult
☐ Technische Maßnahmen gegen BYOAI/Schatten-KI implementiert
☐ Für KI-Eigenentwicklungen: RAG-Architektur oder gleichwertige Löschbarkeitsgarantie geprüft
Beitrag aktualisiert am 29. Mai 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Rundes Symbol mit deutscher und britischer Flagge als Hinweis auf Sprachwahl zwischen Deutsch und Englisch
E-Learning
KI-Kompetenz Grundschulung

Aufbau und Schulung des erforderlichen Fachwissens ihrer Mitarbeiter zur Erfüllung der Anforderungen der KI-Verordnung.

250€ / einmalig
Anzahl Mitarbeiter:
450€ / einmalig
Anzahl Mitarbeiter:
800€ / einmalig
Anzahl Mitarbeiter:
1.400€ / einmalig
Anzahl Mitarbeiter:
2.500€ / einmalig
Anzahl Mitarbeiter:
  • Lizenzen für 25-500 Mitarbeitende
  • Grundlagen der Künstlichen Intelligenz
  • Rechtliche Rahmenbedingungen
  • Ethische Überlegungen
  • Auf Deutsch oder Englisch verfügbar
Angebot anfragen
1. Lektion kostenlos ansehen
Alle Details zum Kurs
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult in der KI-Compliance

Wir begleiten Unternehmen dabei, Künstliche Intelligenz rechtssicher, transparent und verantwortungsvoll einzusetzen – digital, praxisnah und zu fixen Konditionen. Ob Risikobewertung nach EU AI-Act oder in der Schulung Ihrer Mitarbeitenden – Wir sorgen dafür, dass der Einsatz von KI-Systemen in Ihrem Unternehmen den regulatorischen Vorgaben entspricht und rechtliche Risiken minimiert werden.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
KI-Compliance
Jörg ter Beek
Autor dieses Artikels:
Jörg ter Beek
CEO & Datenschutzbeauftragter bei Cortina Consult
Zum Autorenprofil
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen