DSGVO und KI-Tools: Was Unternehmen wirklich wissen müssen — und was teuer werden kann

15 Millionen Euro. So hoch war das Bußgeld, das die italienische Datenschutzbehörde im Dezember 2024 gegen OpenAI verhängte. Grund: ChatGPT hatte personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeitet. Und das ist kein Einzelfall — europaweit wurden 2024 über 1,2 Milliarden Euro DSGVO-Bußgelder verhängt.

KI-Tools sind aus dem Arbeitsalltag nicht mehr wegzudenken. Laut einer Bitkom-Studie nutzen bereits über 60 Prozent der deutschen Unternehmen KI-Anwendungen. Doch die wenigsten wissen: Jedes Mal, wenn ein Mitarbeiter personenbezogene Daten in ein KI-Tool eingibt, entsteht eine datenschutzrechtliche Pflicht. Und die ist oft nicht erfüllt.

Dieser Artikel erklärt — ohne juristische Verklausulierungen — was Unternehmen wirklich wissen müssen.

Der Irrtum, der täglich millionenfach passiert

Stell dir vor: Eine Mitarbeiterin im Vertrieb fasst mit dem kostenlosen ChatGPT-Account eine Kundenpräsentation zusammen. Sie tippt Name, Firma und Gesprächsinhalte des Kunden in das Textfeld — weil es schneller geht. Was sie nicht weiß: Der kostenlose ChatGPT-Tarif bietet keinen Auftragsverarbeitungsvertrag (AVV). Die Daten können in das Modelltraining von OpenAI einfließen. Das Unternehmen hat gerade eine DSGVO-Verletzung begangen.

Und das ist der entscheidende Punkt: Nicht der Mitarbeiter haftet — das Unternehmen haftet.

Vier Szenarien, die in der Praxis täglich vorkommen

Szenario 1: Kundendaten in kostenloses KI-Tool

Ein Mitarbeiter nutzt den kostenlosen ChatGPT-Tarif für die Bearbeitung von Kundenanfragen. Kein AVV vorhanden, keine Kontrolle über den Serverstandort, Eingaben möglicherweise für Training genutzt. Konsequenz: Meldepflicht an die Datenschutzbehörde innerhalb von 72 Stunden, mögliches Bußgeld bis 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes.

Szenario 2: KI transkribiert Kundengespräche

Immer mehr Unternehmen nutzen KI-Transkriptionsdienste wie Fireflies.ai oder ähnliche Tools, um Meetings automatisch zu protokollieren. Sobald dabei personenbezogene Daten (Name, Stimme, Gesprächsinhalte) erfasst werden, greift die DSGVO vollständig. Ein AVV mit dem Transkriptions-Dienst ist Pflicht. Zusätzlich: Alle Gesprächsteilnehmer müssen vor der Aufzeichnung informiert werden — auch rechtlich nach § 201 StGB relevant.

Szenario 3: KI im Bewerbungsverfahren

Unternehmen, die KI-Tools für das Screening von Bewerbungen einsetzen, befinden sich in doppelter Pflicht. Erstens schreibt Art. 22 DSGVO vor, dass Bewerber über automatisierte Entscheidungen informiert werden und eine menschliche Überprüfung verlangen können. Zweitens stuft der EU AI Act solche Systeme als Hochrisiko-KI ein — ab August 2026 greifen hier strenge Dokumentations- und Überwachungspflichten.

Szenario 4: Schatten-KI im Unternehmen

Mitarbeiter nutzen KI-Tools, die die IT-Abteilung gar nicht kennt. Das Unternehmen hat für diese Tools keinen AVV abgeschlossen, keine Datenschutzprüfung durchgeführt — und haftet dennoch vollständig, sobald personenbezogene Daten verarbeitet werden. Laut Schätzungen von Datenschutzexperten ist Schatten-KI in deutschen Unternehmen bereits weit verbreitet.

Der AVV: Das wichtigste Dokument das die meisten nicht haben

Der Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO zwingend erforderlich — nicht optional — wenn ein externes Tool personenbezogene Daten im Auftrag eines Unternehmens verarbeitet. Er regelt, wie der Anbieter mit den Daten umgeht, wo sie gespeichert werden und was bei einer Datenpanne passiert.

Besonders kritisch beim AVV für KI-Tools: Neben den 15 DSGVO-Pflichtpunkten sollten folgende KI-spezifische Klauseln enthalten sein:

• Kein Training mit Kundendaten — explizit schriftlich fixiert, nicht nur als Einstellung im Account
• Konkreter Serverstandort — "EU" reicht nicht, der genaue Standort muss genannt sein
• Vollständige Subunternehmer-Liste — viele KI-Anbieter nutzen Cloud-Dienste von AWS, Azure oder GCP
• Konkrete Löschfristen — z.B. "30 Tage nach Ende der Sitzung"
• Audit-Rechte — das Recht, den Anbieter jährlich zu prüfen
• Incident-Meldung innerhalb 24 Stunden — damit das Unternehmen die 72-Stunden-Frist gegenüber der Behörde einhalten kann

Welche KI-Tools bieten einen AVV an?

Tool	AVV verfügbar	Tarif	EU-Datenresidenz
ChatGPT Free/Plus	❌ Nein	—	❌ Nein
ChatGPT Team/Enterprise/API	✅ Ja	ab 25 $/Monat/User	✅ Ja (seit 2025)
Microsoft Copilot	✅ Ja (verpflichtend)	Business-Tarife	✅ EU Data Boundary
Google Gemini (Workspace)	✅ Ja	Workspace-Tarife	✅ EU-Standorte wählbar
Claude (Anthropic)	✅ Ja	Business/Enterprise	✅ Ja
DeepL Business	✅ Ja	Business-Tarife	✅ EU-Server
Aleph Alpha	✅ Ja	Business	✅ Deutschland
DeepSeek	❌ Nein	—	❌ China-Server

DeepSeek: Der aktuellste Warnfall

Anfang 2025 warnte die Berliner Datenschutzbeauftragte explizit vor der chinesischen KI-App DeepSeek und meldete sie bei Apple und Google als "rechtswidrigen Inhalt". Sieben deutsche Datenschutzbehörden leiteten Prüfverfahren ein. In Italien wurde die App aus den App Stores entfernt.

Die Hauptprobleme: Datenübermittlung nach China ohne DSGVO-konformen Schutz, kein EU-Vertreter nach Art. 27 DSGVO benannt, keine konforme Datenschutzerklärung, kein AVV möglich. Für Unternehmen gilt daher: DeepSeek nicht für berufliche Zwecke mit personenbezogenen Daten nutzen.

Was der EU AI Act ab 2026 ändert



Die DSGVO ist nicht das einzige Regelwerk. Der EU AI Act bringt ein gestaffeltes System neuer Pflichten — mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes:

• Seit Februar 2025: Verbotene KI-Praktiken sind illegal (z.B. manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum). Mitarbeiter mit KI-Kontakt müssen nachweisliche KI-Kompetenz haben.
• Ab August 2025: Neue Regeln für KI-Anbieter wie OpenAI, Google und Anthropic. Nationale Aufsichtsbehörden werden operativ.
• Ab August 2026: Hochrisiko-KI — darunter KI im HR-Bereich, Kreditvergabe und Bildungsbewertung — muss dokumentiert, überwacht und durch Menschen beaufsichtigt werden. CE-Kennzeichnung und EU-Datenbankregistrierung werden Pflicht.

Wichtig: DSGVO-Bußgeld und KI-VO-Bußgeld können gleichzeitig verhängt werden. Das summiert sich schnell.

Die Checkliste: Was Unternehmen jetzt tun müssen

✅ DSGVO-Sofort-Checkliste für KI-Tools

1. KI-Inventar erstellen: Alle genutzten KI-Tools erfassen — auch inoffizielle. In das Verzeichnis der Verarbeitungstätigkeiten (VVT) aufnehmen.
2. AVV prüfen: Für jedes Tool mit Personendaten: Gibt es einen AVV? Liegt er unterschrieben vor? Enthält er die kritischen KI-Klauseln?
3. Rechtsgrundlage dokumentieren: Warum darf das Unternehmen diese Daten mit diesem Tool verarbeiten? (Art. 6 DSGVO)
4. Serverstandort klären: EU, USA (dann: DPF-Zertifizierung prüfen) oder Drittland (dann: besondere Schutzmaßnahmen nötig)?
5. Datenschutzerklärung aktualisieren: Alle KI-Tools nennen, Datenflüsse beschreiben, Betroffenenrechte erläutern.
6. Mitarbeiter schulen: Klare Richtlinie: Welche Tools sind erlaubt? Welche Datentypen dürfen eingegeben werden? Was ist verboten?
7. DSFA durchführen: Bei systematischer KI-Nutzung mit personenbezogenen Daten und hohem Risiko ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) Pflicht.
8. EU AI Act prüfen: Werden verbotene KI-Praktiken eingesetzt? Gibt es Hochrisiko-KI im Einsatz? Vorbereitung auf August 2026 starten.