KI Tools DE LogoKI Tools DE
·11 Min. Lesezeit·KI Tools DE Redaktion

KI Tools im Mittelstand: Welche sind DSGVO-konform?

Welche KI Tools dürfen Sie im deutschen Mittelstand einsetzen, ohne mit der DSGVO in Konflikt zu kommen? Praxisleitfaden mit konkreten Empfehlungen.

#dsgvo#mittelstand#datenschutz#compliance

Warum dieser Artikel jetzt wichtig ist

ChatGPT zu nutzen ist einfach. ChatGPT mit Kundendaten zu nutzen ist heikel. Im Mittelstand machen das viele Mitarbeiter ohne Wissen der Geschäftsführung. Eine Datenschutzpanne kostet schnell den ganzen Jahresgewinn der Abteilung, plus Imageschaden.

Dieser Artikel zeigt, welche KI Tools 2026 mit deutscher Rechtslage zusammenpassen, wo die Stolperfallen liegen und wie Sie pragmatisch starten.

Die drei DSGVO-Hürden bei KI

1. Auftragsverarbeitung

Wenn Sie Daten in ein KI Tool eingeben, das auf US-Servern läuft, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). OpenAI bietet einen für Enterprise-Kunden, nicht für die kostenlose oder Plus-Version. Das gilt auch für Anthropic, Google und Microsoft.

2. Trainingsdaten

Bei den meisten Anbietern sind Eingaben standardmäßig Teil künftiger Trainingsdaten. Bei Enterprise-Plänen schalten Sie das ab. Bei kostenlosen Versionen meist nicht.

3. Internationale Datenübermittlung

Daten in die USA brauchen seit Schrems II zusätzliche Garantien. Standardvertragsklauseln (SCCs) sind das Minimum. Das Data Privacy Framework (DPF) ist 2026 in der Schwebe.

Empfehlungen nach Risikoprofil

Niedriges Risiko (öffentliche oder fiktive Daten)

Mittleres Risiko (Geschäftsdaten ohne personenbezogene Daten)

  • ChatGPT Enterprise mit AVV
  • Microsoft Copilot for Business mit deutschen Datenresidenz-Optionen
  • Claude Team

Hohes Risiko (personenbezogene oder besonders schützenswerte Daten)

  • Aleph Alpha (in Heidelberg gehostet)
  • Selbstgehostetes Mistral oder Llama 4 (auf eigener Hardware oder bei einem deutschen Anbieter)
  • Microsoft Copilot mit deutschem Tenant und expliziter Vereinbarung

Praxis-Checkliste vor der Einführung

  1. AVV unterschrieben?
  2. Trainings-Opt-out aktiviert?
  3. Datenresidenz EU oder Deutschland?
  4. Datenschutz-Folgenabschätzung (DSFA) durchgeführt?
  5. Mitarbeiter geschult, was sie eingeben dürfen?
  6. Logging und Monitoring eingerichtet?

Was Sie konkret tun können

Sprechen Sie mit Ihrem Datenschutzbeauftragten, bevor Sie KI breit ausrollen. Starten Sie mit einem Pilotprojekt in einer Abteilung. Dokumentieren Sie alle eingesetzten Tools.

Mehr zu deutschen Spezialthemen: DSGVO im Glossar.