“Dürfen wir das?” – die Frage die jede KI-Einführung im Unternehmen begleitet. Die DSGVO macht es nicht einfacher. Hier klären wir die wichtigsten Fragen – praktisch, verständlich, ohne 50-seitige Rechtstexte.
Die 5 Goldenen Regeln
Regel 1: Keine Kundendaten in kostenlose KI-Tools
ChatGPT Free, Gemini Free, etc. nutzen Eingaben potenziell für Training. Das bedeutet: Kundennamen, E-Mail-Adressen oder Vertragsdaten könnten im Modell landen. Niemals.
Regel 2: Enterprise-Versionen für Business-Daten
ChatGPT Enterprise, Claude for Business, Gemini for Workspace – alle bieten:
- Trainings-Opt-out (Daten werden NICHT für Modell-Training genutzt)
- DPA/AVV (Auftragsverarbeitungsvertrag)
- Verschlüsselung und Zugangskontrolle
Regel 3: AVV abschliessen
Bevor du KI mit personenbezogenen Daten nutzt, brauchst du einen Auftragsverarbeitungsvertrag (AVV/DPA) mit dem Anbieter. Das ist kein Optional – es ist Pflicht.
Regel 4: Mitarbeiter schulen
Die beste Policy nützt nichts wenn Mitarbeiter sie nicht kennen. Schulung: Was darf in die KI? Was nicht? Wie erkenne ich sensible Daten?
Regel 5: Dokumentieren
Halte schriftlich fest:
- Welche KI-Tools nutzt ihr?
- Für welche Zwecke?
- Welche Daten werden verarbeitet?
- Wo sind die AVVs?
- Wer ist verantwortlich?
Was darf in die KI?
✅ Unbedenklich (keine personenbezogenen Daten)
- Marketing-Texte schreiben
- Blog-Artikel erstellen
- Allgemeine E-Mail-Vorlagen
- Programmcode (ohne Kundendaten)
- Brainstorming und Ideensammlung
- Übersetzungen (generischer Texte)
- Social-Media-Posts
- Interne Dokumentation
⚠️ Nur mit Enterprise-Version + AVV
- E-Mails mit Kundennamen beantworten
- Verträge zusammenfassen
- Support-Tickets analysieren
- Mitarbeiter-Feedback auswerten
- Finanzberichte analysieren
❌ Nie in KI-Tools eingeben
- Passwörter und Zugangsdaten
- Bankverbindungen und Kreditkartennummern
- Gesundheitsdaten
- Sozialversicherungsnummern
- Personalakten
- Gerichtsdokumente
KI-Tools nach DSGVO-Konformität
| Tool | DSGVO-Status | AVV | Server | Empfehlung |
|---|---|---|---|---|
| Claude (Anthropic) | ⭐⭐⭐⭐⭐ | Ja | USA (kein Training) | Am datenschutzfreundlichsten |
| Neuroflash | ⭐⭐⭐⭐⭐ | Ja | Deutschland | Bestes für DACH |
| Aleph Alpha | ⭐⭐⭐⭐⭐ | Ja | Deutschland | Europäisch |
| ChatGPT Enterprise | ⭐⭐⭐⭐ | Ja | USA | Gut mit DPA |
| MS 365 Copilot | ⭐⭐⭐⭐ | Ja | Azure EU verfügbar | Enterprise-Standard |
| Gemini Workspace | ⭐⭐⭐⭐ | Ja | Google Cloud | Gut mit DPA |
| ChatGPT Free | ⭐⭐ | Nein | USA (Training!) | Nur für generische Aufgaben |
Die Datenschutz-Checkliste
Vor Einführung eines KI-Tools:
- Verarbeitungsverzeichnis aktualisiert (KI-Tool darin aufgenommen)
- AVV/DPA mit Anbieter abgeschlossen
- Datenschutzfolgenabschätzung durchgeführt (bei sensiblen Daten)
- Trainings-Opt-out aktiviert
- Nutzungsrichtlinien für Mitarbeiter erstellt
- Mitarbeiter geschult (was darf rein, was nicht)
- Betriebsrat informiert (Mitbestimmung bei neuen Tools)
- Datenschutzbeauftragter konsultiert
- Informationspflicht gegenüber Betroffenen erfüllt (wenn Kundendaten verarbeitet werden)
- Löschkonzept definiert (wie lange werden Daten in der KI gespeichert?)
Praxis-Szenario: E-Mail-Support mit KI
Situation: Dein Support-Team will ChatGPT nutzen um Kundenanfragen schneller zu beantworten.
DSGVO-konformer Weg:
- ChatGPT Enterprise anstatt Free nutzen
- AVV mit OpenAI abschliessen
- Trainings-Opt-out aktivieren
- Richtlinien: Kundennamen und E-Mail-Adressen NICHT eingeben – nur den Sachverhalt
- Beispiel: Statt “Herr Müller, Kundennr. 12345, will seine Bestellung stornieren” → “Ein Kunde will eine Bestellung stornieren. Formuliere eine freundliche Antwort die den Stornierungsprozess erklärt.”
Weiterlesen:
- KI-Tools für Unternehmen: Der grosse Vergleich 2026
- KI-Automatisierung: 7 Workflows die sofort Zeit sparen
- KI für Buchhaltung: So automatisierst du deine Finanzen
- KI-Content-Strategie: In 30 Tagen zum Content-System
Häufige Fragen
Brauche ich einen Cookie-Banner wenn ich KI auf meiner Website nutze?
Wenn die KI keine Cookies setzt und keine personenbezogenen Daten erhebt: Nein. Wenn ein Chatbot Nutzerdaten speichert: Ja, Einwilligung nötig.
Darf mein Mitarbeiter ChatGPT Free am Arbeitsplatz nutzen?
Für generische Aufgaben ohne Kundendaten: Ja. Für alles mit personenbezogenen Daten: Nein. Erstelle eine klare Richtlinie.
Was wenn ein Kunde fragt ob wir KI nutzen?
Transparenz ist immer besser. “Ja, wir nutzen KI-Tools um Ihnen schneller helfen zu können. Ihre Daten werden dabei gemäß DSGVO geschützt.” Fertig.
Muss ich KI-generierte E-Mails kennzeichnen?
Nach aktuellem Stand (2026): Keine generelle Pflicht. Der EU AI Act fordert Kennzeichnung bei Chatbot-Interaktionen (der Kunde muss wissen dass er mit KI spricht), nicht bei KI-unterstützten E-Mails die von Menschen gesendet werden.
