← Alle Beiträge
Recht & Compliance

KI DSGVO-konform einsetzen: Leitfaden für den Mittelstand 2026

Strategischer Überblick für die Geschäftsführung: Wie KI im Mittelstand DSGVO-konform und EU-AI-Act-ready eingeführt wird. Stichtag 2. August 2026.

4 Min. Lesezeit von Tidewave.io Redaktion
Leuchtturm an einem ruhigen Hafen bei Tageslicht, im Vordergrund ein Schild mit der Aufschrift DSGVO in Navy- und Teal-Farbtönen.

TL;DR: Ab dem 2. August 2026 greifen die Hochrisiko-Pflichten des EU AI Act. Mittelständische Unternehmen brauchen jetzt eine KI-Governance, die DSGVO, Auftragsverarbeitung, EU-Hosting und Mitarbeiter-Schulung integriert.

Der Einsatz von Künstlicher Intelligenz ist im deutschen Mittelstand angekommen. Gleichzeitig stellt sich für die Geschäftsführung eine zentrale Frage: Wie lässt sich KI rechtssicher einführen, ohne Innovationsgeschwindigkeit zu verlieren? Mit dem 2. August 2026 rückt ein Stichtag näher, an dem die Pflichten des EU AI Act für Hochrisiko-Systeme verbindlich werden. Wer jetzt strukturiert handelt, hat einen klaren Vorteil.

Was bedeutet KI DSGVO-konform im Mittelstand konkret?

KI DSGVO-konform einzusetzen heißt: Jede Verarbeitung personenbezogener Daten durch ein KI-System muss eine Rechtsgrundlage haben, transparent erfolgen, zweckgebunden bleiben und technisch wie organisatorisch abgesichert sein. Das gilt unabhängig davon, ob das System eingekauft, integriert oder selbst entwickelt wird.

Für mittelständische Unternehmen bedeutet das in der Praxis vier Ebenen:

  • Vertragliche Ebene: Auftragsverarbeitungsvertrag (AVV) mit jedem KI-Anbieter, der personenbezogene Daten verarbeitet.
  • Technische Ebene: EU-Hosting bevorzugen, Trainingsausschluss aktivieren, Zugriffsrechte und Protokollierung definieren.
  • Organisatorische Ebene: Schriftliche KI-Richtlinie, Anwendungsregister, Verantwortlichkeiten.
  • Menschliche Ebene: Schulung der Mitarbeitenden und klar geregelte menschliche Aufsicht.

Die DSGVO bleibt das Fundament. Der EU AI Act baut darauf auf und ergänzt produktbezogene Anforderungen an das KI-System selbst.

Was passiert am 2. August 2026 durch den EU AI Act?

Der EU AI Act ist seit August 2024 in Kraft und wird stufenweise wirksam. Wesentliche Meilensteine:

Datum Wirksam wird
2. Februar 2025 Verbot bestimmter KI-Praktiken, Pflicht zur KI-Kompetenz (Art. 4)
2. August 2025 Pflichten für Anbieter von General-Purpose-AI-Modellen
2. August 2026 Pflichten für Hochrisiko-KI-Systeme nach Anhang III
2. August 2027 Erweiterte Pflichten für eingebettete Hochrisiko-Systeme

Hochrisiko-Systeme sind unter anderem KI in Personalprozessen (z. B. Bewerber-Auswahl), Bonitätsbewertung, kritischer Infrastruktur, Bildung oder bei Zugang zu Sozialleistungen. Wer ein solches System einsetzt (Betreiber), trägt eigene Pflichten: Zweckkonformer Einsatz, menschliche Aufsicht, Protokollierung, Information der Betroffenen und Zusammenarbeit mit dem Anbieter.

Auch Unternehmen, die nur Standard-KI nutzen, unterliegen Transparenzpflichten – etwa bei Chatbots oder generierten Inhalten. Die Geschäftsführung haftet für die Einhaltung; Bußgelder können bis zu 7 % des weltweiten Jahresumsatzes betragen.

Wie regelt man Auftragsverarbeitung und EU-Hosting bei KI?

Sobald ein KI-Anbieter personenbezogene Daten im Auftrag verarbeitet, ist ein AVV nach Art. 28 DSGVO erforderlich. Das umfasst Eingaben in Cloud-KI, automatisch indexierte E-Mails ebenso wie hochgeladene Dokumente.

Folgende Punkte sollten bei jedem KI-Vertrag geprüft werden:

  • Verarbeitungsort: Server in der EU, idealerweise mit Garantie gegen Drittlandtransfer.
  • Subunternehmer: Vollständige Liste, Zustimmungsvorbehalt bei Änderungen.
  • Trainingsausschluss: Schriftliche Zusicherung, dass Eingaben nicht zum Training verwendet werden.
  • Löschkonzepte: Klare Fristen für Eingaben, Logs und abgeleitete Daten.
  • Zertifizierungen: ISO 27001, C5 oder vergleichbare Nachweise als Indiz, nicht als Ersatz für eigene Prüfung.
  • Drittlandbezug: Auch bei EU-Hosting ist zu prüfen, ob der Mutterkonzern dem Cloud Act oder ähnlichen Regimen unterliegt.

EU-Hosting allein macht keinen Anbieter DSGVO-konform. Es ist ein notwendiger, aber nicht hinreichender Baustein.

Wann ist eine DSFA bei KI-Projekten Pflicht?

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte Betroffener mit sich bringt. Die deutschen Aufsichtsbehörden führen Listen verarbeitungsbezogener Tatbestände, die regelmäßig eine DSFA auslösen.

Bei KI-Anwendungen ist eine DSFA häufig notwendig, insbesondere bei:

  • automatisierten Entscheidungen mit Rechtsfolge oder ähnlich erheblicher Wirkung,
  • Profiling von Mitarbeitenden, Kunden oder Bewerbenden,
  • Verarbeitung sensibler Daten (Gesundheit, biometrische Merkmale),
  • umfangreicher Auswertung von Kommunikations- oder Verhaltensdaten,
  • Einsatz neuartiger Technologien ohne etablierte Praxis.

Eine DSFA ist kein Formular, sondern ein strukturierter Prozess: Beschreibung der Verarbeitung, Notwendigkeit, Risiken, Abhilfemaßnahmen. Sie sollte in jedes größere KI-Projekt früh eingeplant werden – idealerweise vor Vertragsabschluss mit dem Anbieter.

Welche Schulungspflicht gilt für Mitarbeitende beim KI-Einsatz?

Seit dem 2. Februar 2025 verlangt Artikel 4 des EU AI Act ein angemessenes Maß an KI-Kompetenz bei allen Mitarbeitenden, die KI-Systeme einsetzen. Die Pflicht gilt unabhängig von Unternehmensgröße oder Risikoklasse des Systems.

Was bedeutet das konkret für ein KMU?

  • Rollenbezogene Schulung: Vertrieb, HR, Buchhaltung und Entwicklung haben unterschiedliche Anforderungen.
  • Systembezug: Schulung muss sich auf die tatsächlich genutzten Tools beziehen, nicht auf abstrakte Theorie.
  • Risikobewusstsein: Halluzinationen, Bias, vertrauliche Eingaben, Urheberrecht.
  • Dokumentation: Teilnehmerlisten, Inhalte und Aktualisierungen sollten nachweisbar sein.

Eine einmalige Veranstaltung reicht nicht. Sinnvoll ist ein zweistufiges Modell: Basisschulung für alle, Vertiefung für Power-User und Verantwortliche.

Wie sieht eine pragmatische KI-Governance für KMU aus?

Eine KI-Governance muss zur Unternehmensgröße passen. Ein 120-Personen-Mittelständler braucht keine Konzernstruktur, aber klare Zuständigkeiten und nachvollziehbare Prozesse.

Bewährte Bausteine einer schlanken KI-Governance:

  1. Verantwortliche Person auf Geschäftsführungsebene plus operativ verantwortliche Rolle (oft IT-Leitung oder Datenschutzbeauftragter).
  2. Schriftliche KI-Richtlinie mit Positivliste freigegebener Tools, Verbotsliste und Eskalationsweg.
  3. Anwendungsregister mit jedem produktiv genutzten KI-Use-Case, Risikoeinstufung und verantwortlicher Fachabteilung.
  4. Freigabeprozess für neue KI-Tools: Datenschutzprüfung, Sicherheitsprüfung, fachliche Bewertung.
  5. Regelmäßiges Review, mindestens jährlich, bei Hochrisiko-Anwendungen häufiger.

Diese Struktur lässt sich in wenigen Wochen aufsetzen und wächst mit dem KI-Reifegrad des Unternehmens.

Praxis-Checkliste

  • Bestandsaufnahme: Welche KI-Systeme werden bereits genutzt – auch im Schatten-IT-Bereich?
  • Risikoeinstufung pro Anwendungsfall nach EU AI Act (verboten, hochriskant, begrenztes Risiko, minimal).
  • Auftragsverarbeitungsverträge prüfen oder nachverhandeln, EU-Hosting und Trainingsausschluss bestätigen.
  • DSFA-Bedarf für jeden Anwendungsfall klären und dokumentieren.
  • Schriftliche KI-Richtlinie verabschieden und unternehmensweit kommunizieren.
  • Rollenbezogenes Schulungskonzept aufsetzen und nachweisbar durchführen.
  • Anwendungsregister einführen und Verantwortlichkeiten benennen.
  • Roadmap bis 2. August 2026 mit Quartalsmeilensteinen erstellen.

Wie geht es weiter?

Bis zum Stichtag im August 2026 bleibt Zeit für eine geordnete Umsetzung – aber nicht beliebig viel. Wer jetzt mit Bestandsaufnahme, Risikoeinstufung und einer schriftlichen KI-Richtlinie beginnt, schafft ein belastbares Fundament für DSGVO und EU AI Act zugleich. Anschließend lassen sich konkrete Anwendungsfälle in Pilotprojekten erproben und in den Regelbetrieb überführen.

Wenn Sie eine neutrale Einschätzung Ihres Reifegrads oder einen strukturierten Fahrplan suchen, ist eine unverbindliche Erstberatung ein sinnvoller nächster Schritt.

Häufige Fragen

Was ändert sich am 2. August 2026 durch den EU AI Act?
Ab diesem Datum gelten die Pflichten für Hochrisiko-KI-Systeme. Dazu zählen Risikomanagement, technische Dokumentation, Protokollierung, menschliche Aufsicht und Konformitätsbewertung. Unternehmen, die solche Systeme einsetzen oder anbieten, müssen die Anforderungen nachweisbar erfüllen.
Ist ChatGPT oder ein anderer KI-Assistent im Unternehmen DSGVO-konform nutzbar?
Grundsätzlich ja, aber nur unter Bedingungen: ein Auftragsverarbeitungsvertrag mit dem Anbieter, vorzugsweise EU-Hosting oder geeignete Garantien für Drittlandtransfers, Trainingsausschluss für Eingaben sowie eine interne Richtlinie, welche Daten eingegeben werden dürfen.
Wann ist eine Datenschutz-Folgenabschätzung bei KI-Projekten Pflicht?
Eine DSFA ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte Betroffener bedeutet. Bei KI ist das häufig der Fall, etwa bei automatisierten Entscheidungen, Profiling, Bewerber-Screening oder umfangreicher Verarbeitung sensibler Daten. Im Zweifel ist eine DSFA der sichere Weg.
Welche KI-Schulungspflicht gilt seit 2025 für Unternehmen?
Artikel 4 des EU AI Act verpflichtet Anbieter und Betreiber, ein angemessenes Maß an KI-Kompetenz bei Mitarbeitenden sicherzustellen, die KI-Systeme einsetzen. Die Schulung muss zur Rolle, zum eingesetzten System und zum Kontext passen und sollte dokumentiert werden.
Reicht es, einen KI-Anbieter mit EU-Hosting zu wählen?
Nein. EU-Hosting ist ein wichtiger Baustein, ersetzt aber weder Auftragsverarbeitungsvertrag noch DSFA, interne Richtlinien oder Schulungen. Auch der Konzernsitz des Anbieters und mögliche Datenzugriffe aus Drittstaaten sind zu prüfen.
Wie startet ein Mittelständler ohne KI-Erfahrung pragmatisch?
Mit einer schriftlichen KI-Richtlinie, einem Anwendungsregister und einem klar abgegrenzten Pilotprojekt mit niedrigem Risiko. Parallel werden Auftragsverarbeitung, DSFA-Bedarf und Schulungen aufgesetzt. So entsteht Governance entlang realer Anwendungsfälle, nicht auf dem Papier.

Sie wollen das in Ihrem Unternehmen umsetzen?

In 30 Minuten klären wir, wo KI bei Ihnen sinnvoll wirkt — DSGVO-konform und auf Ihre Prozesse zugeschnitten.

Unverbindliche Erstberatung