☕ aban news
Stand: Mai 2026 · keine Rechtsberatung

KI DSGVO-konform nutzen — der praktische Leitfaden

Datenschutz ist kein Grund, KI zu meiden — sondern ein Grund, vor dem ersten Klick kurz nachzudenken. Hier ist die Prüfung, die fünf Minuten dauert und teure Fehler erspart. Praktisch, für Selbstständige, ohne Jura-Nebel.

Die meisten Selbstständigen im DACH-Raum zögern bei KI nicht wegen der Technik, sondern wegen drei Buchstaben: DSGVO. Die Sorge ist gesund — sie blockiert nur oft mehr als nötig. Der Punkt ist nicht „lass die Finger davon", sondern „wisse, was du tust, bevor Kundendaten ins Tool wandern".

Der häufigste Fehler ist nicht böser Wille, sondern Bequemlichkeit: schnell ein Kundengespräch in ein kostenloses Transkriptions-Tool werfen, einen ganzen Mail-Verlauf mit echten Namen einfügen, weil es gerade praktisch ist. Genau hier entstehen die Probleme, die später Geld kosten. Dieser Leitfaden gibt dir eine Prüfung an die Hand, die du einmal pro Tool durchgehst — danach weißt du, woran du bist.

Grundregel: Was stimmen muss, prüfst du an der Quelle — nicht bei der KI und nicht in einem Blogpost. Diese Seite ordnet ein, ersetzt aber keine Rechtsberatung.

Die 5-Fragen-Datenschutz-Prüfung

Geh diese fünf Fragen einmal pro Tool durch. Wer sie ehrlich beantwortet, vermeidet die teuren Anfängerfehler.

1 Wo stehen die Server?

Datenverarbeitung in der EU ist der einfache Weg. Bei US-Anbietern brauchst du eine tragfähige Rechtsgrundlage; viele große Tools bieten inzwischen EU-Datenresidenz oder Business-Pläne mit besseren Garantien. Wenn die Anbieterseite dazu nichts sagt, ist auch das eine Antwort.

2 Gibt es einen Auftragsverarbeitungsvertrag (AVV)?

Sobald du personenbezogene Daten verarbeitest, brauchst du mit dem Anbieter einen AVV (Art. 28 DSGVO). Er hält fest, dass der Anbieter die Daten nur in deinem Auftrag verarbeitet. Seriöse Anbieter stellen ihn als Standarddokument bereit. Findest du keinen, gehören dort keine Kundendaten hinein.

3 Werden meine Eingaben fürs Training genutzt?

Auf vielen kostenlosen Plänen ja, auf Business-Plänen oft nicht — aber nur, wenn du es aktiv einstellst oder den richtigen Plan wählst. Prüfe diese Einstellung einmal bewusst in den Kontoeinstellungen, statt darauf zu hoffen.

4 Was muss überhaupt rein? (Datenminimierung)

Die beste Schutzmaßnahme ist Weglassen. „Kunde A, Branche Bau, Auftrag X" reicht für einen Angebots-Entwurf vollkommen. Namen, Adressen und Vertragsnummern brauchst du dafür nicht — also lass sie draußen. Anonymisieren ist fast immer schneller als die spätere Diskussion mit der Aufsichtsbehörde.

5 Würde ich es meinem Kunden so erklären?

Ein einfacher Test: Wenn du deinem Kunden offen sagen könntest, wie du seinen Vorgang mit KI bearbeitest, ist es meist in Ordnung. Müsstest du es verstecken, stimmt etwas nicht. Dein Bauchgefühl ist hier ein erstaunlich guter erster Filter.

Anonymisieren, wo du kannst. Ein AVV, wo nötig. Und im Zweifel das selbst machen, was wirklich stimmen muss.

Regeln nach Tool-Typ

Text-Modelle (ChatGPT, Claude & Co.)

Für Texte, Zusammenfassungen, Umformulierungen. Wähle einen bezahlten Business-Plan, prüfe EU-Datenresidenz und AVV, schalte die Trainings-Nutzung ab. Echte Kundennamen nur, wenn es unumgänglich ist — sonst anonymisiert arbeiten.

Transkription (Calls, Sprachnotizen)

Hol bei Kundengesprächen die Einwilligung der Beteiligten ein. Lokale Verarbeitung (z. B. Whisper auf dem eigenen Rechner) ist datenschutzfreundlicher als ein Web-Dienst, weil die Audiodatei dein Gerät nicht verlässt.

Bilder & Grafik

Hier geht es seltener um personenbezogene Daten, dafür um Rechte und Marken: Prüfe Nutzungsrechte und nutze generierte Bilder nicht blind als eigenes Markenzeichen.

Automatisierung (Make, n8n & Co.)

Sobald Workflows Kundendaten zwischen Diensten schieben, brauchst du für jeden beteiligten Dienst Klarheit über AVV und Serverstandort. Self-Hosting (etwa n8n) gibt dir die meiste Kontrolle.

Die drei häufigsten Fehler

  • Echte Daten aus Bequemlichkeit: ganze Mail-Verläufe mit Namen und Adressen einfügen, weil es gerade schneller geht. Genau das ist der teure Reflex.
  • Kostenlos für Sensibles: den Gratis-Tier für Kundendaten nutzen, obwohl es dort keinen AVV gibt und Eingaben fürs Training landen.
  • „Ist ja nur ein Test": Datenschutz gilt auch im Test. Ein Probelauf mit echten Personendaten ist kein harmloser Probelauf.

Kurz erklärt: AVV und EU AI Act

Auftragsverarbeitungsvertrag (AVV)

Wenn ein Anbieter personenbezogene Daten in deinem Auftrag verarbeitet, bist du verantwortlich, er ist Auftragsverarbeiter. Der AVV nach Art. 28 DSGVO regelt diese Beziehung schriftlich. Ohne ihn fehlt eine zentrale Grundlage — deshalb ist „gibt es einen AVV?" oben Frage 2.

EU AI Act

Die KI-Verordnung der EU (Verordnung (EU) 2024/1689) ergänzt die DSGVO um Risikoklassen und Transparenzpflichten für KI-Systeme. Für die meisten Selbstständigen heißt das vor allem: Wo KI-Inhalte im Spiel sind, gilt zunehmend eine Kennzeichnungs- und Transparenzpflicht. Die DSGVO bleibt parallel in Kraft.

Häufige Fragen

Darf ich ChatGPT oder Claude geschäftlich nutzen?
Ja — wenn du eine Rechtsgrundlage hast und die Anbieterbedingungen einhältst. Für personenbezogene Daten brauchst du in der Regel einen AVV und solltest EU-Datenresidenz sowie einen Business-Plan ohne Trainings-Nutzung wählen.
Brauche ich für KI-Tools wirklich einen AVV?
Sobald personenbezogene Daten durch das Tool laufen, ja. Der AVV nach Art. 28 DSGVO ist die schriftliche Grundlage dafür. Seriöse Anbieter stellen ihn als Standarddokument bereit.
Werden meine Eingaben zum Training genutzt?
Auf vielen kostenlosen Plänen ja, auf Business-Plänen oft nicht — aber nur, wenn du es aktiv einstellst oder den passenden Plan wählst. Prüfe die Einstellung einmal bewusst.
Ist die kostenlose Version DSGVO-konform?
Nicht automatisch. Gratis-Tiers bieten häufig keinen AVV und nutzen Eingaben fürs Training. Für echte Kundendaten ungeeignet — Business-Plan wählen oder vorher anonymisieren.
Muss ich Kunden informieren, dass ich KI nutze?
Wenn du personenbezogene Kundendaten mit KI verarbeitest, gehören die eingesetzten Auftragsverarbeiter in deine Datenschutzinformationen. Eigen-Test: Könntest du es deinem Kunden offen erklären?

Gratis-eBook: „Anti-Hype“

Das Datenschutz-Kapitel als Teil des Ganzen: Mein kostenloses eBook zeigt dir den 3-Fragen-Filter, deinen minimalen KI-Stack und die Datenschutz-Prüfung in fünf Minuten. Ohne Anmeldung.

eBook lesen →

Jeden Werktag: KI ohne Bullshit, in 5 Minuten

aban news liefert dir Mo–Fr die relevanten KI-Entwicklungen für deine Arbeit — inklusive der DSGVO- und Tool-Themen, die dich als Selbstständige betreffen.

5-Min-KI-Briefing gratis →

Kein Spam. Abmeldung per Klick. DSGVO-konform.

Weiterlesen

KI-Tools für SelbstständigeDer ehrliche Stack 2026 ChatGPT für SolopreneureEchter Nutzen statt Spielerei Geld verdienen mit KI7 Wege, ehrlich bewertet Gratis-eBook „Anti-Hype“KI ohne Bullshit einsetzen

Quellen (offiziell, kostenlos)

  • DSGVO-Volltext — EUR-Lex, Verordnung (EU) 2016/679. Maßgeblich u. a. Art. 6 (Rechtsgrundlagen) und Art. 28 (Auftragsverarbeitung).
  • EU-KI-Verordnung (AI Act) — Verordnung (EU) 2024/1689, ebenfalls über EUR-Lex.
  • Deine Datenschutzbehörde — in DE der/die Landesdatenschutzbeauftragte, in AT die DSB, in CH der EDÖB. Erste Anlaufstelle bei konkreten Fragen.

Wichtiger Hinweis: Dieser Leitfaden ist praktische Orientierung aus Erfahrung, keine Rechtsberatung. Er ersetzt im Einzelfall nicht die Prüfung durch eine Fachperson oder die Auskunft deiner Datenschutzbehörde. KI-Tools und ihre Bedingungen ändern sich schnell — prüfe den aktuellen Stand beim Anbieter selbst. Keine Affiliate-Links.