Verarbeitungsverzeichnis (ROPA) und KI 2026: Was Mittelständler ergänzen müssen

68 % der mittelständischen Unternehmen haben ihr Verzeichnis von Verarbeitungstätigkeiten (ROPA) seit 5 Jahren nicht angepasst. Das zeigte eine BMWK-Umfrage im Herbst 2024. In dieser Zeit ist KI in fast jedem Büro angekommen — ChatGPT, Microsoft Copilot, Claude, DeepL Pro, automatisierte Lead-Tools. Jeder dieser Einsätze gehört in das ROPA, aber die wenigsten Unternehmen haben das nachgezogen. Was 2026 zu tun ist und wie sich das mit der KI-Schulungspflicht (Art. 4 KI-VO seit 02.02.2025) verbindet.

Was das ROPA ist und warum 2026 ein Update ansteht

Das Verzeichnis von Verarbeitungstätigkeiten (ROPA) nach DSGVO Art. 30 ist Pflicht für jedes Unternehmen mit mehr als 250 Beschäftigten — und faktisch auch für viele kleinere, sobald personenbezogene Daten regelmäßig verarbeitet werden. Es muss enthalten:

Verantwortlicher (in der Regel die Geschäftsführung)
Zweck der Verarbeitung
Kategorien betroffener Personen und Datenkategorien
Empfänger der Daten (auch außerhalb der EU)
Löschfristen
Technische und organisatorische Maßnahmen (TOM)

Das Problem: ChatGPT verarbeitet Daten in den USA. Microsoft Copilot in Europa, aber unter US-Mutterkonzern. Claude bei Anthropic in den USA, aber mit europäischer Inferenz seit 2025. DeepL in der EU. Jeder dieser Tools ist eine eigene Verarbeitungstätigkeit, die ins ROPA gehört — sobald personenbezogene Daten reingegeben werden.

Praktisch: Wenn ein Mitarbeiter eine Kunden-E-Mail in ChatGPT kopiert, um eine Antwort entwerfen zu lassen, verarbeitet ChatGPT personenbezogene Daten dieses Kunden. Diese Verarbeitung gehört dokumentiert: in das ROPA und in die Vertragslage (Auftragsverarbeitungsvertrag mit OpenAI bzw. Microsoft).

Was sich 2025 und 2026 geändert hat

EU-Inferenz für ChatGPT seit 01/2026

OpenAI hat seit Januar 2026 EU-basierte GPU-Verarbeitung für Enterprise-Workspaces und API-Projekte verfügbar gemacht. Das ist ein erheblicher Fortschritt für DSGVO-Konformität, aber: EU-Datenresidenz ist NICHT der Standardzustand. Sie muss aktiv konfiguriert werden (Private Endpoints, EU Boundary, Custom Storage). Mit Latenz-Trade-off von 200-500ms.

Wer die Free- oder Plus-Version von ChatGPT nutzt, hat keine EU-Inferenz. Die Datenverarbeitung läuft weiterhin in den USA, mit den entsprechenden Drittland-Transfer-Risiken (Standardvertragsklauseln, Datenschutz-Folgenabschätzung).

Art. 4 KI-VO seit 02.02.2025

Die KI-Kompetenzpflicht ergänzt die DSGVO um eine Schulungs-Komponente: Mitarbeiter, die KI einsetzen, müssen geschult sein. Eine Schulung deckt automatisch zwei Themen ab:

Was darf ich überhaupt in KI-Tools eingeben? (DSGVO-Regeln)
Was sind die Risiken (Halluzinationen, Bias, Urheberrecht)?

Damit erfüllt ein Schulungsprogramm gleichzeitig DSGVO-TOM (technisch-organisatorische Maßnahmen) und Art.-4-Pflicht.

Hochrisiko-Pflichten ab 02.08.2026 (vorbehaltlich Omnibus)

Die Hochrisiko-Pflichten der EU KI-Verordnung treten am 02.08.2026 in Kraft — vorbehaltlich der Digital-Omnibus-Verschiebung auf 02.12.2027 (Annex III) bzw. 02.08.2028 (Annex I). Der zweite Trilog am 28.04.2026 wird hier Klarheit schaffen.

Für die meisten Mittelständler im Alltagsgeschäft sind diese Hochrisiko-Pflichten irrelevant — sie betreffen vor allem KI in HR-Entscheidungen, Kreditvergabe, Strafverfolgung. Die DSGVO und Art. 4 betreffen aber jeden, der KI nutzt.

So aktualisierst du das ROPA in 2 Stunden

Schritt 1: KI-Tool-Inventur (30 Min)

Welche KI-Tools werden im Unternehmen genutzt? Frag jede Abteilung:

Marketing: ChatGPT, Copilot, Midjourney, DeepL, Canva mit KI-Funktionen
Vertrieb: CRM mit KI-Features, automatisierte Lead-Scoring-Tools, ChatGPT für E-Mails
HR: KI-Recruiting-Tools, automatische Lebenslauf-Sichtung, Übersetzungstools
Finanzen: KI-Rechnungs-Erkennung, Buchhaltungs-Automatisierung
IT: Code-Assistenten (GitHub Copilot, Claude Code), automatisierte Tests

Schritt 2: Pro Tool die ROPA-Felder ausfüllen (60 Min)

Für jedes Tool eine Zeile mit:

Tool-Name + Anbieter (OpenAI, Microsoft, Anthropic, DeepL etc.)
Zweck (z.B. "Entwurf von Kundenkommunikation")
Datenkategorien (z.B. "E-Mail-Inhalte, Kundenname, Vertragsbezug")
Datenempfänger / Drittland (USA bei ChatGPT Free/Plus, EU bei Enterprise mit Konfiguration)
Rechtsgrundlage (Art. 6 DSGVO — meist berechtigtes Interesse oder Vertragserfüllung)
Löschfristen (i.d.R. nach Verarbeitungsabschluss)
TOM (Mitarbeiterschulung, AVV mit Anbieter, Konfiguration "kein Training auf Inhalten")

Schritt 3: Auftragsverarbeitungsverträge (AVV) checken (30 Min)

Die meisten Anbieter haben Standard-AVV. Prüfen:

OpenAI Enterprise: Ja (Data Processing Addendum)
Microsoft Copilot: Ja (Microsoft Online Services DPA)
Anthropic Claude Enterprise: Ja
ChatGPT Plus / Free: Eingeschränkt, formal kein vollständiger AVV
DeepL Pro: Ja

Wer ChatGPT Plus oder Free für berufliche Verarbeitungen nutzt, hat ein Compliance-Risiko. Lösung: Auf Enterprise / Team upgraden oder auf Anbieter mit AVV wechseln.

Datenschutz-Folgenabschätzung (DSFA)

Wenn KI-Anwendungen automatisierte Entscheidungen treffen, die rechtliche oder erhebliche Auswirkungen für Personen haben (z.B. KI-basierte Bewerber-Vorauswahl, KI-Kreditscoring), ist eine DSFA nach DSGVO Art. 35 Pflicht. Die DSFA dokumentiert:

Beschreibung der Verarbeitung
Notwendigkeit und Verhältnismäßigkeit
Risiken für die Rechte und Freiheiten betroffener Personen
Maßnahmen zur Risikominderung (z.B. menschliche Aufsicht)

Für die meisten KI-Alltagsanwendungen (Newsletter-Texten, Bilder generieren, Übersetzen) ist keine DSFA nötig. Aber bei HR-, Vertriebs- und Kunden-Bewertungs-Tools schon.

Schulung als Querschnitts-Lösung

Die effizienteste 2026-Lösung ist eine Mitarbeiter-Schulung, die DSGVO-Aspekte und Art.-4-Pflicht kombiniert:

Was darf ich in KI-Tools eingeben? (Datenklassifikation)
Welche Tools darf ich beruflich nutzen? (Tool-Whitelist)
Wie dokumentiere ich KI-Einsatz? (ROPA-relevant)
Welche Risiken muss ich kennen? (Halluzinationen, Bias, Urheberrecht)

Eine 4-monatige DigiMan-Weiterbildung deckt das umfassend ab. Förderung über das Qualifizierungschancengesetz (QCG) bis zu 100 % der Kurskosten plus optionalem Lohnzuschuss.

Was diese Woche tun

ROPA holen oder neu anlegen: Wenn es keines gibt, jetzt erstellen.
KI-Tool-Inventur: 30 Minuten pro Abteilung.
AVV-Check: Welche Tools haben Auftragsverarbeitungsverträge, welche nicht?
Schulung planen: Mit QCG-Antrag beim Arbeitgeber. Bearbeitungszeit Agentur 4 bis 8 Wochen.

Wir helfen bei der Umsetzung

Wenn ihr die KI-Schulung als ROPA- und Art.-4-Lösung in einem Paket umsetzen wollt, helfen wir bei der Konzeption und Förderbeantragung. 15 Minuten kostenloses Erstgespräch.

DSGVO + Art. 4 KI-VO in einem Abwasch?

Eine zertifizierte KI-Weiterbildung erfüllt beide Pflichten. Förderung über QCG bis 100 %. 15 Minuten kostenloses Erstgespräch.

DigiMan-Weiterbildung ansehen WhatsApp

Verarbeitungsverzeichnis (ROPA) und KI 2026: Was Mittelständler ergänzen müssen

Was das ROPA ist und warum 2026 ein Update ansteht

Was sich 2025 und 2026 geändert hat

EU-Inferenz für ChatGPT seit 01/2026

Art. 4 KI-VO seit 02.02.2025

Hochrisiko-Pflichten ab 02.08.2026 (vorbehaltlich Omnibus)

So aktualisierst du das ROPA in 2 Stunden

Schritt 1: KI-Tool-Inventur (30 Min)

Schritt 2: Pro Tool die ROPA-Felder ausfüllen (60 Min)

Schritt 3: Auftragsverarbeitungsverträge (AVV) checken (30 Min)

Datenschutz-Folgenabschätzung (DSFA)

Schulung als Querschnitts-Lösung

Was diese Woche tun

Wir helfen bei der Umsetzung

DSGVO + Art. 4 KI-VO in einem Abwasch?

Das könnte Sie auch interessieren

Qualifizierungschancengesetz: So finanziert der Staat die Weiterbildung Ihrer Mitarbeiter

Bildungsgutschein beantragen: Schritt-für-Schritt-Anleitung

Digitalisierungsmanager: Kosten und Finanzierung

QCG und KI-Weiterbildung: So nutzen Unternehmen die Förderung

KI-Weiterbildung mit Bildungsgutschein: So geht es

Digitalisierungsstrategie entwickeln: Praxis-Guide in 7 Schritten

Wir nutzen Cookies