In dieser Woche tagt die Datenschutzkonferenz der deutschen Aufsichtsbehörden, parallel treffen sich die Datenschützer der G7. KI und DSGVO stehen ganz oben. Die gute Nachricht für kleine Unternehmen: Es gibt eine Orientierungshilfe, die in verständlicher Form sagt, worauf du beim KI-Einsatz achten musst. Panik ist nicht nötig, ein paar klare Fragen schon.
Vom 16. bis 18. Juni 2026 kommt die Datenschutzkonferenz zusammen, kurz DSK, der Zusammenschluss der unabhängigen Datenschutzbehörden von Bund und Ländern. Zeitgleich beraten die Datenschutzbehörden der G7-Staaten unter französischem Vorsitz. Das Thema KI ist überall präsent. Für viele Inhaber kleiner Betriebe klingt das nach drohendem Ärger. Dabei hat die DSK längst eine praktische Orientierungshilfe vorgelegt, die zeigt, dass sich KI und Datenschutz vereinbaren lassen, wenn du ein paar Dinge sauber regelst.
Die DSK und ihre Orientierungshilfe
Die DSK ist kein Gericht und kein Gesetzgeber. Sie ist das gemeinsame Sprachrohr der Aufsichtsbehörden, die in Deutschland über die Einhaltung der DSGVO wachen. Wenn sie sich auf eine Linie einigt, ist das zwar nicht bindend wie ein Gesetz, aber ein sehr deutlicher Hinweis darauf, wie die Behörden einen Fall bewerten würden.
Genau deshalb ist ihre Orientierungshilfe zu KI so wertvoll. Sie übersetzt die abstrakten DSGVO-Prinzipien in konkrete technische und organisatorische Empfehlungen für Entwicklung und Betrieb von KI-Systemen. Sie ist nicht für Konzerne mit eigener Rechtsabteilung gedacht, sondern als Leitplanke für alle, die KI einsetzen. Das Schöne daran: Sie verbietet KI nicht, sie strukturiert nur den Umgang damit.
Du musst dieses Dokument nicht auswendig lernen. Aber du solltest die Logik dahinter kennen, weil sie dir hilft, jede neue KI-Idee im eigenen Betrieb schnell selbst zu bewerten.
Sechs Fragen vor jedem KI-Werkzeug
Bevor du ein KI-Tool produktiv einsetzt, lohnt sich ein kurzer Selbsttest. Sechs Fragen reichen, um die meisten Risiken zu erkennen.
Erstens, die Rechtsgrundlage: Auf welcher Basis verarbeitest du hier personenbezogene Daten, etwa Einwilligung, Vertrag oder berechtigtes Interesse? Zweitens, die Datenmenge: Verarbeitet das Werkzeug nur, was es wirklich braucht, oder schaufelst du ganze Datenbestände hinein? Drittens, die Transparenz: Wissen die betroffenen Menschen, dass KI im Spiel ist, und wie sie funktioniert? Viertens, die Betroffenenrechte: Kannst du Auskunft geben und Daten löschen, auch wenn sie in einem KI-System stecken? Fünftens, der Schutz: Welche technischen und organisatorischen Maßnahmen sichern die Daten ab, von der Zugriffsbeschränkung bis zur Verschlüsselung? Sechstens, der Dienstleister: Wenn ein externer Anbieter im Spiel ist, gibt es einen Auftragsverarbeitungsvertrag, und wo werden die Daten verarbeitet?
Wer diese sechs Punkte beantworten kann, hat den Großteil der DSGVO-Pflichten beim KI-Einsatz im Griff. Die meisten Probleme in der Praxis entstehen nicht aus bösem Willen. Meist hat sich nur niemand diese Fragen je gestellt.
Der Klassiker: persönliche Daten im Prompt
Es gibt einen Fehler, der in fast jedem Betrieb passiert, der mit KI startet. Jemand kopiert einen echten Kundenfall in einen Chatbot, um sich eine Antwort formulieren zu lassen, mit Namen, Anschrift und Vertragsdetails.
Das wirkt harmlos und ist doch heikel. In dem Moment verlassen personenbezogene Daten möglicherweise das Haus und landen auf Servern, deren Standort und Nutzung du nicht kennst. Bei vielen kostenlosen KI-Diensten ist zudem unklar, ob deine Eingaben zum weiteren Training verwendet werden. Aus einem schnellen Zeitsparen wird so ein meldepflichtiger Datenschutzvorfall, wenn es schiefgeht.
Die Lösung ist unspektakulär. Nutze für sensible Vorgänge nur Werkzeuge mit klarem Vertrag, EU-Datenverarbeitung und der Zusage, dass deine Eingaben nicht zum Training verwendet werden. Und bringe deinem Team bei, persönliche Daten vor der Eingabe zu anonymisieren, wenn der konkrete Name für die Aufgabe gar nicht nötig ist. Eine KI kann einen Beschwerdebrief auch dann gut formulieren, wenn statt Herr Müller einfach der Kunde dort steht.
Was das für KMU bedeutet
Datenschutz fühlt sich für viele kleine Betriebe wie ein Hindernis an, das KI im Keim erstickt. Das ist es nicht. Die DSK-Linie zeigt im Gegenteil, dass die Behörden KI im Mittelstand erwarten und nur einen geordneten Umgang verlangen. Wer die sechs Fragen oben sauber beantwortet, ist auf der sicheren Seite und kann KI mit ruhigem Gewissen nutzen.
Ein Beispiel aus dem Alltag. Eine Physiotherapie-Praxis will Terminerinnerungen und kurze Antworten auf Patientenanfragen von KI vorbereiten lassen. Patientendaten sind besonders schützenswert. Die Praxis kann das trotzdem tun, wenn sie einen passenden Dienst mit Auftragsverarbeitungsvertrag wählt, die Patienten transparent informiert und keine Gesundheitsdaten in offene Tools kippt. Mit dieser Struktur spart die Praxis Zeit, ohne ihre Schweigepflicht zu gefährden.
Wir erleben in unseren DigiMan-Kursen immer wieder, dass gerade die Angst vor dem Datenschutz Unternehmen lähmt. Dabei ist das Thema beherrschbar, sobald man es einmal sauber durchdacht hat. Die DSK liefert dafür die Landkarte. Die eigentliche Arbeit besteht darin, im Team ein Bewusstsein aufzubauen, welche Daten in welches Werkzeug dürfen und welche nicht. Genau dieses Bewusstsein lässt sich lernen, und es ist die beste Versicherung gegen teure Fehler.
Häufige Fragen
Was ist die DSK und was hat sie mit KI zu tun?
Die Datenschutzkonferenz ist der Zusammenschluss der unabhängigen Datenschutzbehörden von Bund und Ländern. Sie ist kein Gesetzgeber, aber ihre gemeinsame Linie zeigt deutlich, wie die Aufsicht einen Fall bewerten würde. Zu KI hat sie eine Orientierungshilfe mit technischen und organisatorischen Empfehlungen für Entwicklung und Betrieb von KI-Systemen veröffentlicht.
Darf ich Kundendaten in einen KI-Chatbot eingeben?
Nur mit Vorsicht. Bei vielen offenen Diensten ist unklar, wo die Daten landen und ob sie zum Training verwendet werden. Nutze für sensible Vorgänge nur Werkzeuge mit Auftragsverarbeitungsvertrag, EU-Datenverarbeitung und der Zusage, dass Eingaben nicht zum Training genutzt werden. Anonymisiere persönliche Daten, wenn der konkrete Name für die Aufgabe nicht nötig ist.
Welche Fragen sollte ich vor dem KI-Einsatz klären?
Sechs reichen meist: Auf welcher Rechtsgrundlage verarbeitest du Daten? Verarbeitest du nur, was nötig ist? Wissen die Betroffenen vom KI-Einsatz? Kannst du Auskunft geben und löschen? Welche Schutzmaßnahmen greifen? Und gibt es bei externen Diensten einen Auftragsverarbeitungsvertrag samt geklärtem Verarbeitungsort?
Verbietet die DSK den KI-Einsatz im Mittelstand?
Nein. Die Linie der Aufsichtsbehörden zeigt im Gegenteil, dass KI im Mittelstand erwartet wird und nur ein geordneter Umgang verlangt wird. Wer Rechtsgrundlage, Datensparsamkeit, Transparenz, Betroffenenrechte, Schutzmaßnahmen und Dienstleisterverträge klärt, kann KI mit ruhigem Gewissen nutzen.
Mehr über KI im Mittelstand lernen?
Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI praktisch und datenschutzkonform einsetzen. Vollkurs Digitalisierungsmanager mit Bildungsgutschein. Für Unternehmen, die ihr Team gefördert qualifizieren wollen, lohnt der Blick auf unser Angebot zur KI-Einführung im Betrieb.
Zuletzt aktualisiert: 15.06.2026. Stand der Recherche: 15.06.2026.