KI DSGVO-konform betreiben – Rechtssicherheit für Ihren KI-Einsatz
ChatGPT, Microsoft Copilot, Claude & Co. sind verlockend einfach zu nutzen – aber der datenschutzkonforme Einsatz ist alles andere als trivial. Ich helfe Unternehmen im Saarland, KI-Anwendungen rechtskonform einzuführen: von der Bestandsaufnahme über die Datenschutz-Folgenabschätzung bis zur vollständigen Dokumentation.
Das Problem: KI ohne Datenschutz ist ein Haftungsrisiko
Was viele unterschätzen: Sobald ein Mitarbeiter personenbezogene Daten (Kundenname, E-Mail-Adresse, Vertragsdaten) in ChatGPT oder ein anderes KI-Tool eingibt, liegt eine Verarbeitung nach DSGVO vor. Ohne Rechtsgrundlage, ohne AVV, ohne Dokumentation – das kann im Ernstfall teuer werden. Die Aufsichtsbehörden schauen bei KI-Themen mittlerweile genauer hin.
Mein Leistungsumfang: KI-Compliance aus einer Hand
- KI-Inventur: Ich erfasse alle KI-Tools, die in Ihrem Unternehmen genutzt werden – auch die, von denen die Geschäftsleitung vielleicht nichts weiß („Shadow AI")
- Datenfluss-Analyse: Welche Daten fließen wohin? Personenbezogene Daten? Besondere Kategorien? Drittlandtransfer?
- Datenschutz-Folgenabschätzung (DSFA): Für KI-Anwendungen mit hohem Risiko erstelle ich die nach Art. 35 DSGVO erforderliche Abschätzung
- AVV-Prüfung & -Verhandlung: Ich prüfe bestehende Auftragsverarbeitungsverträge mit KI-Anbietern auf DSGVO-Konformität und zeige Lücken auf
- Verfahrensverzeichnis: KI-Verarbeitungen werden in Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgenommen – sauber dokumentiert
- Mitarbeiter-Richtlinie: Ich erstelle eine praxistaugliche KI-Nutzungsrichtlinie – was ist erlaubt, was nicht, und warum
KI-Modelle und ihre DSGVO-Implikationen
| Ansatz | DSGVO-Risiko | Empfehlung |
| Öffentliche Cloud-KI (ChatGPT Free, Google Gemini) | 🔴 Hoch – Trainingsnutzung, US-Transfer, keine AVV | Für personenbezogene Daten ungeeignet |
| Business-/Enterprise-KI (ChatGPT Team/Enterprise, MS Copilot) | 🟡 Mittel – AVV vorhanden, aber Drittlandtransfer prüfen | Mit AVV und DSFA grundsätzlich nutzbar |
| EU-Cloud-KI (EU-gehostete Modelle) | 🟢 Niedrig – Daten bleiben in der EU | Empfohlen für personenbezogene Daten |
| Lokale Open-Source-LLMs (Llama, Mistral, DeepSeek) | 🟢 Minimal – Daten verlassen das Unternehmen nicht | Beste Option für sensible Daten |
Beispiel-Auftrag
DSGVO-Prüfung und Dokumentation eines KI-Einsatzes im Kundenservice
Aufgabe: Eine Versicherungsagentur (8 MA) nutzte ChatGPT zur Formulierung von Kunden-E-Mails und für Schadensfall-Zusammenfassungen – ohne jede datenschutzrechtliche Absicherung. Der Datenschutzbeauftragte verlangte eine vollständige Prüfung und Dokumentation des KI-Einsatzes.
Umsetzung: Vollständige Inventur aller KI-Nutzungen (ChatGPT, DeepL, Otter.ai). Datenfluss-Analyse für jeden Anwendungsfall. Prüfung und Ergänzung der AVV mit OpenAI (Business-Vertrag nötig). Erstellung einer DSFA für die Schadensfall-Verarbeitung. Aufnahme aller KI-Verfahren ins VVT. Mitarbeiter-Richtlinie mit konkreten Dos & Don'ts, inkl. praktischer Beispiele.
Ergebnis: Vollständig dokumentierter, DSGVO-konformer KI-Einsatz. Upgrade auf ChatGPT Team mit gültiger AVV. Klare Richtlinien für alle Mitarbeiter. Der Datenschutzbeauftragte gab grünes Licht – kein Beanstandungsrisiko mehr.
Das gehört in Ihre KI-Compliance-Checkliste
- Wurden alle im Unternehmen genutzten KI-Tools identifiziert?
- Liegt für jedes Tool eine gültige AVV mit dem Anbieter vor?
- Ist der Drittlandtransfer (z. B. USA) dokumentiert und durch geeignete Garantien abgesichert?
- Wurde für risikoreiche KI-Anwendungen eine Datenschutz-Folgenabschätzung durchgeführt?
- Sind KI-Verarbeitungen im Verzeichnis der Verarbeitungstätigkeiten (VVT) erfasst?
- Existiert eine schriftliche KI-Nutzungsrichtlinie für Mitarbeiter?
- Wurden Mitarbeiter zu datenschutzkonformer KI-Nutzung geschult?
- Ist der Betriebsrat (falls vorhanden) eingebunden?
- Gibt es einen Prozess zur Löschung von KI-Chatverläufen und -Ausgaben?
- Ist die Informationspflicht nach Art. 13/14 DSGVO gegenüber Betroffenen erfüllt?
Transparente Preise
Allgemein
| Stundensatz Privatkunden | 60 €/h | Alle IT-Dienstleistungen |
| Stundensatz Unternehmen | 80 €/h | Alle IT-Dienstleistungen |
Als Kleinunternehmer nach § 19 UStG ohne MwSt. Jede Prüfung beginnt mit einem kostenlosen Vorgespräch.
| Erstgespräch & Kurz-Check | kostenlos – 30 Min., erste Einschätzung Ihrer Situation |
| Stundensatz Privat | 60 €/Stunde |
| Stundensatz Unternehmen | 80 €/Stunde |
| KI-DSGVO-Komplettprüfung | auf Anfrage – Festpreis nach Umfang (Inventur, DSFA, AVV, Richtlinie) |
Alle Preise gemäß §19 UStG (Kleinunternehmerregelung) ohne Mehrwertsteuer. Anfahrt im Umkreis von 15 km um St. Ingbert kostenfrei. Darüber hinaus: 15–30 km 15 €, 30–50 km 25 €, über 50 km auf Anfrage. Ich bin kein Rechtsanwalt und ersetze keine Rechtsberatung. Ich liefere die technisch-organisatorische Umsetzung und Dokumentation, die Ihr Datenschutzbeauftragter oder Anwalt rechtlich prüfen kann.
Vor Ort im Saarland
Ich bin Kristian Shapiro, IT-Dienstleister aus St. Ingbert. DSGVO-Themen bespreche ich am liebsten persönlich – in Ihrem Büro in St. Ingbert, Saarbrücken, Neunkirchen, Homburg und Umgebung. Die technische Dokumentation und Systemprüfung erledige ich anschließend in enger Abstimmung remote.
KI im Unternehmen – aber sicher.
Lassen Sie uns prüfen, wo Ihr Unternehmen beim Thema KI & DSGVO steht – kostenlos und unverbindlich.
📞 +49 1512 6908740 📅 KontaktformularHäufige Fragen
Darf ich ChatGPT im Unternehmen überhaupt nutzen?
Ja – aber mit Einschränkungen. Die kostenlose Version (ChatGPT Free) ist für personenbezogene Daten tabu: keine AVV, Trainingsnutzung Ihrer Eingaben, Datenverarbeitung in den USA. ChatGPT Team/Enterprise ist mit gültiger AVV grundsätzlich nutzbar, erfordert aber trotzdem eine Dokumentation im VVT und ggf. eine DSFA.
Ist Microsoft Copilot DSGVO-konform?
Microsoft Copilot für Microsoft 365 kann DSGVO-konform genutzt werden, wenn Ihr M365-Tenant in der EU gehostet wird und Sie die entsprechenden Datenschutzeinstellungen konfiguriert haben. Ich prüfe Ihre bestehende M365-Umgebung auf Compliance und dokumentiere die KI-Verarbeitung für Ihr VVT.
Was kostet ein Datenschutzverstoß bei KI-Nutzung?
Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Für KMU ist schon ein Bruchteil davon existenzbedrohend. Dazu kommen Abmahnrisiken durch Wettbewerber und Reputationsschäden. Eine ordentliche Prüfung kostet einen Bruchteil des Risikos.
Können wir KI nicht einfach lokal betreiben und das DSGVO-Problem umgehen?
Lokale Open-Source-Modelle (Llama, Mistral, etc.) entschärfen das Problem erheblich – Ihre Daten verlassen das Unternehmen nicht. Aber auch hier brauchen Sie eine Dokumentation (VVT, ggf. DSFA, Mitarbeiter-Richtlinie). Es ist der einfachste Weg zur Compliance, aber kein Freifahrtschein. Ich zeige Ihnen, was genau nötig ist.