Ich habe einen Fehler gemacht. Einen, den ich erst bemerkt habe, als ich zufällig in einem Newsletter über eine Änderung der Nutzungsbedingungen gestolpert bin, die mein damaliges KI-Tool schon vor Monaten vorgenommen hatte.
Ich hatte das Tool sorgfältig geprüft, einen Auftragsverarbeitungsvertrag abgeschlossen, notiert, dass die Daten in der EU verbleiben. Haken dran, weiter. Was ich nicht eingeplant hatte: dass sich das alles wieder ändern kann. Ohne Ankündigung per E-Mail, ohne Banner im Tool, ohne Rückfrage.
Das ist das eigentliche Problem.
Du hast einmal geprüft – und denkst, du bist fertig
Das kenne ich von fast allen Unternehmern, die ich zu KI und DSGVO berate. Die Erstkonfiguration war gründlich. Datenschutzerklärung gelesen, AVV abgeschlossen, den zuständigen Mitarbeiter informiert. Dann kam der Alltag, und das Thema wanderte in die Schublade “erledigt”.
Nur: DSGVO-Konformität ist kein Projekt. Es ist ein Betrieb.
Ein Projekt hat einen Anfang und ein Ende. Ein Betrieb läuft dauerhaft, und er erfordert regelmäßige Wartung. Genau wie du deinen Reifenluftdruck nicht einmal prüfst und dann nie wieder, prüfst du nicht einmal die Vertragslage mit einem KI-Anbieter und glaubst, sie gilt für immer.
Software-Anbieter, besonders in der KI-Branche, befinden sich in einer Phase schneller Veränderung. Firmenkäufe, neue Rechenzentren, neue Unterauftragnehmer, neue Geschäftsmodelle. All das kann sich in den AGB niederschlagen. Und viele Anbieter behalten sich in ihren Verträgen vor, Änderungen mit einer kurzen Ankündigungsfrist in Kraft zu setzen, manchmal 14 Tage, manchmal 30.
Wenn du in dieser Zeit nicht hinschaust, hast du eine Situation, die auf dem Papier DSGVO-konform aussieht, es aber längst nicht mehr ist.
Drei reale Beispiele, wo AGB-Änderungen die Datenverarbeitung betroffen haben
Ich nenne keine Namen, weil es mir nicht darum geht, einzelne Anbieter zu diskreditieren. Es geht darum, das Muster zu zeigen.
Beispiel 1: Der Serverstandort wandert. Ein mittelständischer Dienstleister hatte seinen KI-Schreibassistenten sauber eingerichtet – EU-Datenresidenz, AVV, alles dokumentiert. Sechs Monate später expandierte der Anbieter und verlagerte für bestimmte Kundenkategorien die Verarbeitung auf Rechenzentren in den USA. Wer weiterhin EU-Server wollte, musste aktiv in den Einstellungen umschalten. Der Standardwert hatte sich geändert. Die E-Mail dazu landete im Newsletter-Ordner und wurde nie gelesen.
Beispiel 2: Ein neuer Unterauftragnehmer taucht auf. Ein Handwerksbetrieb nutzte ein KI-Tool für die Angebotserstellung. Solche Tools haben oft Unterauftragnehmer, also weitere Dienstleister, die in die Verarbeitung eingebunden sind – Hosting, Analyse, Support. Der Anbieter listete diese Unterauftragnehmer auf einer Seite, die wenige kennen. Bei einer Aktualisierung kam ein US-amerikanisches Unternehmen hinzu, das bis dahin nicht dort gestanden hatte. Kein separates Schreiben, nur eine aktualisierte Liste.
Beispiel 3: Die Trainingsklausel ändert sich. Ein kleines Designstudio hatte sich explizit für einen Anbieter entschieden, der in den AGB versprach, keine Eingaben für das Training zu verwenden. Nach einer Finanzierungsrunde aktualisierte der Anbieter die Nutzungsbedingungen. Für Nutzer ohne Business-Plan galt der Trainingsausschluss nicht mehr. Der Betrieb war inzwischen auf den günstigeren Plan gewechselt. Die Änderung hat das Designstudio nicht aktiv informiert, weil der Anbieter argumentierte, es sei in den Änderungshinweisen auf der Website kommuniziert worden.
Alle drei Beispiele haben etwas gemeinsam: Es war keine Sabotage, keine Böswilligkeit. Es war Wachstum, Reorganisation, geänderte Geschäftsbedingungen. Und in allen drei Fällen trug das betroffene Unternehmen die Verantwortung, weil es als datenschutzrechtlicher Verantwortlicher gilt – unabhängig davon, was der Anbieter geändert hat.
Was sich konkret ändern kann
Damit du weißt, worauf du achten musst, hier die drei Bereiche, die am häufigsten betroffen sind:
Trainingsdaten. Der Punkt, der für viele am sensibelsten ist. Werden deine Eingaben genutzt, um das Modell zu verbessern? Bei vielen Consumer-Tarifen ja, bei Business-Tarifen oft ausgeschlossen – aber eben “oft”, nicht “immer” und nicht “unveränderlich”. Der Ausschluss steht im Vertrag, und der Vertrag kann sich ändern.
Serverstandorte. EU-Datenresidenz bedeutet, dass deine Daten die EU nicht verlassen. Aber Serverstandorte sind keine feste Infrastruktur. Anbieter migrieren, schließen Rechenzentren, kooperieren mit neuen Cloud-Anbietern. Was heute in Frankfurt liegt, kann morgen in Dublin liegen, und Dublin ist zwar EU, aber eben nicht mehr Deutschland. Und was in Dublin liegt, kann übermorgen über einen US-Anbieter laufen, auch wenn das Tool immer noch so klingt wie vorher.
Unterauftragnehmer. Das ist der Bereich, der am wenigsten auf dem Radar ist. Nach Art. 28 Abs. 2 DSGVO muss dein AVV regeln, ob und wie der Auftragsverarbeiter weitere Unterauftragnehmer einsetzen darf. Viele Anbieter haben das so geregelt, dass sie neue Unterauftragnehmer mit einer Ankündigungsfrist hinzufügen können, ohne dass du aktiv zustimmen musst. Wenn du nicht innerhalb dieser Frist widersprichst, gilt die Änderung als akzeptiert. Die Frist läuft ab dem Datum der Ankündigung – und wenn du die Ankündigung nicht siehst, läuft sie trotzdem.
Die 15-Minuten-Quartalsroutine: So behältst du den Überblick
Ich habe keine Lust auf komplizierte Prozesse. Ich bin Unternehmer, kein Datenschutzbeauftragter. Aber ich habe eine Routine entwickelt, die ich einmal pro Quartal durchführe und die nicht länger als 15 Minuten dauert.
Schritt 1: Liste deiner KI-Tools öffnen (2 Minuten). Ich führe eine einfache Liste in meiner Notizen-App. Welche Tools nutze ich aktuell geschäftlich? Welchen Tarif? Wann wurde zuletzt geprüft?
Schritt 2: AGB-Seite aufrufen, nach Änderungsdatum suchen (5 Minuten). Jeder seriöse Anbieter hat eine Seite “Terms of Service” oder “Nutzungsbedingungen”. Dort steht oben meistens ein Datum: “Zuletzt aktualisiert”. Wenn dieses Datum nach meiner letzten Prüfung liegt, lese ich die Änderungen. Viele Anbieter haben mittlerweile einen “Was hat sich geändert”-Abschnitt. Wenn nicht: schnelles Durchscrollen nach Serverstandort, Training, Unterauftragnehmer.
Schritt 3: Unterauftragnehmer-Liste prüfen (5 Minuten). Diese Seite nennt sich oft “Sub-Processors”, manchmal auch “Unterauftragnehmer” oder “Drittanbieter”. Sie ist verlinkt im AVV oder in der Datenschutzerklärung. Ich vergleiche die aktuelle Liste mit der, die ich beim letzten Mal gesehen habe. Neues drin? Kurze Notiz.
Schritt 4: Dokumentation aktualisieren (3 Minuten). Datum notieren, “geprüft, keine relevanten Änderungen” oder “Änderung: XY – Handlungsbedarf: ABC”. Fertig.
Das klingt nach mehr als 15 Minuten, wenn ich es so schreibe. In der Praxis ist es weniger, weil man schnell ein Gefühl dafür bekommt, wo die relevanten Stellen stehen.
Checkliste: Was nach einer AGB-Änderung zu prüfen ist
Wenn du eine relevante Änderung feststellst, geh diese Punkte durch:
- Serverstandort geändert? Ist die Datenverarbeitung noch in der EU? Wenn nicht: Besteht eine alternative Möglichkeit, das Tool EU-konform zu nutzen? Wenn nein: Tool wechseln.
- Trainingsdaten-Klausel geändert? Nutzt der Anbieter meine Eingaben jetzt wieder für Training? Wenn ja: Gibt es eine Opt-out-Möglichkeit? Reicht mein aktueller Tarif noch für die Anforderungen?
- Neuer Unterauftragnehmer hinzugekommen? Wo sitzt er? Gibt es Bedenken (insbesondere US-Transfer ohne Standardvertragsklauseln)? Habe ich ein Widerspruchsrecht und welche Frist?
- AVV noch aktuell? Manchmal aktualisieren Anbieter auch den AVV selbst. Habe ich die aktuelle Version?
- Interne Dokumentation anpassen? Wenn sich etwas geändert hat, muss das in deinen internen Unterlagen stehen – zum Beispiel im Verzeichnis der Verarbeitungstätigkeiten.
Diese Prüfung machst du nicht für eine Behörde. Du machst sie für dich, damit du im Fall der Fälle sagen kannst: Ich habe meine Pflichten als Verantwortlicher ernst genommen.
Einmal ist keinmal – DSGVO ist kein Projekt, sondern ein Betrieb
Ich sage das nicht, um Druck zu machen. Ich sage es, weil ich selbst Zeit gebraucht habe, um diesen Unterschied zu verinnerlichen.
DSGVO-Konformität beim Einsatz von KI-Tools hat kein Enddatum. Sie hat einen Startpunkt, und dann hat sie laufende Wartung. Die gute Nachricht: Diese Wartung ist überschaubar. 15 Minuten pro Quartal, eine einfache Liste, ein Blick auf das Änderungsdatum. Das ist kein Vollzeitjob, das ist eine Hygiene-Routine.
Was nicht akzeptabel ist, ist das Gefühl “ich hab das damals ja geprüft” als dauerhaften Schutz zu behandeln. Die Anbieter ändern sich. Die Technologie entwickelt sich. Die Vertragsbedingungen entwickeln sich mit.
Du als Unternehmer bist der datenschutzrechtliche Verantwortliche – nicht der Anbieter, nicht dein Mitarbeiter, der das Tool täglich nutzt. Das bedeutet, du trägst das Risiko, wenn sich etwas ändert und du es nicht bemerkst.
Aber es bedeutet auch: Du hast es in der Hand. Eine Quartalsroutine, ein paar Minuten Aufmerksamkeit, und du bist auf einem Stand, den die meisten deiner Mitbewerber nicht haben.
Das ist kein Hexenwerk. Das ist Betrieb.
Du hast Fragen zu einem konkreten Tool oder willst wissen, wie du eine solche Routine für deinen Betrieb aufbaust? Schreib mir direkt – ich helfe gern.