← KI & DSGVO Umsetzung 2026-03-21

KI und DSGVO: Was deine Mitarbeiter wissen müssen (nicht mehr, nicht weniger)

Kein Tagesworkshop, kein Zertifikat. Was jeder Mitarbeiter über KI-Tools und Datenschutz wissen muss, lässt sich in 30 Minuten erklären. Hier sind die drei Dinge, die wirklich zählen.

Markus Mangold · ZEOS83

Der häufigste DSGVO-Fehler mit KI-Tools passiert nicht, weil jemand böse Absichten hat. Er passiert, weil ein Mitarbeiter um 9 Uhr morgens einen Kundenbrief schreiben will, ChatGPT aufmacht, den vollständigen Namen und die Adresse des Kunden eintippt, und es keiner für ein Problem hält.

Weil es niemand erklärt hat.

Und weil du als Inhaber oder Geschäftsführer trotzdem haftest.

Du bist der Verantwortliche

Das ist der Punkt, der in den meisten KI-Diskussionen untergeht. Die DSGVO kennt einen Begriff für denjenigen, der festlegt, wie und warum personenbezogene Daten verarbeitet werden: den Verantwortlichen. Das bist du. Nicht dein Mitarbeiter, nicht der KI-Anbieter. Du.

Was dein Mitarbeiter in ein KI-Tool eintippt, passiert in deinem Namen, in deinem Betrieb, mit deiner Verantwortung.

Das ist keine Panikmacherei. Es ist die rechtliche Realität, und sie hat eine praktische Konsequenz: Wenn du deine Mitarbeiter nicht einweist, kannst du im Ernstfall nicht sagen, du hättest von nichts gewusst. Du hast es schlicht nicht verhindert.

Die gute Nachricht: Das Verhindern ist einfacher als die meisten denken.

Was in der Praxis schiefläuft

Ich rede hier aus eigener Erfahrung und aus Gesprächen mit anderen Unternehmern. KI-Tools werden in Betrieben nicht heimlich genutzt. Sie werden genutzt, weil sie helfen. Weil ein Mitarbeiter schneller einen Angebotsentwurf erstellt, weil die E-Mail an den Lieferanten besser klingt, weil die Stellenausschreibung in zehn Minuten steht statt in zwei Stunden.

Das ist gut. Wir wollen, dass Mitarbeiter produktiv sind.

Das Problem entsteht, wenn in der KI Daten landen, die dort nicht hingehören. In der Werkstatt konkret: Kundenname und KFZ-Kennzeichen für einen Beschwerdebrief. Die Handynummer eines Lieferanten für eine Nachricht. Der vollständige Fahrzeugbefund eines Stammkunden als Grundlage für einen internen Bericht.

All das sind personenbezogene Daten. Und wenn sie in einem Consumer-KI-Tool landen, das keinen Auftragsverarbeitungsvertrag hat und dessen Daten in den USA liegen, ist das kein kleiner Fauxpas, sondern eine Datenpanne.

Drei Regeln, die jeder kennen muss

Du brauchst keine DSGVO-Schulung mit Foliensatz und Quiz. Du brauchst drei Regeln, klar formuliert, einmal erklärt.

Regel 1: Keine personenbezogenen Daten in Consumer-KI.

Was ist Consumer-KI? ChatGPT Free, ChatGPT Plus, Claude.ai Free, Claude.ai Pro, Gemini über den Browser. Alles, was du privat auf dem Handy nutzt und für das kein Unternehmensvertrag besteht.

Was sind personenbezogene Daten? Namen. Adressen. KFZ-Kennzeichen. Telefonnummern. E-Mail-Adressen. Kundennummern kombiniert mit anderen Angaben. Im Zweifel: alles, womit man eine reale Person identifizieren könnte.

Regel 2: Nur freigegebene Tools nutzen.

Du entscheidest, welche Tools im Betrieb erlaubt sind. Diese Liste muss existieren, sie muss kommuniziert werden, und sie muss aktuell bleiben. Ein Tool, das du nicht geprüft und freigegeben hast, ist kein freigegebenes Tool, egal wie gut es sich anfühlt.

Regel 3: Unsicher? Fragen, nicht riskieren.

Das ist die wichtigste Regel. Mitarbeiter sollen keine DSGVO-Experten werden. Sie sollen wissen, dass sie fragen dürfen und sollen, wenn sie sich nicht sicher sind. Besser einmal gefragt als einmal zu viel eingegeben.

Die 30-Minuten-Einweisung

Du musst dafür kein Seminar buchen. Mach es im Team-Meeting oder als kurze Einzelgespräche.

Erkläre zuerst, warum es wichtig ist. Nicht mit juristischem Vokabular, sondern mit einem konkreten Beispiel: “Wenn jemand von uns den vollen Namen und die Adresse eines Kunden in ChatGPT Free eingibt, verlassen diese Daten unseren Betrieb, landen auf amerikanischen Servern, und wir wissen nicht was damit passiert. Das ist ein Problem, das uns als Unternehmen treffen kann.”

Dann die drei Regeln, einmal laut ausgesprochen.

Dann: Welche Tools sind bei euch freigegeben? Zeig sie. Wenn du noch keine freigegebene Liste hast, ist das der Moment, dir eine zu überlegen. Für viele kleinere Betriebe reicht eine einzelne, geprüfte Lösung.

Am Ende: eine kurze schriftliche Bestätigung. Datum, Name, was besprochen wurde. Kein Roman, eine halbe Seite reicht. Das schützt dich, wenn jemand später fragt.

Was du als Nächstes brauchst

Die Einweisung ist nur so gut wie die Grundlage, auf der sie steht. Konkret heißt das:

Du brauchst mindestens ein freigegebenes KI-Tool mit gültigem Auftragsverarbeitungsvertrag und geregelter Datenverarbeitung. Consumer-Versionen fallen raus. Business- und Enterprise-Varianten mit EU-Datenresidenz und AVV sind die richtige Wahl.

Du brauchst eine interne Richtlinie, auch wenn sie eine halbe Seite lang ist. Welche Tools sind erlaubt, welche nicht, was darf eingegeben werden, was nicht.

Und du brauchst eine klare Ansage, dass Fragen erwünscht sind. Die meisten Datenpannen entstehen nicht aus Gleichgültigkeit, sondern aus Unsicherheit, die niemand adressiert hat.

Das nimmst du mit

Du musst keine Datenschutzbeauftragte einstellen und keinen Schulungsanbieter buchen, um deine Mitarbeiter rechtssicher mit KI-Tools arbeiten zu lassen. Drei Regeln, 30 Minuten, eine kurze Dokumentation. Das ist die Minimalversion, die tatsächlich etwas bewirkt.

Was nicht funktioniert: gar nichts machen und darauf hoffen, dass schon nichts passiert. Denn wenn es passiert, bist du derjenige, der die Verantwortung trägt.

Ich bin kein Jurist, sondern Unternehmer, der denselben Weg gegangen ist. Wenn du Fragen zu konkreten Tools oder zu deiner Situation hast, schreib mir direkt.

Häufige Fragen zu diesem Thema
Muss ich meine Mitarbeiter formal zu DSGVO und KI schulen?

Eine gesetzlich vorgeschriebene Pflichtschulung mit Zertifikat gibt es für KI-Tools nicht. Was es gibt: die allgemeine Pflicht nach Art. 29 DSGVO, dass Personen, die personenbezogene Daten verarbeiten, dies nur auf Anweisung des Verantwortlichen tun dürfen. In der Praxis heißt das: Du musst klarmachen, welche Tools erlaubt sind und was eingegeben werden darf. Dokumentation empfiehlt sich.

Was passiert, wenn ein Mitarbeiter aus Versehen Kundendaten in ChatGPT Free eingibt?

Das ist eine Datenpanne im Sinne der DSGVO. Je nach Risiko für die betroffene Person muss das innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden. Dein Betrieb haftet als Verantwortlicher, auch wenn der Mitarbeiter gehandelt hat, ohne es besser zu wissen. Deswegen ist die Einweisung keine Nettigkeit, sondern ein Schutz.

Reicht eine mündliche Einweisung?

Rechtlich ist eine Dokumentation sicherer. Im Zweifel reicht eine kurze schriftliche Bestätigung: Datum, Name, was besprochen wurde, Unterschrift. Das klingt bürokratisch, ist aber in wenigen Minuten erledigt und schützt dich, wenn später jemand fragt ob deine Mitarbeiter informiert waren.

Welche KI-Tools darf ich meinen Mitarbeitern freigeben?

Grundsätzlich alle Tools, mit denen du einen gültigen Auftragsverarbeitungsvertrag abgeschlossen hast und bei denen die Datenverarbeitung rechtssicher geregelt ist. Consumer-Versionen wie ChatGPT Free oder Claude.ai sind für personenbezogene Unternehmensdaten nicht geeignet. Business- und Enterprise-Versionen mit EU-Datenresidenz und AVV können freigegeben werden.

© 2026 ZEOS83 · Markus Mangold