Gratis für KI-Sprung-Leser

Die DSGVO-KI-Checkliste: 6 Punkte, mit denen dein Betrieb KI rechtssicher nutzt

Stand Juni 2026 · von KI-Sprung (ki-sprung.com) · Zum Abhaken — am besten ausdrucken oder als PDF sichern.

1

Inventur: Welche KI-Tools nutzt ihr — auch inoffiziell?

Frag dich und dein Team ehrlich: Wer nutzt ChatGPT, Canva, DeepL & Co. — auch privat installierte Versionen für Firmenzwecke („Schatten-KI")? Ohne Inventur kein Schutz.

To-do: Liste anlegen: Tool · wer nutzt es · wofür · welche Daten gehen rein. Dauert 30 Minuten und ist die Basis für alles Weitere.
2

Keine Kundendaten ohne AVV eingeben

Sobald personenbezogene Daten (Namen, E-Mails, Kundendetails) in ein KI-Tool fließen, brauchst du einen Auftragsverarbeitungsvertrag (AVV/DPA) mit dem Anbieter.

To-do: Für jedes Tool aus Punkt 1 prüfen: Bietet der Anbieter einen AVV? (Meist unter „Data Processing Agreement" / in den Business-Einstellungen.) Abschließen und ablegen. Kein AVV möglich → keine Personendaten in das Tool.
3

Training-Opt-out aktivieren

Viele KI-Anbieter nutzen deine Eingaben standardmäßig zum Training ihrer Modelle. Das lässt sich fast überall abschalten — machen die wenigsten.

To-do: ChatGPT: Einstellungen → Datenkontrollen → „Modell für alle verbessern" AUS. Claude: Privacy Settings prüfen. Canva (Free): Privatsphäre-Einstellungen → Inhaltsnutzung AUS.
4

EU-Alternativen bevorzugen, wo es passt

Tools mit EU-Servern und EU-Firmensitz machen die DSGVO-Compliance deutlich einfacher — kein Drittlandtransfer-Thema.

To-do: Bei der nächsten Tool-Wahl EU-Optionen prüfen: DeepL (Köln) für Übersetzungen, Brevo (Paris) für E-Mail, sevdesk/Lexware (DE) für Rechnungen, ManyChat (AWS Frankfurt) für Chatbots.
5

Team-Regeln aufstellen (eine Seite genügt)

Die größte DSGVO-Gefahr ist nicht das Tool — es ist der gut gemeinte Mitarbeiter, der Kundendaten in den Chat kopiert.

To-do: Eine A4-Seite „KI-Spielregeln": Welche Tools sind erlaubt? Was darf NIE eingegeben werden (Namen, Adressen, Gesundheits-/Finanzdaten)? Wer ist Ansprechpartner? Von allen lesen lassen.
6

Kennzeichnungspflichten ab August 2026 im Blick

Mit dem EU AI Act kommen ab August 2026 Transparenzpflichten: KI-generierte Inhalte müssen in bestimmten Fällen als solche erkennbar sein (z. B. Deepfakes, KI-Chatbots im Kundenkontakt müssen sich zu erkennen geben).

To-do: Chatbot auf der Website? → Hinweis „KI-Assistent" ergänzen. KI-generierte Bilder auf Social Media? → Plattform-Kennzeichnung (Instagram/TikTok) aktivieren. Bei Unsicherheit: ki-sprung.com/dsgvo-ki-kleine-betriebe-2026

🎁 Bonus: Die 5 Starter-Prompts, die sofort Zeit sparen

  • E-Mail-Entwurf: „Schreib eine professionelle, freundliche Antwort auf diese Kundenanfrage: [Anfrage einfügen — ohne echte Namen]. Ton: hilfsbereit, kurz."
  • Angebots-Text: „Schreib eine Leistungsbeschreibung für ein Angebot. Gewerk: [X]. Leistung: [Stichworte]. Verständlich für Laien, keine Preise."
  • Social-Post: „Mach aus diesem Gedanken 3 Social-Media-Posts (kurz/mittel/lang): [dein Tipp der Woche]."
  • Zusammenfassung: „Fasse dieses Dokument in 5 Stichpunkten zusammen und nenne 3 Risiken: [Text einfügen]."
  • Korrektur: „Korrigiere Rechtschreibung und Grammatik, behalte meinen Ton bei: [Text]."
Wichtiger Hinweis: Diese Checkliste ist sorgfältig recherchiert (Stand Juni 2026), ersetzt aber keine Rechtsberatung. Bei konkreten Fragen zu deinem Betrieb: Datenschutz-Fachmann oder Fachanwalt fragen.

© 2026 KI-Sprung · TI Marketing & Management · ki-sprung.com · Mehr ehrliche KI-Tipps: Der Leitfaden „KI für kleine Betriebe" auf ki-sprung.com