DSGVO & Recht · Juni 2026

DSGVO-konforme KI für kleine Betriebe: Was du 2026 wirklich beachten musst (ohne Jura-Studium)

✍️ Irfan Tutic 📅 Juni 2026 ⏱ ca. 5 Min. Lesezeit 🔄 zuletzt geprüft: Juni 2026

Die meisten kleinen Betriebe nutzen ChatGPT & Co. gerade auf eine Art, die streng genommen nicht erlaubt ist – und merken es nicht. Die gute Nachricht: Es liegt fast nie am Tool, sondern an drei, vier Einstellungen. Wer sie kennt, ist in einem Nachmittag auf der sicheren Seite. Genau diese Punkte gehen wir hier durch – praktisch, ehrlich, ohne Paragraphen-Deutsch.

In 30 Sekunden vorab

Du brauchst (1) einen AVV mit dem Anbieter, (2) am besten EU-Hosting, (3) aktiviertes Training-Opt-out, (4) keine echten Kundendaten im Prompt. Und ab August 2026 musst du KI-Inhalte kennzeichnen. Mehr ist es im Kern nicht.

Das große Missverständnis: Es liegt nicht am Tool, sondern an der Konfiguration

„Ist ChatGPT DSGVO-konform?" ist eigentlich die falsche Frage. Dasselbe Tool kann rechtssicher oder rechtswidrig sein – je nachdem, wie du es einsetzt. Die kostenlose Web-Version von ChatGPT verarbeitet Eingaben auf US-Servern, ohne Auftragsverarbeitungsvertrag. Tippst du dort echte Kundendaten rein, ist das für einen Betrieb nicht sauber. Dieselbe KI über die API, mit AVV und EU-Einstellung, ist dagegen unproblematisch. Die Konfiguration entscheidet – nicht der Name.

Die 6-Punkte-Checkliste für DSGVO-konforme KI

1

AVV abschließen

Sobald personenbezogene Daten ins Tool gelangen (Namen, E-Mails, Kundeninfos), brauchst du einen Auftragsverarbeitungsvertrag mit dem Anbieter. Ohne ihn ist die Verarbeitung rechtswidrig – egal wie sicher die Technik dahinter ist.

2

Daten möglichst in der EU/EWR

US-Übermittlung ist erlaubt, wenn der Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist – aber EU-Hosting ist der einfachere Weg und erspart Nachfragen beim Datenschutzbeauftragten.

3

Training-Opt-out aktivieren

Stell sicher, dass deine Eingaben nicht zum Training des Modells verwendet werden. Bei den Geschäfts-/API-Tarifen ist das meist Standard, bei Gratis-Versionen oft nicht.

4

Keine echten Personendaten in den Prompt

Faustregel: Was nicht reinmuss, kommt nicht rein. Anonymisieren spart die meisten Probleme von vornherein. Alternativ: API statt Web-Chat nutzen – dort gilt ein strengeres Datenschutz-Regime.

5

Kurz dokumentieren

Welches Tool, welche Daten, welcher Zweck, welche Rechtsgrundlage, welche Schutzmaßnahmen. Kein Roman – eine einfache Tabelle reicht völlig.

6

Mitarbeiter-Wissen sicherstellen

Seit Februar 2025 verlangt der EU AI Act, dass alle, die KI bedienen oder deren Ergebnisse nutzen, ausreichend geschult sind. Bei kleinen Teams reicht eine klare interne Kurz-Anleitung.

Die typischen Warnsignale

⚠️ Achtung bei diesen Mustern
  • Gratis-Web-Version für geschäftliche Daten – fast immer das Hauptproblem.
  • Kein AVV beim Anbieter auffindbar → Finger weg für sensible Daten.
  • Unklares Hosting / keine Aussage zum Training → nicht für Kundendaten nutzen.

Neu ab 2026: die Kennzeichnungspflicht (EU AI Act)

📅 Wichtiges Datum

Ab dem 2. August 2026 greifen die AI-Act-Transparenzpflichten: Chatbots müssen sich als KI zu erkennen geben, und täuschend echte KI-Inhalte (Deepfakes) sind zu kennzeichnen — normale Illustrationen und Werbetexte dagegen nicht. Was genau gilt (und welche Pflichten die EU im Mai 2026 auf Ende 2027 verschoben hat): unser aktueller AI-Act-Leitfaden →

Das ist der Punkt, den viele noch nicht auf dem Schirm haben. Für die meisten kleinen Betriebe ist das kein Drama, aber wichtig: Wenn du z. B. einen KI-Chatbot auf der Website hast, muss der Besucher erkennen, dass er mit einer KI spricht.

Die strengen Hochrisiko-Pflichten (z. B. KI im Recruiting) wurden durch den „Digital Omnibus" im Mai 2026 nach hinten verschoben – auf Dezember 2027 bzw. August 2028. Für KMU gibt es zudem Erleichterungen: vereinfachte Dokumentation und niedrigere Bußgeld-Obergrenzen.

Welche Tools als besonders DSGVO-stark gelten

Als solide Wahl mit EU-Bezug, AVV und Opt-out gelten u. a. Claude (über API mit AVV), die OpenAI-API mit EU-Data-Residency, Mistral (EU-Unternehmen) und DeepL (deutsches Unternehmen). Welches davon für deinen Anwendungsfall am besten passt, hängt von der Aufgabe ab.

Noch unsicher, welches Tool zu dir passt?

1 Klick – 1 ehrliche Empfehlung
Tool-Finder starten →
Gratis für KI-Sprung-Leser

Die DSGVO-KI-Checkliste: 6 Punkte + 5 Starter-Prompts

Sofort verfügbar, kein Formular nötig — abhaken, ausdrucken, loslegen. (Der Newsletter startet in Kürze.)

📋 Checkliste sofort öffnen → Kostenlos · kein Spam · keine Anmeldung nötig

Häufige Fragen

Ist ChatGPT DSGVO-konform?
Die Gratis-Web-Version für geschäftliche Personendaten: eher nein. Über die API mit AVV, EU-Einstellung und Training-Opt-out: ja, sauber nutzbar. Die Konfiguration entscheidet.
Brauche ich wirklich einen AVV?
Sobald personenbezogene Daten verarbeitet werden: ja. Ohne AVV ist es rechtswidrig – unabhängig davon, wie sicher das Tool technisch ist.
Muss ich KI-Texte und -Bilder kennzeichnen?
Ab dem 2. August 2026 müssen KI-generierte Inhalte und Chatbots gekennzeichnet werden. Plane das jetzt ein, damit du nicht nachrüsten musst.
Drohen Bußgelder?
Möglich – aber für KMU gelten niedrigere Obergrenzen. Wer die 6-Punkte-Checkliste abarbeitet, ist das Risiko praktisch los.

Weiterlesen

📋 Leitfaden
KI für kleine Betriebe
Alle Tools im Überblick — der grosse Leitfaden
🚀 Einstieg
KI für Selbstständige
7-Tage-Plan inkl. DSGVO-Setup an Tag 2
📋 Gratis
Die DSGVO-Checkliste
6 Punkte zum Abhaken + 5 Starter-Prompts
🔍 Werkzeug
KI-Tool-Finder
DSGVO-bewusste Tool-Empfehlungen
Quellen (Stand Juni 2026): Synclaro (DSGVO-KI-Checkliste KMU) · flinki.ai (AVV-Vorlage) · Sage & ScaleWise (EU AI Act Fristen / Digital Omnibus) · IHK München (AI Act Überblick)
ℹ️ Kein Rechtsrat: Dieser Beitrag ist eine sorgfältige, praxisnahe Orientierung und keine Rechtsberatung. Im Zweifel oder bei sensiblen Daten hilft ein Fachanwalt oder Datenschutzbeauftragter.