DSGVO-konforme KI-Tools: Vergleich und Checkliste 2026

DSGVO-konforme KI-Tools sind für den deutschen Mittelstand keine Kür mehr, sondern Pflicht. 78 Prozent der Beschäftigten bringen laut Microsoft Work Trend Index 2024 eigene KI-Tools an den Arbeitsplatz mit - oft ohne Freigabe und ohne Datenschutzprüfung. Gleichzeitig haben europäische Datenschutzbehörden bis März 2025 Bußgelder in Höhe von insgesamt 5,65 Milliarden Euro verhängt (CMS GDPR Enforcement Tracker 2025). Die gute Nachricht: DSGVO-konforme KI-Tools existieren, und sie stehen ihren unregulierten Alternativen in der Leistung kaum nach.

Kennzahlen auf einen Blick

Kennzahl	Wert
KI-Einsatz in deutschen Industrieunternehmen	40 % nutzen KI, 38 % planen es (Bitkom 2025)
Shadow-AI-Quote	78 % bringen eigene KI-Tools mit (Microsoft 2024)
DSGVO-Bußgelder EU gesamt	5,65 Mrd. EUR, 2.245 Fälle (CMS 2025)
Beschäftigte ohne KI-Schulung	ca. 70 % (Salesforce 2023)
Unternehmen ohne KI-Governance-Plan	60 % der Führungskräfte sehen keinen Plan (Microsoft 2024)

Quellen: Bitkom 2025/2026, Microsoft/LinkedIn Work Trend Index 2024, CMS GDPR Enforcement Tracker 2025, Salesforce Research 2023

Warum Datenschutz bei KI-Tools jetzt dringend ist

Der Einsatz von KI im Unternehmen wirft datenschutzrechtliche Fragen auf, die sich nicht mit einem einfachen Klick auf “Akzeptieren” lösen lassen. Wer personenbezogene Daten in ein KI-Tool eingibt, verarbeitet diese Daten im Sinne der DSGVO. Das Unternehmen bleibt dabei Verantwortlicher - unabhängig davon, ob der Anbieter in Deutschland, den USA oder China sitzt.

Typische Datenschutz-Verstöße beim KI-Einsatz

Die häufigsten Fehler passieren nicht aus böser Absicht, sondern aus Unwissen. Ein Vertriebsmitarbeiter gibt Kundendaten in ChatGPT Free ein, um eine E-Mail formulieren zu lassen. Die Personalabteilung nutzt ein KI-Tool für Bewerbungsscreenings ohne Datenschutz-Folgenabschätzung. Das Marketing-Team lädt vertrauliche Marktanalysen in ein Tool ohne Auftragsverarbeitungsvertrag (AVV) hoch.

Jeder dieser Fälle kann ein Bußgeld auslösen. Die DSGVO sieht Strafen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor. Der EU AI Act, der seit August 2024 gilt, legt mit bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes sogar noch eine Stufe drauf. Das sind keine theoretischen Zahlen: Die italienische Datenschutzbehörde hat gegen Clearview AI ein Bußgeld von 20 Millionen Euro verhängt, weil das Unternehmen mit KI-gestützter Gesichtserkennung gegen die DSGVO verstoßen hat.

Was die DSGVO für KI-Anwendungen vorschreibt

Die DSGVO kennt kein eigenes “KI-Kapitel”, aber mehrere Artikel greifen direkt. Art. 6 verlangt eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten. Art. 28 schreibt einen Auftragsverarbeitungsvertrag vor, wenn ein externer Dienstleister Daten verarbeitet. Art. 25 fordert Datenschutz durch Technikgestaltung (Privacy by Design). Art. 35 macht eine Datenschutz-Folgenabschätzung zur Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Bei den meisten KI-Tools mit Zugang zu personenbezogenen Daten ist das der Fall.

Zusätzlich gilt seit Februar 2025 die AI-Literacy-Pflicht aus dem EU AI Act (Art. 4): Unternehmen müssen dokumentieren, dass ihre Mitarbeiter im Umgang mit KI-Systemen geschult sind. Wer KI ohne Schulungsnachweis einsetzt, riskiert ein Bußgeld. Mehr zu den Pflichten und Fristen lesen Sie in unserem Guide zum EU AI Act für Unternehmen.

Welche KI-Tools sind DSGVO-konform?

Ob ein KI-Tool DSGVO-konform ist, hängt weniger vom Tool selbst ab als von der Betriebsform. ChatGPT als Free-Version mit US-Servern und Trainingsdatennutzung ist datenschutzrechtlich problematisch. Dieselbe GPT-4-Technologie über Azure OpenAI mit EU-Hosting, AVV und deaktiviertem Training ist datenschutzkonform einsetzbar. Entscheidend sind Konfiguration, Vertragslage und Serverstandort.

Die folgende Tabelle zeigt eine Übersicht gängiger KI-Tools und ihre DSGVO-Eignung:

Nach der Tabelle wird deutlich: Deutsche und europäische KI-Anbieter wie DeepL und Neuroflash sind konstruktionsbedingt DSGVO-konform. Internationale Anbieter wie OpenAI oder Microsoft bieten DSGVO-konforme Varianten an, aber nur in den richtigen Tarifen und mit der richtigen Konfiguration. Kostenlose Versionen und Anbieter ohne EU-Präsenz sind für den Unternehmenseinsatz keine Option. Einen ausführlichen Blick auf das ChatGPT-DSGVO-Problem und konkrete Gegenmaßnahmen finden Sie in unserem separaten Artikel.

Open-Source-KI als datenschutzkonforme Alternative

Open-Source-Modelle wie LLaMA, Mistral oder Phi bieten den höchsten Datenschutzgrad, weil Unternehmen sie auf eigenen Servern betreiben können. Keine Daten verlassen das Unternehmensnetzwerk, kein externer Anbieter hat Zugriff. Alternativ bieten Cloud-Hosting-Anbieter in der EU managed KI-Services an, bei denen Betrieb und Wartung ausgelagert werden, die Daten aber in europäischen Rechenzentren bleiben. Die Kehrseite beim Self-Hosting: Es erfordert technisches Know-how und Infrastruktur. Für Unternehmen ab 50 Mitarbeitern mit eigener IT-Abteilung kann das dennoch der sicherste Weg sein. Frameworks wie Open WebUI machen den Betrieb auch ohne KI-Spezialistenteam möglich. Eine Übersicht der besten Open-Source-Modelle finden Sie in unserem Open-Source-KI-Guide.

Ist ChatGPT DSGVO-konform?

Die kurze Antwort: Es kommt auf den Tarif an. ChatGPT Free und Plus speichern Eingaben auf US-Servern und verwenden sie zum Training des Modells. Ein AVV gibt es für Privatkunden nicht. Damit ist ChatGPT in der kostenlosen Version für die Verarbeitung personenbezogener Daten im Unternehmen nicht geeignet.

ChatGPT Team und Enterprise bieten dagegen einen AVV nach Art. 28 DSGVO, deaktiviertes Training mit Kundendaten und SOC-2-Zertifizierung. Wer zusätzlich Azure OpenAI mit EU-Hosting nutzt, hält die Daten in europäischen Rechenzentren. Die Kosten liegen bei 25 bis 60 US-Dollar pro Nutzer und Monat - für ein Unternehmen mit 20 Mitarbeitern also bei 500 bis 1.200 US-Dollar monatlich. Im Vergleich zu einem einzigen DSGVO-Bußgeld ist das eine überschaubare Investition.

7 Kriterien für DSGVO-konforme KI-Tools

Bevor ein KI-Tool im Unternehmen zum Einsatz kommt, sollte es diese sieben Kriterien erfüllen. Die Prüfung dauert in der Regel ein bis zwei Stunden pro Tool und schützt vor deutlich teureren Konsequenzen.

1. Serverstandort in der EU oder dem EWR
2. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO verfügbar
3. Kein Training mit Nutzerdaten (Opt-out oder Zero-Data-Retention)
4. Verschlüsselung der Daten bei Übertragung und Speicherung
5. Transparente Dokumentation der Datenverarbeitung
6. Löschkonzept mit definierten Aufbewahrungsfristen
7. Zertifizierungen wie ISO 27001 oder SOC 2

Serverstandort und Datenverarbeitung in der EU

Der Serverstandort ist das erste Ausschlusskriterium. Werden Daten in die USA übermittelt, greift zwar das EU-US Data Privacy Framework - aber dessen Beständigkeit ist unsicher. Die beiden Vorgänger (Safe Harbor, Privacy Shield) hat der EuGH gekippt. Unternehmen, die auf EU-Server setzen, eliminieren dieses Risiko vollständig. Azure OpenAI, ChatGPT Enterprise und mehrere deutsche KI-Anbieter bieten EU-Hosting ohne Aufpreis an.

Auftragsverarbeitungsvertrag und Rechtsgrundlage

Ohne AVV ist die Nutzung eines externen KI-Dienstes schlicht rechtswidrig. Der Vertrag regelt, welche Daten wie lange und zu welchem Zweck verarbeitet werden. Er benennt Unterauftragnehmer und definiert Weisungsbefugnisse. Die meisten Enterprise-KI-Anbieter stellen standardisierte AVVs bereit. Prüfen Sie dennoch, ob der AVV Ihre spezifischen Anforderungen abdeckt, insbesondere bei branchenspezifischen Daten (Gesundheit, Finanzen, Recht).

Opt-out aus dem KI-Training

Bei vielen KI-Tools landen Nutzereingaben im Trainingsdatensatz des Modells. Das bedeutet: Vertrauliche Unternehmensinformationen könnten in den Antworten anderer Nutzer auftauchen. DSGVO-konforme KI-Tools garantieren entweder ein vollständiges Opt-out oder arbeiten nach dem Prinzip der Zero-Data-Retention: Eingaben werden nach der Verarbeitung sofort gelöscht und nie für das Training verwendet.

Welche Daten dürfen in KI-Tools eingegeben werden?

Selbst bei einem vollständig DSGVO-konformen KI-Tool gilt: Nicht jede Information gehört in einen Prompt. Unternehmen brauchen klare Regeln, welche Daten eingegeben werden dürfen und welche nicht. Eine pragmatische Einteilung nach Datenklassen hilft.

Öffentlich zugängliche Informationen wie Produktbeschreibungen oder allgemeine Brancheninformationen sind unkritisch. Interne Dokumente ohne Personenbezug wie Prozessbeschreibungen oder Marktanalysen erfordern einen AVV und Vertraulichkeitsschutz. Personenbezogene Daten wie Namen, E-Mail-Adressen oder Kundennummern dürfen nur in Tools mit AVV, EU-Hosting und deaktiviertem Training eingegeben werden. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO - Gesundheitsdaten, religiöse Überzeugungen, biometrische Daten - erfordern zusätzlich eine Datenschutz-Folgenabschätzung und explizite Einwilligung.

Eine interne KI-Richtlinie, die diese Kategorien für alle Mitarbeiter verständlich definiert, ist keine Option, sondern eine Notwendigkeit. 70 Prozent der Beschäftigten haben laut Salesforce Research 2023 keinerlei Schulung zum sicheren Umgang mit generativer KI erhalten. Hier liegt das größte operative Risiko.

DSGVO-konforme KI-Tools im Unternehmen einführen

Die Einführung datenschutzkonformer KI-Tools folgt einem klaren Prozess. Wer diesen Prozess strukturiert durchläuft, spart sich nachträgliche Korrekturen und reduziert das Bußgeldrisiko auf ein Minimum.

Datenschutz-Folgenabschätzung durchführen

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist bei KI-Tools mit personenbezogenen Daten in der Regel Pflicht. Sie dokumentiert, welche Daten verarbeitet werden, welche Risiken bestehen und welche Gegenmaßnahmen getroffen werden. Die DSFA ist kein bürokratisches Hindernis, sondern ein strukturiertes Werkzeug, das Schwachstellen frühzeitig aufdeckt. Binden Sie Ihren Datenschutzbeauftragten von Anfang an ein.

Betriebsrat einbinden und Betriebsvereinbarung schließen

Wenn ein KI-Tool das Verhalten oder die Leistung von Mitarbeitern überwachen kann, hat der Betriebsrat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Das betrifft viele KI-Anwendungen: Ein Chatbot, der Kundengespräche auswertet, ein Schreibassistent, der Texte analysiert, oder ein Tool, das Arbeitsabläufe optimiert. Eine Betriebsvereinbarung regelt transparent, welche KI-Tools eingesetzt werden, welche Daten erhoben werden und welche nicht.

Mitarbeiterschulung und Nutzungsrichtlinien

Seit Februar 2025 fordert der EU AI Act eine dokumentierte KI-Kompetenz (AI Literacy) aller Mitarbeiter, die KI-Systeme nutzen. Eine einmalige Schulung reicht nicht. Unternehmen brauchen ein wiederkehrendes Schulungsprogramm, das Themen wie Datenschutz, Prompting-Regeln und erlaubte Anwendungsfälle abdeckt. 46 Prozent der deutschen Industrieunternehmen sehen sich beim KI-Einsatz selbst als Nachzügler (Bitkom 2026). Schulungen sind der schnellste Weg, diesen Rückstand aufzuholen.

Checkliste: Ist Ihr KI-Tool DSGVO-konform?

Nutzen Sie diese Checkliste, um jedes KI-Tool vor dem Unternehmenseinsatz zu prüfen. Wenn ein Punkt nicht erfüllt ist, klären Sie ihn mit dem Anbieter oder wählen Sie eine Alternative.

• Liegt ein AVV nach Art. 28 DSGVO vor?
• Werden Daten in der EU oder im EWR verarbeitet?
• Ist die Nutzung von Eingabedaten für das KI-Training deaktiviert?
• Gibt es ein dokumentiertes Löschkonzept?
• Ist die Datenverarbeitung in Ihrem Verarbeitungsverzeichnis erfasst?
• Wurde eine Datenschutz-Folgenabschätzung durchgeführt (bei personenbezogenen Daten)?
• Sind Zugriffskontrollen und Verschlüsselung implementiert?
• Ist der KI-Einsatz in der Datenschutzerklärung erwähnt?
• Haben Mitarbeiter eine dokumentierte KI-Schulung erhalten?
• Gibt es eine interne KI-Nutzungsrichtlinie mit Datenklassifizierung?

Für eine tiefergehende Einordnung empfehlen wir unseren Leitfaden zum DSGVO-konformen KI-Einsatz, der die einzelnen Prüfpunkte ausführlich behandelt.

EU AI Act und DSGVO - was sich 2025 und 2026 ändert

DSGVO und EU AI Act bilden zusammen den regulatorischen Rahmen für den KI-Einsatz in Europa. Die DSGVO regelt den Umgang mit personenbezogenen Daten, der AI Act definiert Anforderungen an KI-Systeme selbst. Beide Verordnungen gelten gleichzeitig.

Die Durchsetzung in Deutschland übernimmt voraussichtlich die Bundesnetzagentur. Die Sanktionen sind empfindlich: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für den Mittelstand bedeutet das konkret: Wer heute DSGVO-konforme KI-Tools einführt und den Compliance-Prozess sauber dokumentiert, erfüllt einen großen Teil der AI-Act-Anforderungen bereits automatisch. Unternehmen, die beides ignorieren, riskieren parallele Verfahren nach DSGVO und AI Act.

Reifegrad-Modell: Wo steht Ihr Unternehmen?

Die Einführung DSGVO-konformer KI-Tools ist kein einmaliges Projekt, sondern ein Prozess. Das folgende Reifegrad-Modell hilft bei der Einordnung.

Die meisten mittelständischen Unternehmen befinden sich zwischen Stufe 1 und 2. Der Sprung auf Stufe 3 ist mit überschaubarem Aufwand machbar und schützt vor den größten Risiken. Entscheidend ist, den Anfang zu machen.

DSGVO-konforme KI-Tools sind heute verfügbar, leistungsfähig und wirtschaftlich sinnvoll. Die Technologie steht nicht im Widerspruch zum Datenschutz. Ob ChatGPT Enterprise, DeepL Pro oder eine selbst gehostete Open-Source-Lösung - für jedes Unternehmen gibt es einen passenden Weg, KI rechtskonform einzusetzen. Der erste Schritt ist eine Bestandsaufnahme: Welche KI-Tools werden heute bereits genutzt, und welche davon sind datenschutzkonform konfiguriert?

Sie möchten KI in Ihrem Unternehmen einsetzen? Sprechen Sie uns an - wir beraten Sie unverbindlich.