Die wichtigste Regel: Free-Versionen sind kein Spielzeug
Die gefährlichste Lücke in Mittelständlern ist heute die unkontrollierte Nutzung von kostenlosen KI-Tools durch Mitarbeitende. ChatGPT Free, Gemini Free, kostenlose Bild- und Audio-Tools – alle verarbeiten Eingaben potenziell für ihr eigenes Modelltraining. Wer dort Kundennamen, Verträge oder Codeschnipsel hineinkopiert, verstößt mit hoher Wahrscheinlichkeit gegen die DSGVO (Verordnung (EU) 2016/679) und ggf. gegen Geschäftsgeheimnisse. Auch die Bundesbeauftragte für den Datenschutz (BfDI) und das BSI warnen explizit vor dieser Nutzung ohne organisatorischen Rahmen.
Die Lösung: ein offizielles Tool für alle, klare Regeln und ein verpflichtendes Training. Verbote ohne Alternative funktionieren nicht.
Beliebte KI-Tools im Praxis-Check
| Tool | Einsatz möglich? | Wichtigste Bedingungen |
|---|---|---|
| ChatGPT Enterprise / Team | Ja, mit Einschränkungen | AVV, Zero-Retention, EU-Datenresidenz wählen |
| ChatGPT Free / Plus | Nein für Geschäftsdaten | Nutzung nur für nicht-personenbezogene, nicht-vertrauliche Aufgaben |
| Microsoft 365 Copilot | Ja | Erfordert M365-Lizenzen und saubere Rechte im SharePoint |
| Claude (Anthropic) | Ja | Enterprise-Vertrag mit AVV, EU-Regionen verfügbar |
| Gemini for Workspace | Ja | Workspace-Datenschutz greift, EU-Hosting möglich |
| Open-Source-Modelle (z. B. Llama, Mistral) | Ja | Eigenes Hosting in EU/On-Prem |
| DeepL Pro | Ja | EU-Hosting, dokumentierte Datenverarbeitung |
Was Mitarbeitende dürfen – und nicht
Eine klare KI-Richtlinie regelt, welche Tools genutzt werden dürfen, welche Daten in welcher Form eingegeben werden dürfen und wer als Ansprechpartner für Rückfragen dient. Wichtige Bausteine:
- Erlaubte Tools und Konten (am besten unternehmenseigen)
- Verbotene Inhalte (z. B. Kundennamen ohne Pseudonymisierung, Personalakten, Geheimnisse)
- Verpflichtende menschliche Prüfung vor Versand oder Übernahme
- Meldepflicht bei Auffälligkeiten oder Vermutung auf Datenschutzpanne
- Schulungspflicht (auch zur Erfüllung von Art. 4 EU AI Act)
Wie eine KI-Richtlinie konkret aussieht
Eine gute KI-Richtlinie ist kein 30-seitiges Compliance-Dokument, sondern eine 2–3-seitige Handlungsanweisung mit Beispielen. Sie beantwortet: Was darf ich? Was darf ich nicht? Wen frage ich? – nichts mehr, nichts weniger.
Auf Anforderung stellen wir eine Muster-Richtlinie zur Verfügung, die Sie anpassen können.
Fazit
DSGVO-konforme KI ist keine Hürde, sondern eine Designentscheidung. Wer von Anfang an Enterprise-Tools mit klarem Vertrag, EU-Hosting und einer kurzen Richtlinie nutzt, hat sehr wenig Compliance-Aufwand – und massiven Produktivitätsgewinn.