Du nutzt KI-Tools im Betrieb. Vielleicht ChatGPT für E-Mails, ein Analysetool für Kundenanfragen oder ein KI-gestütztes CRM. Damit bist du nicht allein: aber hast du auch das Dokument, das Datenschutzbehörden als erstes anfordern, wenn sie vor der Tür stehen.
Welche Dokument werden von Behörden als erstes geprüft?
Das Verzeichnis der Verarbeitungstätigkeiten, kurz VVT, ist nach Artikel 30 DSGVO für jedes Unternehmen Pflicht, das personenbezogene Daten verarbeitet. Das tut faktisch jedes Unternehmen, das Kunden hat, Mitarbeitende beschäftigt oder eine Website betreibt. Trotzdem fehlt dieses Dokument bei der Mehrheit der kleinen und mittleren Betriebe.
Das VVT allein wäre schon ein Problem. In Kombination mit dem unkontrollierten KI-Einsatz 2026 kann es aber schnel teuer werden. Wer ein KI-Tool im Betrieb einsetzt und dabei personenbezogene Daten verarbeitet, braucht zusätzlich einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Fehlt dieser AVV, liegt ein eigenständiger DSGVO-Verstoß vor. Nicht erst wenn Daten gestohlen werden.
Warum gerade jetzt ein besonders hohes Risiko besteht
Die KI-Nutzung hat in Deutschland einen deutlichen Sprung gemacht: Das ifo-Institut meldet im Mai 2026, dass 54,5 Prozent der deutschen Unternehmen bereits KI einsetzen, nach 40,9 Prozent im Vorjahr. Laut Skill-Sprinters haben gleichzeitig 78 Prozent dieser Unternehmen noch keine Compliance-Schritte unternommen. Diese Schere ist das eigentliche Risiko.
Dazu kommt ein unterschätztes Phänomen: 42 Prozent der deutschen Unternehmen gehen davon aus, dass Beschäftigte KI-Tools über private Accounts nutzen. Ohne AVV, ohne Datenschutz-Folgenabschätzung, ohne Wissen der Unternehmensführung. Diese sogenannte Schatten-KI ist für viele Unternehmen ein großes Compliance-Risiko.
Der konkrete Ablauf, der zum Verstoß führt
Das Szenario sieht meistens so aus: Ein Mitarbeitender fügt eine Kundenanfrage mit Namen, E-Mail und Auftragsdaten in ein KI-Tool ein, um eine Antwort zu formulieren. Das Tool läuft über einen Consumer-Account, für den kein AVV existiert. Diese Daten werden möglicherweise für das Training des Modells genutzt.
Was viele nicht wissen: Die kostenlose Version von ChatGPT und ChatGPT Plus sind für den Unternehmenseinsatz mit personenbezogenen Daten nicht geeignet. Ein AVV ist bei diesen Tarifen nicht verfügbar.
Ähnliches gilt für viele andere Tools: Microsoft 365, HubSpot, Salesforce. Sie alle sind Auftragsverarbeiter im Sinne der DSGVO. Wer keinen AVV mit ihnen abgeschlossen hat, verstößt bereits gegen die Datenschutzgrundverordnung, unabhängig davon, ob tatsächlich ein Datenproblem aufgetreten ist.
Was der EU AI Act zusätzlich ändert
Die DSGVO ist nicht das einzige Regelwerk, das 2026 greift. Der EU AI Act hat seine Kompetenzpflicht nach Artikel 4 bereits seit Februar 2025 in Kraft. Unternehmen, die KI-Systeme einsetzen, müssen sicherstellen, dass ihre Mitarbeitenden über ausreichendes KI-Verständnis verfügen. Der Bußgeldrahmen ist seit August 2025 anwendbar: bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes.
Der Digital Omnibus vom 7. Mai 2026 hat zwar einige Hochrisiko-Pflichten nach hinten verschoben. Die Transparenzpflichten, die Verbote und eben die Kompetenzpflicht bleiben jedoch unverändert. Ab dem 2. August 2026 kommt außerdem eine Kennzeichnungspflicht für KI-generierte Inhalte hinzu: Bilder, Videos oder Audioformate, die für echt gehalten werden könnten, müssen für Menschen sichtbar als KI-generiert markiert sein.
Tipp: Prüfe jetzt, welche KI-Tools in deinem Unternehmen im Einsatz sind, auch die, die Mitarbeitende privat nutzen. Erstelle eine Liste und prüfe für jedes Tool: Gibt es einen AVV? Ist dieser auch abgeschlossen? Wenn du das nicht mit Sicherheit sagen kannst, ist das dein Einstiegspunkt.
Die drei Schritte, die du sofort umsetzen kannst
- VVT erstellen oder aktualisieren: Trage alle KI-Tools ein, die in deinem Betrieb genutzt werden, inklusive der Tools der Mitarbeitenden. Das VVT ist kein einmaliges Dokument, es muss laufend aktuell sein.
- AVV prüfen und abschließen: Für jeden externen Dienst, der personenbezogene Daten verarbeitet, braucht es einen schriftlichen AVV nach Art. 28 DSGVO. Viele Anbieter stellen diesen im Business-Bereich bereit, er muss aber explizit abgeschlossen werden.
- Schatten-KI eindämmen: Lege intern fest, welche Tools erlaubt sind und kommuniziere das klar. Eine kurze Richtlinie zur KI-Nutzung reicht als Ausgangspunkt.
Was das für die Tool-Wahl bedeutet
Für viele KMU ist der pragmatischste Weg, von Anfang auf Plattformen zu setzen, die DSGVO-Compliance bereits mitbringen. Das spart den Aufwand, für jedes einzelne Tool Verträge zu prüfen und Datenschutzfragen zu klären.
ConRat AI zum Beispiel ist auf deutschen und EU-Servern gehostet (IONOS Deutschland, Microsoft Azure Frankfurt) und verarbeitet Kundendaten nicht für das KI-Training. Für Unternehmen, die schnell starten wollen, ohne sich durch einen Tool-Dschungel zu kämpfen, ist das ein relevanter Unterschied zu Consumer-Tools ohne klare Vertragsgrundlage. Du kannst ConRat AI 30 Tage kostenlos testen, ohne Kreditkarte, ab 19 Euro pro Monat.
Unser Fazit
Der häufigste DSGVO-Fehler bei KMU ist kein technisches Versagen. Er entsteht dadurch, dass Tools produktiv genutzt werden, bevor die rechtlichen Grundlagen geklärt sind. Das Fehlen eines VVT und fehlende AVVs bei KI-Diensten sind 2026 keine Kavaliersdelikte mehr: Europäische Datenschutzbehörden haben im Jahr 2025 laut EDPB Annual Report insgesamt über 1,1 Milliarden Euro an Bußgeldern verhängt. Der Aufwand, ein VVT zu erstellen und AVVs abzuschließen, ist überschaubar. Der Aufwand nach einer Prüfung ist es nicht.
