KI und Datenschutz 2026: DSGVO-Pflichten für DACH-KMU

16. April 20266 Min. Lesezeit

DSGVO kennen die meisten KMU inzwischen. Aber seit Anfang 2025 gilt ein zweites Regelwerk parallel dazu: der EU AI Act. Wer KI im Unternehmen einsetzt, muss beide Rahmen gleichzeitig im Blick behalten. Was das konkret bedeutet und wo der dringendste Handlungsbedarf liegt, zeigt dieser Artikel.

Die Zahlen sprechen eine klare Sprache

KI-Nutzung in deutschen Unternehmen ist 2026 kein Randthema mehr. Laut einer Bitkom-Umfrage (604 Unternehmen, Anfang 2026) nutzen 41 Prozent der Unternehmen ab 20 Beschäftigten bereits KI. Vor einem Jahr waren es erst 17 Prozent. Weitere 48 Prozent planen oder diskutieren den Einsatz.

Gleichzeitig bremst Datenschutz aus: 77 Prozent der Unternehmen nennen Datenschutzanforderungen als größtes Hindernis bei der Digitalisierung. Und mehr als die Hälfte der Unternehmen hat sich laut einer Deloitte-Umfrage (500 Entscheider, Stand Februar 2026) noch nicht intensiv auf die Umsetzung der neuen KI-Regulierung vorbereitet.

Das Problem: Die Uhr tickt bereits.

Was gilt wann, ein Überblick über die aktuellen Fristen

Viele KMU-Inhaber glauben, der EU AI Act sei erst im August 2026 ein Thema. Das stimmt nur teilweise.

Seit 2. Februar 2025 gilt bereits: Das Verbot bestimmter KI-Praktiken (z. B. Social Scoring, manipulative Systeme) sowie die KI-Kompetenzpflicht nach Artikel 4. Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass betroffene Mitarbeitende über ausreichende KI-Kompetenz verfügen. Diese Kompetenz muss dokumentiert und nachweisbar sein. Laut KI League ist das keine Absichtserklärung, sondern eine bindende Pflicht.
Ab 2. August 2026: Der EU AI Act wird vollständig anwendbar. Ab dann müssen KI-Interaktionen mit Menschen als solche erkennbar sein, KI-generierte Inhalte entsprechend markiert werden, und Deepfakes klar als manipulierte Inhalte gekennzeichnet sein. Das betrifft auch KMU, die z. B. KI-Chatbots auf ihrer Website einsetzen oder KI-Texte für Kundenkommunikation nutzen.
Verschobene Fristen für Hochrisiko-KI: Das Digital-Omnibus-Paket, das das EU-Parlament am 26. März 2026 mit 569 zu 45 Stimmen angenommen hat, verschiebt die strengsten Pflichten für Hochrisiko-KI-Systeme (z. B. KI im HR-Bereich, Kredit-Scoring oder biometrische Identifizierung) auf den 2. Dezember 2027. Laut ing-ism.de gibt das dem Mittelstand etwas mehr Luft, die grundlegenden Pflichten bleiben aber bestehen.

Was bedeutet das für ein typisches KMU konkret?

Ein praktisches Beispiel aus der Praxis, beschrieben von skill-sprinters.de: Ein Maschinenbau-Unternehmen mit 120 Mitarbeitern nutzt Microsoft Copilot, ChatGPT und ein KI-gestütztes Bewerbungstool. Die ersten beiden Systeme gelten als Niedrigrisiko. Das Bewerbungstool hingegen fällt unter Hochrisiko-KI. Für dieses System gelten die vollen Pflichten: menschliche Aufsicht, aktive Information der Bewerber und Protokollaufbewahrung.

Für die Mehrheit der KMU läuft es laut Experten auf drei Kernaufgaben hinaus:

Dokumentieren: Welche KI-Systeme werden wo eingesetzt? Ohne ein vollständiges KI-Inventar ist jede weitere Compliance-Maßnahme wertlos. Über 50 Prozent der deutschen Unternehmen haben dieses Inventar laut Deloitte noch nicht.
Schulen: Mitarbeitende, die KI nutzen, müssen nachweislich darin geschult sein. Nur 8 Prozent der Unternehmen bieten laut Bitkom (September 2025) KI-Schulungen für alle Beschäftigten an. 43 Prozent haben gar keine entsprechenden Angebote.
Transparent sein: Kunden und Nutzer müssen erkennen können, wenn sie mit einem KI-System kommunizieren. Das gilt spätestens ab August 2026 verbindlich.

DSGVO und KI: Wo es besonders heikel wird

Die DSGVO gilt unabhängig vom AI Act weiter, und bei KI-Tools entstehen schnell Datenschutzprobleme, die auf den ersten Blick nicht sichtbar sind.

Ein konkretes Beispiel: Eine Auswertung von DrKPI (Januar 2026) zeigt, dass 63 Prozent aller Prompts, die Nutzer in KI-Systeme eingeben, personenbezogene Informationen enthalten. Wer also Kundenanfragen, Bewerbungsunterlagen oder interne HR-Daten in ein KI-Tool kopiert, hat möglicherweise bereits ein DSGVO-Problem.

Besonders relevant für DACH-KMU: Laut einer Studie, über die Finanznachrichten.de (April 2026) berichtet, fürchtet mehr als die Hälfte der deutschen KMU, dass ihre Daten in den USA oder China landen. Dieses Misstrauen ist nicht unbegründet: Viele kostenlose oder günstige KI-Dienste großer US-Anbieter unterliegen US-amerikanischen Gesetzen wie dem Cloud Act, was den Datenzugriff durch US-Behörden theoretisch ermöglicht.

Tipp für die Praxis: Sensible Kundendaten und personenbezogene Informationen gehören grundsätzlich nicht in kostenlose KI-Konsumenten-Tools. Für den Unternehmenseinsatz sollten Business-Tarife mit explizitem Data Processing Agreement (DPA) und EU-Datenspeicherung gewählt werden. ConRat AI hostet alle Daten auf deutschen und EU-Servern (IONOS Deutschland, Microsoft Azure Frankfurt) und verwendet Kundendaten nicht für KI-Training. Das schließt die DSGVO-Lücke, die bei vielen anderen Tools offen bleibt.

Bußgelder: Auch für KMU ein ernstes Thema

Der EU AI Act hat spürbare Sanktionen. Für Verstöße gegen verbotene KI-Praktiken drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für KMU gilt jeweils der niedrigere Betrag. Aber auch ein Bruchteil dieser Summen kann für ein kleines Unternehmen existenzbedrohend sein.

Bei der DSGVO hat die Praxis gezeigt, dass Bußgelder zwar verhängt werden, die Großfälle aber Konzerne treffen. Dennoch: Die Aufsichtsbehörden werden mit dem AI Act mehr Befugnisse und klarere Bewertungsmaßstäbe bekommen. Wer heute dokumentiert, schullt und transparent handelt, schützt sich.

Was bedeutet das für dein Unternehmen?

Du musst kein Datenschutzjurist werden, um compliant zu sein. Aber du brauchst einen Plan. Hier sind die vier wichtigsten Schritte für KMU, die KI bereits nutzen oder planen:

KI-Inventar anlegen: Liste alle KI-Systeme auf, die im Unternehmen genutzt werden, auch inoffizielle Tools, die Mitarbeitende privat für Arbeitszwecke nutzen.
Risikoklasse bestimmen: Handelt es sich um ein System, das Personalentscheidungen beeinflusst, Kredit-Scoring betrifft oder biometrische Daten verarbeitet? Dann gelten verschärfte Regeln.
Mitarbeitende schulen: Die KI-Kompetenzpflicht gilt seit Februar 2025. Wer heute noch keine Schulungen anbietet, ist bereits im Verzug.
Förderung nutzen: Bis Ende 2026 können KMU über die BAFA-Förderung bis zu zwei Beratungen pro Jahr mit jeweils bis zu 2.800 Euro Zuschuss fördern lassen, unter anderem für Datenschutz und KI-Act-Compliance. Laut proliance.ai (Januar 2026) werden diese Mittel noch zu wenig abgerufen.

Wer KI-Tools nutzen möchte, ohne sich selbst um Datenschutz-Konfigurationen und EU-Serverstandorte kümmern zu wollen, findet in einer Plattform wie ConRat AI einen direkten Einstieg: DSGVO-konforme Infrastruktur, deutsches Hosting und keine Nutzung von Kundendaten für KI-Training sind dort von Anfang an mitgedacht. Testen ist kostenlos für 30 Tage, ohne Kreditkarte.

Unser Fazit

2026 ist das Jahr, in dem Datenschutz und KI-Regulierung für DACH-KMU praktisch relevant werden. Die Mehrheit der Unternehmen ist noch nicht vorbereitet. Wer jetzt die drei Grundlagen schafft, also KI-Inventar, Mitarbeiterschulung und Transparenz gegenüber Kunden, ist bereits deutlich besser aufgestellt als der Durchschnitt. Das ist keine Frage von Unternehmensgröße, sondern von Priorität. Der Zeitpunkt zum Handeln ist jetzt, nicht nach dem Sommer.