DSGVO-konforme KI im Mittelstand: Was bis August 2026 zu klären ist

In vielen Unternehmen läuft KI längst, nur eben unausgesprochen. Mitarbeitende kippen Angebote, Kundenmails und Vertragsentwürfe in einen öffentlichen Chatbot, weil es schneller geht. Das ist verständlich und meistens ein Datenschutzproblem. Ab August 2026 ist es zusätzlich ein regulatorisches.

Die Frist, die kaum jemand kennt

Die KI-Verordnung der EU (KI-VO) ist seit dem 1. August 2024 in Kraft. Sie greift in Stufen. Seit dem 2. Februar 2025 sind bestimmte verbotene Praktiken durchsetzbar. Die volle Anwendbarkeit für die meisten Pflichten folgt am 2. August 2026 (Art. 113 KI-VO, bestätigt durch EU-Kommission und BayLDA). Bis dahin sollten Unternehmen wissen, welche KI sie einsetzen, in welche Risikoklasse die Anwendung fällt und wer dafür verantwortlich ist.

Die KI-VO kommt nicht allein. Sobald personenbezogene Daten im Spiel sind, gilt parallel die DSGVO weiter. Beide zusammen ergeben den Rahmen, in dem KI im Betrieb laufen darf.

Wo es bei KMU klemmt

Das häufigste Problem ist nicht böser Wille, sondern Bequemlichkeit. Ein frei zugänglicher Chatbot verarbeitet die eingegebenen Daten oft auf Servern außerhalb der EU und nutzt sie unter Umständen zum Training des Modells. Wer dort Mandantendaten, Patienteninformationen oder Konstruktionsunterlagen einfügt, gibt sie aus der Hand. Rückholen lässt sich das nicht.

Dass die Aufsicht das Thema ernst nimmt, zeigt das Bayerische Landesamt für Datenschutzaufsicht. Das BayLDA stellt Unternehmen aktiv Hilfsmittel bereit, darunter einen Flyer „Next-Level-Bausteine für KI” und eine Checkliste „Datenschutz und KI” (lda.bayern.de). Wenn die zuständige Behörde Handreichungen veröffentlicht, ist klar, dass sie hinschaut.

Was bayerische Unternehmen tatsächlich tun

Die Nachfrage ist da, aber ungleich verteilt. Laut BIHK-Digitalisierungsumfrage 2026 (rund 540 Unternehmen, IHK München als Mitherausgeber) setzen 40 Prozent der bayerischen Betriebe KI bereits über einfache Chatbots hinaus ein. Weitere 35 Prozent planen den Einsatz innerhalb der nächsten drei Jahre. Knapp ein Drittel hat KI weder im Einsatz noch in Planung.

Das ergibt zwei Gruppen mit unterschiedlichem Bedarf. Die einen nutzen KI schon und brauchen einen sauberen Rahmen, bevor aus der Schatten-Nutzung ein Problem wird. Die anderen stehen am Anfang und können es von vornherein richtig aufsetzen.

Was DSGVO-konforme KI ausmacht

Konform heißt nicht, auf KI zu verzichten. Es heißt, sie unter Bedingungen zu betreiben, die man kennt und kontrolliert.

Die Verarbeitung bleibt in der EU. Entweder lokal im eigenen Haus über ein Open-Source-Modell wie Ollama, oder über eine Plattform mit Hosting nach EU-Recht. Für Kunden, die eine fertige Plattform statt Eigenbetrieb wollen, ist Langdock eine Option im europäischen Raum: EU-Hosting, und das Modell trainiert nicht auf den eingegebenen Daten.

Es gibt eine klare Nutzungsrichtlinie. Welche Daten dürfen in welches Werkzeug, welche nicht. Ohne diese Regel entscheidet jede Person für sich, und das ist der Kern des Problems.

Verantwortung ist benannt. Jemand im Haus weiß, welche KI im Einsatz ist, und hält die Liste aktuell. Das ist zugleich die Grundlage für die KI-VO-Pflichten.

Wie wir das machen

Wir beginnen mit einer Bestandsaufnahme: Welche KI wird bereits genutzt, offiziell und inoffiziell, und wo fließen dabei sensible Daten. Daraus entsteht eine Nutzungsrichtlinie, die zum Unternehmen passt, und die Auswahl der passenden Plattform, lokal oder EU-gehostet, je nach Datenlage und Anspruch.

Den Leistungsumfang dazu beschreibt unsere Seite zum DSGVO-konformen KI-Einsatz. Wer den Einstieg in eine EU-Plattform genauer ansehen will, findet die Details in Langdock als EU-KI-Plattform. Und wenn Sie wissen wollen, wo Ihr Betrieb beim Thema KI und Datenschutz steht, sprechen Sie uns an.