DSGVO, EU AI Act und KI. Was der Mittelstand wirklich beachten muss

Viele Geschäftsführer befürchten, dass strenge Regeln Innovation ersticken. In der Praxis ist das Gegenteil der Fall. Unternehmen ohne klare Leitlinien verlieren entweder Tempo durch Unsicherheit oder bauen Risiken auf, die später teuer werden.

Mitarbeiter, die nicht wissen, ob sie ChatGPT für eine Kundenmail verwenden dürfen, machen entweder gar nichts oder probieren es heimlich. Beides ist schlecht.

Gute Governance schafft Klarheit. Sie sagt, welche Tools für welche Zwecke verwendet werden dürfen, welche Daten in welche Systeme dürfen und wer im Zweifel entscheidet. Damit wird Mut zur Nutzung möglich, ohne dass Unsicherheit das Tempo bremst.

Im Mittelstand muss Governance zudem leicht sein. Niemand hat hier eine zwölfköpfige Compliance-Abteilung. Was zählt, ist ein schlanker, verständlicher Rahmen, den jede Abteilung tatsächlich anwendet.

Die DSGVO unterscheidet nicht zwischen klassischer Software und KI. Personenbezogene Daten bleiben personenbezogene Daten, egal wer oder was sie verarbeitet. Drei Konstellationen sind besonders heikel.

Erstens das ungeprüfte Hochladen von Kundendaten in öffentliche KI-Tools. Wer in der kostenlosen Version eines Modells eine Kundenmail mit Namen und Anschrift einfügt, übergibt diese Daten einem externen Anbieter zu unklaren Zwecken. In der kostenpflichtigen Enterprise-Variante sind die Bedingungen anders. Genau dieser Unterschied muss im Unternehmen bekannt sein.

Zweitens die Verwendung von Mitarbeiterdaten in KI-Auswertungen. Wenn KI Krankenstände, Leistung oder Bewerbungen bewertet, sind das hochsensible Datenkategorien. Hier braucht es klare Regelungen, oft auch eine Datenschutzfolgenabschätzung.

Drittens die Nutzung externer Modelle für besonders sensible Bereiche. Wer Mandantendaten, Patientendaten oder Geschäftsgeheimnisse verarbeitet, muss bei der Auswahl des KI-Anbieters genau hinsehen. Self-Hosting oder geprüfte EU-Anbieter sind hier oft die einzige saubere Option.

Was praktisch hilft, ist ein Whitelist-Ansatz. Das Unternehmen entscheidet bewusst, welche Tools für welche Daten freigegeben sind, kommuniziert das transparent und sorgt für Lizenzen, die DSGVO-konform genutzt werden können.

Seit Februar 2025 gelten erste Teile des EU AI Act, ab August 2026 die wichtigsten Pflichten. Drei Punkte sollten jeder Geschäftsführung im Mittelstand bekannt sein.

Erstens die Schulungspflicht. Jeder Mitarbeiter, der KI im Arbeitskontext einsetzt, muss eine angemessene KI-Kompetenz nachweisen können. Das umfasst grundlegendes Verständnis der Funktionsweise, der Risiken und des verantwortungsvollen Einsatzes. Diese Pflicht trifft auch kleine Unternehmen.

Zweitens die Hochrisiko-Klassen. Bestimmte KI-Anwendungen sind streng reguliert. Dazu zählen Systeme in Personalentscheidungen, Kreditvergabe, kritischer Infrastruktur und einigen weiteren Bereichen. Für klassische Mittelstand-Anwendungen wie Textgenerierung, interne Assistenten oder Prozessautomatisierung sind diese Vorschriften meist nicht relevant.

Drittens die allgemeinen Transparenzpflichten. Wenn ein Kunde mit einem KI-System interagiert, muss er das wissen. Wenn KI-generierte Inhalte veröffentlicht werden, muss in vielen Fällen kenntlich gemacht werden, dass sie maschinell erzeugt sind.

Praktisch bedeutet das im Mittelstand vor allem: Schulung organisieren, Whitelist führen, Transparenz dort herstellen, wo Kunden direkt mit KI in Kontakt kommen. Keine raketenwissenschaftliche Aufgabe, aber eine, die Vorlauf braucht.

Eine Whitelist hat sich als pragmatischste Lösung im Mittelstand bewährt. Sie ist kurz, klar und an konkrete Use Cases gekoppelt.

Für allgemeine Textarbeit, Recherche und Zusammenfassungen bewähren sich die Enterprise- oder Team-Versionen etablierter Anbieter. ChatGPT Team, Claude for Work oder Microsoft Copilot bieten saubere Datenschutzbedingungen, vertraglich zugesicherte Nichtnutzung von Daten für Training und administrative Kontrolle.

Für sensible Bereiche, etwa Mandanten- oder Patientendaten, sind oft EU-gehostete Modelle oder gehostete Open-Source-Modelle die richtige Wahl. Hier hat sich der Markt in den vergangenen Monaten stark geöffnet, und auch Mittelständler haben heute realistische Optionen.

Für individuelle Workflows lohnen sich eigene Anwendungen, in denen Datenflüsse vollständig kontrolliert werden. Hier ist nicht das Modell entscheidend, sondern die Architektur drumherum.

Wichtig ist, die Whitelist nicht als einmaliges Dokument zu sehen. Eine kleine Arbeitsgruppe aus IT, Datenschutz und einer Fachabteilung aktualisiert sie jährlich oder bei wichtigen Marktentwicklungen.

In den meisten Mittelständlern existiert Schatten-KI. Mitarbeiter nutzen KI-Tools, ohne dass die Geschäftsführung davon weiß. Das ist nicht böser Wille. Es ist Pragmatismus, weil offizielle Wege fehlen.

Das Risiko ist hoch. Daten landen in unkontrollierten Systemen, Ergebnisse werden ungeprüft verwendet, Mitarbeiter haben keinen Ansprechpartner bei Unsicherheit. Wenn etwas schiefgeht, weiß niemand wo.

Statt Verboten hilft Sichtbarkeit. Ein offenes Gespräch mit den Teams, eine kurze anonyme Umfrage zur tatsächlichen Nutzung, ein klarer Kanal für Fragen. Was sichtbar wird, kann gestaltet werden.

Im nächsten Schritt entstehen offizielle Lösungen, die mindestens so bequem sind wie die inoffiziellen. Genehmigte Tools, klare Regeln, Schulung. Sobald das gegeben ist, wandert Schatten-KI von selbst in den offiziellen Rahmen.

Mittelständler brauchen keine zwanzigseitige Governance-Doku. Was sich bewährt hat, ist ein einseitiger Rahmen, den jeder Mitarbeiter versteht. Er beantwortet fünf Fragen.

Erstens. Welche Tools sind erlaubt, für welche Aufgaben? Eine kurze Liste mit Beispielen.

Zweitens. Welche Daten dürfen in welche Tools? Eine einfache Klassifikation in öffentliche, interne, vertrauliche und besonders schützenswerte Daten reicht aus.

Drittens. Wie werden Ergebnisse geprüft? Welche Vier-Augen-Regeln gelten für KI-generierte Inhalte mit Außenwirkung?

Viertens. Wer ist Ansprechpartner bei Fragen oder Vorfällen? Idealerweise eine konkrete Person mit klarer Sichtbarkeit.

Fünftens. Wie werden neue Use Cases bewertet, bevor sie eingeführt werden? Ein leichter Bewertungsbogen genügt.

Diese fünf Antworten passen auf eine Seite. Das ist keine Schwäche, sondern eine Stärke. Was nicht gelesen wird, schafft auch keine Sicherheit.

Die häufigste Schwachstelle in Mittelstandsorganisationen ist nicht das Fehlen von Regeln, sondern das Fehlen von Zuständigkeit. Drei Rollen sollten klar besetzt sein.

Eine KI-Verantwortliche oder ein KI-Verantwortlicher in der Geschäftsführung. Diese Person ist nicht Experte, sondern Sponsor. Sie sorgt dafür, dass das Thema Aufmerksamkeit bekommt und Entscheidungen getroffen werden.

Eine operative Ansprechperson, oft aus IT oder Prozessmanagement. Sie pflegt die Whitelist, kümmert sich um Anfragen und treibt die Umsetzung neuer Use Cases voran.

Datenschutz und Recht bleiben in ihren Rollen, werden aber strukturiert eingebunden, wenn neue Tools oder besonders sensible Daten ins Spiel kommen.

In Familienunternehmen funktioniert dieses Setup besonders gut, weil kurze Wege und persönliche Verantwortung der Normalfall sind. Was zählt, ist eine bewusste Festlegung, nicht das Hinzufügen von Bürokratie.

Die erste Maßnahme kostet nichts und braucht eine Stunde. Eine offene Runde mit drei Mitarbeitern aus verschiedenen Abteilungen, die sagen, wo sie heute KI bereits nutzen oder gerne nutzen würden. Das ist die ehrlichste Bestandsaufnahme, die ein Unternehmen bekommen kann.

Die zweite Maßnahme ist die Whitelist. Welche Tools werden offiziell freigegeben, welche nicht? Diese Entscheidung kann in zwei Stunden getroffen werden, sobald die Bestandsaufnahme vorliegt.

Die dritte Maßnahme ist die Schulung. Wer bis August 2026 noch keine strukturierte KI-Schulung organisiert hat, gerät in EU-AI-Act-Konflikt. Ein kompakter Workshop pro Abteilung erfüllt die Anforderung und ist gleichzeitig der beste Hebel für sichere Nutzung.

Sobald diese drei Schritte gemacht sind, läuft Governance im Hintergrund. Sie hört nicht auf zu existieren, aber sie wird nicht mehr zum Bremser, sondern zum Fundament.