KI und DSGVO: Was europäische Kleinunternehmen 2026 wissen müssen

Europäische Kleinunternehmen setzen KI-Tools schneller ein als je zuvor. KI-gestützte Terminplanung in Zahnarztpraxen, automatische Vertragsprüfung in Kanzleien, dynamische Preisgestaltung in Hotels, intelligente Buchhaltung für Steuerberater. Die Produktivitätsgewinne sind real. Aber die Compliance-Risiken ebenso.

Die Datenschutz-Grundverordnung ist mit dem Aufkommen von KI nicht verschwunden. Sie ist wichtiger geworden. Jedes KI-Tool, das Sie in Ihrem Unternehmen einsetzen, verarbeitet Daten. Oft personenbezogene Daten. Oft besonders sensible personenbezogene Daten. Und die DSGVO legt die Verantwortung für diese Daten eindeutig bei Ihnen als Verantwortlichem, unabhängig davon, welcher Anbieter das Tool entwickelt hat.

Dieser Leitfaden beschreibt, was Sie konkret tun müssen. Kein Fachjargon, keine theoretischen Grenzfälle. Nur die praktischen Schritte, die eine Zahnarztpraxis in München, eine Kanzlei in Warschau oder ein Boutique-Hotel in Barcelona unternehmen muss, bevor ein KI-Tool mit Kundendaten verbunden wird.

1. Warum die DSGVO mit KI noch wichtiger wird

Vor dem Einsatz von KI war die Datenverarbeitung relativ überschaubar. Eine Empfangskraft tippte Patientendaten in die Praxisverwaltungssoftware ein. Ein Hotelrezeptionist gab Gastinformationen in das PMS ein. Die Daten landeten an einer Stelle, blieben dort und wurden für einen einzigen Zweck genutzt.

KI verändert drei Aspekte, die sich unmittelbar auf Ihre DSGVO-Pflichten auswirken:

• Umfang der Verarbeitung. Ein KI-Chatbot auf Ihrer Hotel-Website kann Tausende von Gästeanfragen pro Monat verarbeiten. Jede davon enthält potenziell Namen, E-Mail-Adressen, Reisedaten, Ernährungsanforderungen und Barrierefreiheitsbedürfnisse. Dieses Volumen an Datenverarbeitung löst Pflichten aus, die ein einfaches Kontaktformular nie ausgelöst hat.
• Datenübermittlung an Dritte. Wenn Sie ein KI-Tool nutzen, verlassen Ihre Kundendaten in der Regel Ihre Systeme. Sie werden zur Verarbeitung an die Server des KI-Anbieters übermittelt. Wo sich diese Server befinden, wer Zugriff auf die Daten hat und ob die Daten zum Trainieren von Modellen verwendet werden, sind alles DSGVO-relevante Fragen.
• Automatisierte Entscheidungsfindung. Artikel 22 der DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt. Wenn Ihr KI-Tool automatisch Kreditanträge ablehnt, die Dringlichkeit von Patienten einstuft oder dynamische Preise festlegt, die darüber entscheiden, wer ein Zimmer bekommt, müssen Sie möglicherweise eine menschliche Überprüfung und einen Erklärungsmechanismus bereitstellen.

2. Die sechs DSGVO-Grundsätze im Kontext von KI-Tools

Die sechs Kernprinzipien der DSGVO (Artikel 5) gelten für jedes KI-Tool, das Sie einsetzen. Hier erfahren Sie, was jeder Grundsatz in der Praxis bedeutet:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Sie benötigen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch KI. Für die meisten KMU wird dies entweder das berechtigte Interesse sein (z. B. Einsatz von KI zur Verbesserung der Terminplanung) oder die Einwilligung (z. B. Einsatz eines KI-Chatbots, der personenbezogene Daten erhebt). Sie müssen Betroffene darüber informieren, dass ihre Daten durch KI verarbeitet werden. Ihre Datenschutzerklärung muss dies ausdrücklich erwähnen. Wenn Ihre Zahnarztpraxis KI-Diagnosetools einsetzt, die Röntgenbilder analysieren, haben Patienten ein Recht, das zu erfahren.

Zweckbindung

Daten, die für einen Zweck erhoben wurden, dürfen ohne eine kompatible Rechtsgrundlage nicht für einen anderen Zweck verwendet werden. Wenn ein Gast Ihnen seine E-Mail-Adresse zur Bestätigung einer Hotelbuchung gibt, dürfen Sie diese nicht ohne gesonderte Einwilligung in ein KI-Marketingtool einspeisen. Dieser Punkt überrascht viele KMU, wenn sie beginnen, verschiedene KI-Tools miteinander zu verknüpfen.

Datenminimierung

Verarbeiten Sie nur die personenbezogenen Daten, die tatsächlich erforderlich sind. Fragen Sie sich bei der Konfiguration von KI-Tools: Benötigt dieses Tool den vollständigen Namen, das Geburtsdatum und die Adresse des Kunden, um zu funktionieren? Oder kann es auch mit anonymisierten oder pseudonymisierten Daten arbeiten? Viele KI-gestützte Termin- und CRM-Tools funktionieren hervorragend mit minimalen personenbezogenen Identifikationsmerkmalen.

Richtigkeit

KI-Systeme können ungenaue Ergebnisse liefern. Wenn ein KI-Tool fehlerhafte Informationen über einen Kunden produziert und Sie darauf basierend handeln, tragen Sie die Verantwortung. Das ist besonders relevant für Kanzleien, die KI zur Vertragsprüfung einsetzen (eine übersehene Klausel hat reale Konsequenzen), und für Steuerberatungskanzleien, die KI-gestützte Buchhaltung nutzen (fehlerhafte Kategorisierung erzeugt Steuerhaftung).

Speicherbegrenzung

Personenbezogene Daten dürfen nicht länger aufbewahrt werden als nötig. Wenn ein KI-Tool Kundendaten verarbeitet: Wo landen diese Daten? Werden sie auf den Systemen des KI-Anbieters unbegrenzt gespeichert? Viele KI-Tools speichern Gesprächsprotokolle, Abfrageverläufe und verarbeitete Dokumente. Sie müssen die Aufbewahrungsfristen kennen und sicherstellen, dass diese mit Ihrem Löschkonzept übereinstimmen. In Deutschland ist dabei auch die GoBD zu beachten, die Aufbewahrungsfristen für steuerlich relevante Dokumente vorschreibt.

Integrität und Vertraulichkeit

Sie müssen ein angemessenes Sicherheitsniveau für personenbezogene Daten gewährleisten, die durch KI-Tools verarbeitet werden. Das bedeutet Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen und regelmäßige Sicherheitsbewertungen Ihrer KI-Anbieter. Ein Restaurant, das ein KI-gestütztes Treueprogramm nutzt und von einem Datenleck betroffen ist, haftet genauso, als wäre der Vorfall in den eigenen Systemen aufgetreten.

3. Was die EU-KI-Verordnung hinzufügt

Die EU-KI-Verordnung (Verordnung 2024/1689) führt ein risikobasiertes Regelwerk für KI-Systeme ein. Obwohl sich ein Großteil davon an KI-Entwickler richtet und nicht an Anwender, müssen KMU die Grundlagen kennen.

Risikokategorien, die KMU betreffen:

• Unannehmbares Risiko (verboten). Social Scoring, manipulative KI, biometrische Echtzeit-Identifizierung im öffentlichen Raum. Für die meisten KMU nicht relevant, aber seien Sie aufmerksam: Ein KI-Tool, das Kunden auf Basis ihrer Social-Media-Aktivitäten bewertet, um Preise festzulegen, könnte in diese Kategorie fallen.
• Hohes Risiko. KI im Beschäftigungskontext (Bewerberscreening, Leistungsbeurteilung), Kreditwürdigkeitsprüfung und bestimmte Gesundheitsanwendungen. Wenn Ihre Zahnarztpraxis KI-Diagnosetools einsetzt, die Behandlungsentscheidungen beeinflussen, oder Ihre Steuerberatungskanzlei KI für Bonitätsprüfungen nutzt, können diese als Hochrisiko-Systeme eingestuft werden. Hochrisiko-Systeme erfordern Konformitätsbewertungen, Dokumentation, menschliche Aufsicht und Registrierung in der EU-Datenbank.
• Begrenztes Risiko. KI-Chatbots und Content-Generierungstools. Die Hauptpflicht hier ist Transparenz: Sie müssen Nutzern mitteilen, dass sie mit einem KI-System interagieren. Wenn Ihr Hotel einen KI-Chatbot für Gästeanfragen einsetzt, genügt ein einfacher Hinweis zu Beginn des Gesprächs.
• Minimales Risiko. KI-Spamfilter, KI-gestützte Suche, Bestandsoptimierung. Keine spezifischen Pflichten unter der KI-Verordnung.

Für die meisten europäischen KMU läuft die praktische Auswirkung der KI-Verordnung auf zwei Punkte hinaus: die Offenlegung, wenn Kunden mit KI interagieren, und die Prüfung, ob eines Ihrer KI-Tools in die Hochrisiko-Kategorie fällt. Der AI Act Explorer des Future of Life Institute ist eine nützliche, kostenlose Ressource zur Überprüfung konkreter Anwendungsfälle.

4. Praktische Compliance-Checkliste nach Branche

DSGVO-Compliance sieht je nach Art der Daten, die Ihr Unternehmen verarbeitet, unterschiedlich aus. Gesundheitsdaten, Finanzdaten und rechtliche Daten bringen jeweils spezifische Pflichten mit sich. Hier erfahren Sie, worauf Sie in den sechs Branchen achten müssen, in denen die KI-Einführung am schnellsten voranschreitet.

Für weiterführende Informationen zu branchenspezifischen KI-Tools lesen Sie unsere vollständigen Leitfäden für Zahnarztpraxen, Rechtsanwaltskanzleien, Immobilienmakler, Steuerberatungskanzleien, Restaurants und Hotels.

5. Tools mit guter DSGVO-Konformität

Nicht alle KI-Tools sind gleichwertig, wenn es um DSGVO-Compliance geht. Hier finden Sie Tools aus unseren Fokusbranchen, die ernsthaft daran arbeiten, europäische Datenschutzanforderungen zu erfüllen.

Branchenübergreifend

• Microsoft Azure OpenAI Service bietet EU-Datenresidenz (Daten werden innerhalb der EU verarbeitet und gespeichert). Enterprise-Verträge enthalten einen umfassenden AVV. Daten werden nicht zum Modelltraining verwendet. Verfügbar über die Regionen Sweden Central und West Europe.
• Anthropic Claude (über API) verfügt über eine klare Datenaufbewahrungsrichtlinie mit sofortiger Löschung bei API-Aufrufen. Der AVV ist öffentlich verfügbar. Allerdings ist EU-spezifische Datenresidenz noch nicht für alle Tarifstufen garantiert.
• Mistral AI ist ein in Paris ansässiges Unternehmen. Daten werden auf EU-Infrastruktur verarbeitet. Starke DSGVO-Konformität von Grund auf, da das Unternehmen selbst als Verantwortlicher der DSGVO unterliegt.

Recht

• Luminance (UK/EU). KI-gestützte Vertragsprüfung, entwickelt für Kanzleien. SOC 2 Type II zertifiziert, bietet Datenresidenz-Optionen und gewährleistet Mandantendatenisolierung. Die Verarbeitungsvereinbarungen sind auf die Anforderungen des anwaltlichen Berufsgeheimnisses zugeschnitten.
• Legartis (Schweiz). Vertragsintelligenz-Plattform mit Hosting-Optionen in der Schweiz und der EU. Daten verlassen die von Ihnen gewählte Region nicht.

Hotels

• HiJiffy (Portugal). KI-gestützte Gästekommunikationsplattform mit Servern in der EU (AWS Irland und Frankfurt). DSGVO-konform konzipiert, mit automatischen Datenlöschplänen und einem veröffentlichten AVV. Wird von über 2.100 Hotels in Europa eingesetzt.
• Duetto bietet Revenue Management mit konfigurierbarer Datenresidenz und DSGVO-konformen Verarbeitungsvereinbarungen.

Zahnmedizin

• Overjet bietet KI-Diagnostik für die Zahnmedizin mit FDA-Zulassung und SOC-2-Compliance. Für europäische Praxen sollten Sie den genauen Datenverarbeitungsstandort mit dem Vertrieb klären, da die primäre Infrastruktur in den USA steht.
• Weave bietet Patientenkommunikationstools mit HIPAA-Compliance (US-Standard) und hat sein europäisches Compliance-Rahmenwerk erweitert. Fordern Sie vor der Einführung den EU-spezifischen AVV an.

Steuerberatung und Buchhaltung

• Datev (Deutschland). Der dominierende Softwareanbieter für Steuerberatung und Buchhaltung im DACH-Raum. KI-Funktionen (automatisierte Buchführung, Belegerkennung) laufen vollständig auf deutscher Infrastruktur. Als deutsches Unternehmen ist Datev tief mit den hiesigen Datenschutzanforderungen und der GoBD verzahnt.
• Silverfin (Belgien). Cloud-Buchhaltungsplattform mit EU-Datenhosting und KI-gestützten Workflows. Speziell für europäische Steuerberatungspraxen entwickelt.
• sevDesk und lexoffice (beide Deutschland). Cloud-Buchhaltungslösungen für kleine Unternehmen und Freiberufler mit deutschen Rechenzentren und integrierten GoBD-konformen Funktionen. Beide bieten zunehmend KI-gestützte Automatisierungen.
• Personio (Deutschland). HR-Plattform mit Sitz in München, speziell für europäische KMU konzipiert. Verarbeitet Mitarbeiterdaten DSGVO-konform auf europäischer Infrastruktur. Relevant für die Schnittstelle zwischen Lohnbuchhaltung und Personalverwaltung.
• Candis (Deutschland). KI-gestützte Rechnungsverarbeitung und Buchhaltungsautomatisierung mit Datev-Integration. Daten bleiben auf deutschen Servern.
• Haufe (Deutschland). Umfassende Steuer- und Buchhaltungslösungen mit starker Compliance-Ausrichtung. Die KI-Funktionen für Dokumentenerkennung und automatische Kontierung bauen auf jahrzehntelanger Erfahrung im deutschen Steuerrecht auf.

6. Häufige Fehler von KMU

Aus der Zusammenarbeit mit europäischen Kleinunternehmen bei der KI-Implementierung kennen wir die immer wiederkehrenden Compliance-Fehler. Hier sind diejenigen, die echte Risiken erzeugen.

• ChatGPT oder ähnliche Tools mit Kundendaten ohne Schutzmaßnahmen nutzen. Mitarbeiter kopieren Kunden-E-Mails, medizinische Befunde oder Finanzdaten in allgemeine KI-Tools. Die Daten landen auf US-Servern, können zum Modelltraining verwendet werden (bei kostenlosen Tarifen), und es gibt keinen AVV. Das ist ein klarer DSGVO-Verstoß. Lösung: Nutzen Sie die API- oder Enterprise-Version mit AVV, oder setzen Sie eine selbst gehostete Alternative ein.
• Kein Auftragsverarbeitungsvertrag vorhanden. Jeder KI-Anbieter, der in Ihrem Auftrag personenbezogene Daten verarbeitet, ist ein Auftragsverarbeiter. Artikel 28 verlangt einen schriftlichen AVV. Viele KMU melden sich bei KI-Tools per Kreditkarte an und prüfen nie, ob ein AVV existiert. Wenn der Anbieter keinen anbietet, ist das ein Warnsignal.
• Die Datenschutz-Folgenabschätzung (DSFA) überspringen. Eine DSFA nach Artikel 35 ist verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt. Der Einsatz von KI zur Verarbeitung von Gesundheitsdaten (Zahnarztpraxen), zur Profilbildung von Personen (Immobilien-Lead-Scoring) oder zur systematischen Überwachung (Gästeanalysen im Hotel) löst diese Pflicht aus. Viele KMU haben von einer DSFA noch nie gehört.
• Die Datenschutzerklärung nicht aktualisieren. Ihre Datenschutzerklärung auf der Website erwähnt wahrscheinlich keine KI-Tools. Sie muss offenlegen, welche KI-Verarbeitung stattfindet, welche Daten betroffen sind, auf welcher Rechtsgrundlage verarbeitet wird und wer die Auftragsverarbeiter sind. Eine Datenschutzerklärung von 2018 reicht für ein Unternehmen, das 2026 KI-Tools einsetzt, nicht aus.
• Fehlende Auftragsverarbeiter- und Unterauftragsverarbeiter-Listen. Ihr KI-Anbieter nutzt wahrscheinlich Unterauftragsverarbeiter (Cloud-Hosting-Anbieter, Analysedienste). Nach der DSGVO müssen Sie wissen, wer diese Unterauftragsverarbeiter sind, und sicherstellen, dass auch diese konform sind. Fordern Sie von Ihrem Anbieter die Liste der Unterauftragsverarbeiter an. Wenn er keine liefern kann, überdenken Sie die Toolwahl.
• Keine Datenfluss-Dokumentation. Wenn Sie mehrere KI-Tools miteinander verbinden (CRM, Chatbot, Marketing-Automatisierung, Buchhaltungssoftware), fließen Daten auf schwer nachvollziehbare Weise zwischen ihnen. Ohne eine Datenfluss-Dokumentation können Sie Compliance nicht nachweisen. Aufsichtsbehörden erwarten, dass Sie jederzeit wissen, wo sich personenbezogene Daten befinden.

7. So bewerten Sie jedes KI-Tool auf DSGVO-Konformität

Stellen Sie vor der Anmeldung bei einem KI-Tool diese fünf Fragen. Wenn der Anbieter sie nicht klar beantworten kann, suchen Sie woanders.

Drucken Sie diese Checkliste aus. Nutzen Sie sie bei jeder Bewertung eines neuen KI-Tools. Es dauert zehn Minuten, diese Fragen in einem Verkaufsgespräch zu stellen. Es dauert Monate, sich von der Wahl eines nicht konformen Anbieters zu erholen.

8. Nationale Unterschiede, die zählen

Die DSGVO ist eine einheitliche Verordnung, aber ihre Durchsetzung variiert erheblich zwischen den EU-Mitgliedstaaten. Hier sind die nationalen Unterschiede, die für KMU am relevantesten sind.

Deutschland

Deutschland hat die strengste Auslegung der DSGVO in Europa. Jedes Bundesland hat eine eigene Datenschutzaufsichtsbehörde (Landesdatenschutzbeauftragte), was insgesamt 17 Aufsichtsbehörden ergibt. Hinzu kommt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) auf Bundesebene. Die Hamburger Datenschutzbehörde war bei KI-Compliance besonders aktiv. Deutschland wendet neben der DSGVO auch das BDSG (Bundesdatenschutzgesetz) an, das zusätzliche Anforderungen an die Verarbeitung von Beschäftigtendaten stellt. Wer in Deutschland tätig ist, muss mit den höchsten Compliance-Anforderungen rechnen. Die Marktdominanz von Datev in der deutschen Steuerberatung besteht teilweise deshalb, weil das System von Anfang an auf diese Standards ausgelegt wurde. Die IHK bietet zudem kostenlose Erstberatung zum Thema Datenschutz und KI für ihre Mitglieder an.

Spanien

Die AEPD (Agencia Española de Protección de Datos) hat sich zu einer der aktivsten Aufsichtsbehörden Europas entwickelt. 2024 verhängte Spanien gemessen an der Anzahl mehr DSGVO-Bußgelder als jedes andere EU-Land. Die AEPD hat spezifische Leitlinien zu KI und Datenschutz veröffentlicht und zeigt die Bereitschaft, auch kleine Unternehmen zu sanktionieren, nicht nur Großkonzerne. Spanische KMU sollten die AEPD-Leitfäden zu automatisierter Entscheidungsfindung und Profiling besonders beachten.

Polen

Die UODO (Urząd Ochrony Danych Osobowych) war bei der Durchsetzung im Vergleich zu Spanien oder Deutschland bisher eher zurückhaltend, aber die Aktivität nimmt zu. Polens Ansatz konzentriert sich tendenziell auf den öffentlichen Sektor, doch die Durchsetzung im Privatsektor wächst. Polnische KMU sollten beachten, dass die UODO Leitlinien zu Cookie-Einwilligungen und Direktmarketing veröffentlicht hat, die auch für KI-gestützte Marketingtools gelten.

Niederlande

Die AP (Autoriteit Persoonsgegevens) hat sich intensiv auf algorithmische Entscheidungsfindung konzentriert. Die niederländische Datenschutzbehörde hat 2023 ein spezifisches Untersuchungsrahmenwerk für Algorithmen veröffentlicht und wendet es sowohl auf den öffentlichen als auch auf den privaten Sektor an. Wenn Ihr Unternehmen KI für automatisierte Entscheidungen nutzt, die Einzelpersonen betreffen (Preisgestaltung, Zugang zu Dienstleistungen, Kreditentscheidungen), ist der niederländische Ansatz europaweit richtungsweisend.

9. Was passiert, wenn es schiefgeht

DSGVO-Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist. Diese Schlagzeilenzahlen betreffen hauptsächlich Großkonzerne. Aber KMU sind von der Durchsetzung nicht ausgenommen. Hier sind reale Beispiele, die das Risiko für kleinere Unternehmen veranschaulichen.

Neben Bußgeldern können die operativen Folgen gravierend sein. Eine Datenschutzaufsichtsbehörde kann Ihnen die Datenverarbeitung komplett untersagen, bis Sie die Anforderungen erfüllen. Für eine Zahnarztpraxis bedeutet das: keine digitalen Patientenakten. Für ein Hotel: keine Online-Buchungen. Für eine Kanzlei: keine digitale Aktenführung. Selbst ein vorübergehendes Verarbeitungsverbot kann für ein Kleinunternehmen verheerend sein.

Hinzu kommen die Reputationskosten. Wenn eine Aufsichtsbehörde einen Durchsetzungsbeschluss veröffentlicht (und die meisten tun das), ist Ihr Unternehmensname dauerhaft mit einem Datenschutzversagen verbunden. In Branchen, die auf Vertrauen aufgebaut sind, etwa Recht, Gesundheitswesen und Finanzdienstleistungen, ist diese Assoziation schwer rückgängig zu machen.

10. Erste Schritte: Ihr 30-Tage-Plan

Compliance erfordert kein sechsmonatiges Projekt. Hier ist ein praktischer 30-Tage-Plan, um Ihre KI-Tools DSGVO-konform aufzustellen.

Woche 1: Bestandsaufnahme

• Listen Sie jedes KI-Tool auf, das Ihr Unternehmen nutzt. Einschließlich solcher, die Mitarbeiter möglicherweise informell verwenden (ChatGPT, Gemini, Copilot).
• Dokumentieren Sie für jedes Tool: welche personenbezogenen Daten es verarbeitet, wo die Daten gespeichert werden und ob ein AVV vorhanden ist.
• Prüfen Sie Ihre Datenschutzerklärung. Erwähnt sie KI-Verarbeitung? Falls nicht, merken Sie sie zur Aktualisierung vor.

Woche 2: AVVs und Datenflüsse

• Kontaktieren Sie jeden KI-Anbieter und fordern Sie den AVV an, sofern Sie noch keinen haben. Die meisten Anbieter stellen einen Standard-AVV auf ihrer Website oder auf Anfrage bereit.
• Erstellen Sie eine einfache Datenfluss-Dokumentation, die zeigt, wie personenbezogene Daten zwischen Ihren Systemen und KI-Tools fließen. Eine Tabelle genügt.
• Identifizieren Sie KI-Tools, bei denen Daten die EU verlassen. Überprüfen Sie für diese den Übermittlungsmechanismus (DPF-Zertifizierung, Standardvertragsklauseln).

Woche 3: Risikobewertung

• Ermitteln Sie, ob eines Ihrer KI-Tools eine DSFA erfordert. Wenn Sie Gesundheitsdaten oder Beschäftigtendaten verarbeiten oder automatisiertes Profiling einsetzen, lautet die Antwort wahrscheinlich ja.
• Nutzen Sie für Tools, die eine DSFA erfordern, die Vorlage Ihrer zuständigen Aufsichtsbehörde. Die meisten Landesdatenschutzbeauftragten und der BfDI bieten kostenlose Vorlagen an.
• Überprüfen Sie die Zugriffskontrollen. Wer in Ihrem Unternehmen hat Zugriff auf welches KI-Tool? Wenden Sie das Prinzip der minimalen Berechtigung an.

Woche 4: Richtlinien und Schulung

• Aktualisieren Sie Ihre Datenschutzerklärung um Angaben zur KI-Verarbeitung.
• Erstellen Sie eine kurze interne KI-Nutzungsrichtlinie (eine Seite genügt), die folgendes abdeckt: welche Tools genehmigt sind, welche Daten eingegeben werden dürfen, welche Daten verboten sind.
• Schulen Sie Ihr Team. Eine 30-minütige Einweisung in die Grundlagen ist deutlich besser als nichts. Konzentrieren Sie sich auf die praktischen Regeln: Niemals Kundendaten in kostenlose KI-Tools einfügen, immer vor der Nutzung eines neuen KI-Tools mit der Geschäftsleitung Rücksprache halten.
• Setzen Sie eine Kalendererinnerung für eine vierteljährliche Überprüfung Ihrer KI-Compliance.

Weiterführende Ressourcen