synqro
Zurück zum PlaybookPlaybook · Compliance

KI vs. DSGVO: Was Unternehmen 2026 wirklich beachten müssen

DSGVO und KI scheinen sich zu beißen — tun sie aber nicht, wenn man die Setup-Schritte kennt. Hier die nüchterne Praxis-Anleitung.

08.05.202612 Min Lesezeit

„KI und DSGVO — geht das überhaupt?" ist die Frage, die wir am häufigsten hören. Die kurze Antwort: ja, problemlos. Die längere Antwort hängt davon ab, welche KI du wo einsetzt und wie du sie aufsetzt.

Dieser Artikel ist die Praxis-Version. Keine 50 Seiten Juristen-Deutsch — sondern die fünf Punkte, die in jedem KI-Setup eines deutschen Unternehmens 2026 geklärt sein müssen.

1. Wo läuft das KI-Modell?

Das ist die wichtigste Frage. Drei Optionen:

  • EU-Hosted (z. B. Mistral via Hetzner, AWS Bedrock Frankfurt, Azure OpenAI Germany): unkompliziert, Standardvertragsklauseln nicht nötig, DSGVO-Default
  • US-Anbieter mit EU-Datacenter (z. B. OpenAI Enterprise EU, Anthropic via AWS Frankfurt): braucht Auftragsverarbeitungsvertrag (AVV), Standardvertragsklauseln (SCCs) und in riskanten Fällen DPIA
  • US-Anbieter ohne EU-Hosting (z. B. ChatGPT Free, Gemini Free): für jede Verarbeitung personenbezogener Daten ungeeignet — Punkt

Synqro setzt standardmäßig auf Option 1, fällt nur auf Option 2 zurück, wenn ein spezifischer Use-Case es erfordert (z. B. extrem komplexe Vision-Modelle). Option 3 verwenden wir nicht für Kundenprojekte.

2. Auftragsverarbeitungsvertrag (AVV)

Sobald ein Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, brauchst du einen AVV nach Art. 28 DSGVO. Das gilt für:

  • Den Anbieter des KI-Modells
  • Den Hosting-Anbieter
  • Eventuell das CRM oder den E-Mail-Dienst, der die Daten an die KI weiterreicht

Synqro stellt für jedes Setup eine Liste aller beteiligten Subunternehmer zur Verfügung. AVVs mit den großen Anbietern sind standardisiert und in 1–2 Tagen unterschriftsreif.

3. Datenschutz-Folgenabschätzung (DPIA)

Eine DPIA nach Art. 35 DSGVO ist verpflichtend, wenn deine Verarbeitung „ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" hat. Konkret: bei automatisierten Einzelentscheidungen, Profiling, großflächiger Datenverarbeitung sensibler Kategorien.

In den meisten KMU-Setups (Inbox-Triage, Termin-Buchung, Standard-Antworten) ist keine DPIA nötig. Bei automatisiertem Lead-Scoring, das Vertragsentscheidungen beeinflusst, schon. Synqro erstellt jede notwendige DPIA mit dir gemeinsam.

4. Transparenzpflichten gegenüber Betroffenen

Wenn du KI einsetzt, müssen die Betroffenen das wissen. In der Praxis heißt das:

  • Deine Datenschutzerklärung muss die KI-Nutzung benennen
  • Bei Chatbots: Hinweis „Sie sprechen mit einem KI-Assistenten" am Anfang
  • Bei automatisierten Entscheidungen mit rechtlicher Wirkung: Recht auf menschliche Überprüfung muss aktiv angeboten werden (Art. 22 DSGVO)

Synqros Workflows bauen Transparenz standardmäßig ein. Kein Versteckspiel mit „menschlich klingenden" Bots, die in Wahrheit KI sind — das ist nicht nur rechtlich riskant, sondern auch schlecht für Vertrauen.

5. Audit-Logs und Recht auf Datenkopie

Betroffene haben jederzeit das Recht zu erfahren, welche Daten über sie gespeichert sind und wie sie verarbeitet wurden. Bei KI-Systemen heißt das:

  • Vollständige Audit-Logs jeder KI-Entscheidung
  • Datenexport-Funktion auf Anforderung in 30 Tagen
  • Löschmöglichkeit nach „Recht auf Vergessenwerden" (Art. 17)

Dieses Setup baut Synqro standardmäßig in jedes Projekt ein. Audit-Logs sind nicht „nice to have" — sie sind ohnehin ein Muss, wenn die KI mal etwas Falsches macht und du nachvollziehen musst, warum.

Bonus: EU AI Act

Seit August 2025 gilt der EU AI Act stufenweise. Für die meisten KMU-Anwendungen (sogenannte „Limited Risk" oder „Minimal Risk") sind die Pflichten überschaubar:

  • Transparenzpflicht (Hinweis auf KI-Einsatz)
  • Bei „General Purpose AI": Dokumentation der eingesetzten Modelle und ihrer Trainingsdaten-Herkunft (über den Anbieter)

„High Risk"-Systeme (z. B. KI für Kreditentscheidungen, Personalauswahl) haben erweiterte Pflichten. In typischen Synqro-Use-Cases tritt das aber selten auf.

Die ehrliche Schlussfolgerung

DSGVO ist 2026 keine Hürde mehr für den KI-Einsatz — solange man die fünf Punkte oben sauber abarbeitet. Was scheitert, sind unprofessionell aufgesetzte Projekte, die mit ChatGPT-Free in 30 Min hochgezogen wurden und alle Kundendaten an US-Server schicken.

Wer von Anfang an mit EU-Hosting, Audit-Logs und sauberen Verträgen arbeitet, hat keine Compliance-Probleme — sondern einen handfesten Vertrauens-Vorteil gegenüber allen Wettbewerbern, die das nicht so genau nehmen.

DSGVO-konformes Setup gewünscht?

Synqro liefert standardmäßig EU-Hosting, AVV-Pakete und Audit-Logs mit. 30 Min Erstgespräch — wir sagen dir, wie das für deinen Use-Case aussehen würde.

Strategiegespräch buchen