NPC Agency Logo

„Infrastruktur statt nur einer Website“

— NPC Agency

KI und Datenschutz im Mittelstand: DSGVO-konform automatisieren

78% der kleinen und mittleren Unternehmen in Deutschland nennen Datenschutzbedenken als Hauptgrund, warum sie KI nicht einsetzen (Bitkom, 2025). Gleichzeitig nutzen 36% der Unternehmen bereits KI-Tools im Arbeitsalltag. Das heißt: Ein erheblicher Teil der Betriebe automatisiert bereits — aber viele andere trauen sich nicht, weil sie Angst vor DSGVO-Verstößen haben.

Diese Angst ist verständlich. Sie ist aber in den meisten Fällen unbegründet. Nicht weil Datenschutz unwichtig wäre, sondern weil DSGVO-konforme KI-Automatisierung kein Hexenwerk ist. Sie brauchen keine Rechtsabteilung und kein sechsstelliges Compliance-Budget. Sie brauchen einen klaren Überblick, welche Daten Sie verarbeiten, wo diese Daten landen und welche vertraglichen Grundlagen nötig sind.

Genau das liefert dieser Artikel. Keine Rechtsberatung — sondern praktische Orientierung aus der Perspektive eines Praktikers, der KI-Automatisierungen für KMU umsetzt und dabei täglich mit diesen Fragen umgeht.

Weiterführend: KI-Automatisierung für KMU im Überblick | KI-Beratung für den Mittelstand

TL;DR: DSGVO und KI schließen sich nicht aus. Die drei entscheidenden Faktoren: Welche Daten verarbeiten Sie (öffentlich, geschäftlich, personenbezogen)? Wo werden sie verarbeitet (EU vs. Drittland)? Und gibt es einen Auftragsverarbeitungsvertrag (AVV)? Dieser Artikel zeigt in 7 Schritten, wie Sie KI-Automatisierung DSGVO-konform umsetzen — mit konkreten Tool-Empfehlungen und einem Praxis-Beispiel mit n8n auf deutschem Server.

Was sagt die DSGVO über KI?

Die DSGVO enthält kein Kapitel mit der Überschrift "Künstliche Intelligenz". Das Gesetz regelt die Verarbeitung personenbezogener Daten — unabhängig davon, ob ein Mensch oder ein Algorithmus diese Daten verarbeitet. Trotzdem gibt es drei Stellen, die für KI-Automatisierung besonders relevant sind.

Art. 22: Automatisierte Einzelentscheidungen

Artikel 22 DSGVO besagt: Betroffene Personen haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt (DSGVO Art. 22).

Was heißt das in der Praxis? Wenn ein KI-System automatisch entscheidet, ob ein Kunde einen Kredit bekommt, ob eine Bewerbung abgelehnt wird oder ob ein Vertrag gekündigt wird — dann greift Art. 22. Die betroffene Person muss informiert werden und kann eine menschliche Überprüfung verlangen.

Für die meisten KI-Automatisierungen im Mittelstand ist Art. 22 aber gar nicht relevant. Wenn Sie E-Mails automatisch kategorisieren, Angebote aus Vorlagen generieren oder Leads qualifizieren — dann trifft keine KI eine Entscheidung, die jemanden "erheblich beeinträchtigt". Der Mensch bleibt in der Schleife. Ein Mitarbeiter prüft das Angebot, bevor es rausgeht. Ein Vertriebsmitarbeiter entscheidet, ob der Lead kontaktiert wird.

Die Faustregel: Solange ein Mensch die finale Entscheidung trifft, ist Art. 22 in den allermeisten Fällen kein Problem.

Art. 35: Datenschutz-Folgenabschätzung (DPIA)

Wenn eine Datenverarbeitung "voraussichtlich ein hohes Risiko" für die Rechte und Freiheiten natürlicher Personen birgt, verlangt Art. 35 eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA). Das betrifft insbesondere die systematische und umfassende Bewertung persönlicher Aspekte, die auf automatisierter Verarbeitung einschließlich Profiling beruht (DSGVO Art. 35).

Klingt abschreckend. Ist es aber nur in wenigen Fällen. Eine DPIA ist erforderlich, wenn Sie:

  • Systematisches Profiling betreiben (z.B. automatisierte Kreditwürdigkeitsprüfung)
  • Besondere Kategorien personenbezogener Daten verarbeiten (Gesundheit, Religion, Gewerkschaftszugehörigkeit)
  • Öffentlich zugängliche Bereiche systematisch überwachen (Videoüberwachung mit KI)

Für einen Handwerksbetrieb, der seine Terminplanung automatisiert oder Kundenanfragen per Chatbot vorqualifiziert, ist eine DPIA in der Regel nicht notwendig. Wenn Sie unsicher sind, hilft ein Blick in die Blacklist der Datenschutzkonferenz — dort sind die Verarbeitungstätigkeiten aufgelistet, die zwingend eine DPIA erfordern.

Art. 28: Auftragsverarbeitung

Das ist der Artikel, der in der Praxis am häufigsten relevant wird. Wenn Sie einen externen Dienstleister nutzen, der in Ihrem Auftrag personenbezogene Daten verarbeitet — und das tun Sie bei fast jeder Cloud-basierten KI-Lösung — brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Der AVV regelt: Welche Daten werden verarbeitet? Zu welchem Zweck? Wie lange? Welche Sicherheitsmaßnahmen gelten? Was passiert bei einer Datenpanne?

Die gute Nachricht: Die großen Plattformen bieten standardisierte AVVs an. Make.com hat einen, OpenAI hat einen, Google hat einen. Sie müssen diese nur abschließen — was in vielen Fällen mit wenigen Klicks erledigt ist.

Die drei Stufen der Datensensibilität

Nicht jede KI-Automatisierung verarbeitet personenbezogene Daten. Und nicht jede Verarbeitung personenbezogener Daten ist gleich riskant. Für die Praxis hilft eine einfache Einteilung in drei Stufen.

Stufe 1: Öffentliche Daten

Das sind Daten, die frei zugänglich sind. Firmenadressen aus dem Handelsregister, öffentliche Google-Bewertungen, Branchenbuch-Einträge, allgemeine Marktdaten. Wenn Sie eine KI nutzen, um öffentlich verfügbare Informationen zu analysieren oder zusammenzufassen, ist das datenschutzrechtlich weitgehend unproblematisch.

Beispiel: Sie nutzen einen KI-Workflow, der öffentliche Ausschreibungen durchsucht und relevante Treffer in Ihr CRM schreibt. Keine personenbezogenen Daten, keine DSGVO-Hürde.

Stufe 2: Geschäftsdaten

Interne Unternehmensdaten ohne Personenbezug: Umsatzzahlen, Lagerbestände, Materialpreise, interne Prozessdokumentation. Diese Daten fallen unter Geschäftsgeheimnisse, aber nicht unter die DSGVO. Die DSGVO schützt natürliche Personen, nicht Bilanzzahlen.

Beispiel: Ein n8n-Workflow, der Ihre Angebotskalkulation automatisiert und Materialpreise aus einer Datenbank zieht. Kein Personenbezug, kein DSGVO-Problem. Trotzdem sollten Sie darauf achten, wo diese Daten verarbeitet werden — Geschäftsgeheimnisse auf fremden Servern sind kein Datenschutz-, aber ein Sicherheitsthema.

Stufe 3: Personenbezogene Daten

Hier wird es relevant: Namen, E-Mail-Adressen, Telefonnummern, Kundendaten, Mitarbeiterdaten, IP-Adressen. Sobald KI-Systeme mit diesen Daten arbeiten, greifen die DSGVO-Anforderungen in vollem Umfang.

Beispiel: Ein KI-Chatbot auf Ihrer Website, der Kundennamen und Kontaktdaten erfasst. Eine Make.com-Automatisierung, die Leads aus einem Kontaktformular qualifiziert. Ein KI-System, das Bewerbungen vorsortiert. In all diesen Fällen brauchen Sie eine Rechtsgrundlage (meistens Art. 6 Abs. 1 lit. b oder f DSGVO), einen AVV mit dem Tool-Anbieter und eine transparente Information der Betroffenen.

Die entscheidende Erkenntnis: Die meisten KI-Automatisierungen im Handwerk und Mittelstand bewegen sich in Stufe 1 oder 2. Und selbst bei Stufe 3 sind die Anforderungen mit vertretbarem Aufwand erfüllbar.

7 Schritte zur DSGVO-konformen KI-Automatisierung

Statt abstrakter Theorie: eine konkrete Checkliste, die Sie für jede neue KI-Automatisierung durchgehen können.

1. Dateninventur durchführen

Bevor Sie ein Tool auswählen, klären Sie: Welche Daten fließen durch den Workflow? Sind personenbezogene Daten dabei? Wenn ja, welche Kategorien (Name, E-Mail, Adresse, Gesundheitsdaten)?

Erstellen Sie eine einfache Liste. Kein 50-seitiges Verarbeitungsverzeichnis — eine Tabelle mit drei Spalten reicht: Datentyp, Quelle, Empfänger.

2. Rechtsgrundlage identifizieren

Für jede Verarbeitung personenbezogener Daten brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO. Die drei häufigsten im KMU-Kontext:

  • Art. 6 Abs. 1 lit. b: Vertragserfüllung. Gilt, wenn die Verarbeitung nötig ist, um einen Vertrag zu erfüllen (z.B. Kundendaten zur Auftragsabwicklung).
  • Art. 6 Abs. 1 lit. f: Berechtigtes Interesse. Gilt z.B. für Lead-Qualifizierung oder Kundenanalysen — sofern das Interesse des Unternehmens die Rechte der Betroffenen nicht überwiegt.
  • Art. 6 Abs. 1 lit. a: Einwilligung. Nötig, wenn keine andere Grundlage greift (z.B. Newsletter-Anmeldung, Chatbot-Nutzung).

3. Auftragsverarbeitungsvertrag (AVV) abschließen

Für jeden externen Dienst, der personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen AVV. Das betrifft:

  • Cloud-Plattformen (Make.com, Zapier)
  • KI-APIs (OpenAI, Anthropic, Google)
  • CRM-Systeme (HubSpot, Pipedrive)
  • E-Mail-Dienste (Mailchimp, Brevo)

Die meisten Anbieter stellen standardisierte AVVs bereit, die Sie online abschließen können. Prüfen Sie, ob der AVV EU-Standardvertragsklauseln enthält — das ist besonders wichtig bei US-Anbietern.

4. Serverstandort prüfen

Wo werden die Daten verarbeitet? Das ist eine der wichtigsten Fragen. Daten, die in der EU verarbeitet werden, unterliegen automatisch der DSGVO. Bei Drittländern (USA, UK, etc.) brauchen Sie zusätzliche Garantien: einen Angemessenheitsbeschluss der EU-Kommission, EU-Standardvertragsklauseln oder vergleichbare Mechanismen.

Seit dem EU-US Data Privacy Framework (2023) ist der Datentransfer in die USA für zertifizierte Unternehmen wieder auf einer soliden rechtlichen Basis. OpenAI, Google und Microsoft sind zertifiziert. Aber: Die Rechtsgrundlage kann sich ändern — wer auf Nummer sicher gehen will, verarbeitet Daten in der EU.

5. Datensparsamkeit umsetzen

Ein Grundprinzip der DSGVO, das bei KI-Automatisierung oft vergessen wird: Verarbeiten Sie nur die Daten, die für den Zweck tatsächlich nötig sind (Art. 5 Abs. 1 lit. c DSGVO).

In der Praxis heißt das: Wenn Ihr Workflow nur den Firmennamen und die E-Mail-Adresse braucht, schicken Sie nicht den kompletten Kundendatensatz durch die KI-API. Filtern Sie vorher. Das reduziert nicht nur das Datenschutzrisiko, sondern auch die API-Kosten.

6. Verarbeitungsverzeichnis führen

Art. 30 DSGVO verpflichtet Unternehmen mit mehr als 250 Mitarbeitern zu einem Verarbeitungsverzeichnis. Aber auch kleinere Betriebe müssen eines führen, wenn die Verarbeitung nicht nur gelegentlich erfolgt — und bei automatisierten Workflows ist das fast immer der Fall.

Das Verzeichnis muss keine juristische Abhandlung sein. Es enthält: Zweck der Verarbeitung, betroffene Datenkategorien, Empfänger, Übermittlungen in Drittländer, Löschfristen und technische Schutzmaßnahmen.

7. Transparenz schaffen

Betroffene Personen müssen wissen, dass und wie ihre Daten verarbeitet werden (Art. 13/14 DSGVO). Wenn Sie einen KI-Chatbot auf Ihrer Website einsetzen, gehört ein Hinweis in die Datenschutzerklärung. Wenn Sie Kundendaten durch eine KI-Analyse schicken, sollte das in Ihrer allgemeinen Datenschutzinformation erwähnt sein.

Das muss kein Roman sein. Ein Absatz in der Datenschutzerklärung, der beschreibt, welche KI-Tools Sie nutzen und zu welchem Zweck, reicht in den meisten Fällen aus.

Tool-Vergleich: Wo landen Ihre Daten?

Die Wahl des richtigen Tools ist nicht nur eine Frage der Funktionalität, sondern auch des Datenschutzes. Hier ein Überblick über die gängigsten Automatisierungsplattformen und ihre DSGVO-Relevanz.

Make.com — EU-Server verfügbar

Make.com (ehemals Integromat) bietet seit 2023 EU-Rechenzentren an. Bei der Erstellung eines Accounts können Sie die EU-Region wählen — dann werden Ihre Workflow-Daten in der EU verarbeitet und gespeichert. Make.com stellt einen AVV bereit und ist für das EU-US Data Privacy Framework zertifiziert.

DSGVO-Status: Solide. EU-Server wählbar, AVV verfügbar. Für die meisten KMU-Anwendungen eine gute Wahl.

n8n (self-hosted) — Volle Kontrolle

n8n ist eine Open-Source-Automatisierungsplattform, die Sie auf Ihrem eigenen Server betreiben können. Das ist aus Datenschutzsicht der Goldstandard: Die Daten verlassen nie Ihren Server. Kein Drittanbieter, kein Datentransfer, kein AVV für die Plattform selbst nötig.

Der Haken: Sie brauchen einen Server und jemanden, der n8n einrichtet und wartet. Aber das ist weniger aufwändig als es klingt. Ein deutscher VPS (Virtual Private Server) kostet ab 5-10 Euro pro Monat. Die Installation dauert unter einer Stunde.

DSGVO-Status: Optimal. Daten bleiben auf Ihrem Server in Deutschland. Volle Kontrolle, keine Abhängigkeit von Drittanbietern für die Plattform selbst.

OpenAI API — US-Server, AVV erforderlich

Wenn Sie GPT-4 oder andere OpenAI-Modelle über die API nutzen, werden die Daten auf Servern in den USA verarbeitet. OpenAI bietet einen AVV (OpenAI DPA) und ist unter dem EU-US Data Privacy Framework zertifiziert.

Wichtig: Bei der API-Nutzung (nicht ChatGPT Consumer) werden Ihre Daten laut OpenAI nicht für das Training verwendet. Das ist ein wesentlicher Unterschied zur kostenlosen ChatGPT-Version.

DSGVO-Status: Machbar, aber mit Aufwand. AVV abschließen, Drittlandtransfer dokumentieren, Datensparsamkeit beachten. Für besonders sensible Daten (Gesundheit, Finanzen) sollten Sie EU-basierte Alternativen prüfen.

Anthropic API (Claude) — Ähnlich wie OpenAI

Anthropic bietet ebenfalls einen AVV und verarbeitet Daten in den USA. Die API-Nutzungsbedingungen schließen das Training mit Kundendaten aus. DSGVO-Compliance ist möglich, aber der Drittlandtransfer muss dokumentiert werden.

EU-Alternativen: Aleph Alpha, Mistral

Wer Daten komplett in der EU halten will, kann auf europäische KI-Anbieter ausweichen. Aleph Alpha (Heidelberg) und Mistral (Paris) bieten Modelle an, die auf EU-Servern laufen. Die Modelle sind leistungsfähig, haben aber je nach Anwendungsfall noch nicht das Niveau von GPT-4 oder Claude.

Praxis-Beispiel: DSGVO-konforme Automatisierung mit n8n

So setzen wir bei NPC Agency KI-Automatisierungen für Kunden um — am Beispiel eines Lead-Qualifizierungs-Workflows für ein Facility-Management-Unternehmen.

Die Ausgangslage

Der Kunde erhält täglich 10-15 Anfragen über sein Kontaktformular. Ein Mitarbeiter liest jede Anfrage, bewertet manuell, ob der Lead relevant ist, und leitet ihn an den richtigen Ansprechpartner weiter. Das dauert 45-60 Minuten pro Tag.

Die Lösung

Ein n8n-Workflow auf einem deutschen VPS (Hostinger, Rechenzentrum in Europa), der:

  1. Neue Kontaktformular-Einträge automatisch aus WordPress abruft
  2. Die Anfrage per KI kategorisiert (Privat/Gewerbe, Reinigungsart, Dringlichkeit) — über die OpenAI API mit AVV
  3. Den Lead im CRM anlegt mit allen relevanten Informationen
  4. Eine interne Benachrichtigung an den zuständigen Mitarbeiter sendet
  5. Eine automatische Eingangsbestätigung an den Anfragenden schickt

Die DSGVO-Maßnahmen

  • n8n self-hosted: Der Workflow läuft auf einem deutschen VPS. Die Daten bleiben in der EU — der einzige Moment, in dem sie die EU verlassen, ist die KI-Analyse über die OpenAI API.
  • AVV mit OpenAI: Auftragsverarbeitungsvertrag abgeschlossen. Daten werden nicht für Training verwendet.
  • Datensparsamkeit: An die OpenAI API wird nur der Anfragetext gesendet — nicht der Name, nicht die E-Mail, nicht die Telefonnummer. Die KI braucht nur den Inhalt, um zu kategorisieren.
  • Verarbeitungsverzeichnis: Der Workflow ist im Verarbeitungsverzeichnis des Kunden dokumentiert.
  • Datenschutzerklärung: Aktualisiert mit Hinweis auf automatisierte Verarbeitung von Kontaktanfragen.
  • Löschkonzept: Logs werden nach 30 Tagen automatisch gelöscht. Kundendaten im CRM unterliegen dem bestehenden Löschkonzept des Unternehmens.

Das Ergebnis: 45 Minuten weniger Verwaltungsaufwand pro Tag, schnellere Reaktionszeiten und volle DSGVO-Konformität. Kein Kompromiss nötig.

Vier Mythen über KI und Datenschutz

Mythos 1: "KI ist in Deutschland illegal"

Nein. Es gibt kein Gesetz, das den Einsatz von KI verbietet. Die DSGVO reguliert die Verarbeitung personenbezogener Daten — unabhängig davon, ob ein Mensch oder eine KI sie verarbeitet. Der EU AI Act (in Kraft seit August 2024, vollständig anwendbar ab August 2026) reguliert bestimmte Hochrisiko-Anwendungen, betrifft aber die allermeisten KMU-Automatisierungen nicht.

Mythos 2: "Man darf keine Kundendaten mit KI verarbeiten"

Doch — mit der richtigen Rechtsgrundlage. Art. 6 DSGVO listet sechs mögliche Rechtsgrundlagen auf. Für die meisten Geschäftsprozesse greift entweder die Vertragserfüllung (lit. b) oder das berechtigte Interesse (lit. f). Entscheidend ist nicht ob Sie Kundendaten verarbeiten, sondern wie: mit AVV, Datensparsamkeit und Transparenz.

Mythos 3: "Nur selbst gehostete Lösungen sind DSGVO-konform"

Self-Hosting gibt Ihnen die meiste Kontrolle, ist aber nicht die einzige DSGVO-konforme Option. Cloud-Dienste mit EU-Servern und gültigem AVV sind ebenfalls konform. Entscheidend ist die Gesamtbetrachtung: Wo liegen die Daten? Wer hat Zugriff? Gibt es einen AVV? Sind die Betroffenen informiert?

Mythos 4: "Die DSGVO verhindert Innovation"

Die DSGVO setzt Leitplanken, keine Straßensperren. In der Praxis erleben wir eher das Gegenteil: Unternehmen, die ihre Datenverarbeitung sauber aufsetzen, haben weniger Angst vor neuen Technologien. Wer einmal einen AVV-Prozess etabliert hat, kann neue Tools schneller und sicherer einführen als Betriebe, die Datenschutz ignorieren und dann bei der ersten Abmahnung in Panik geraten.

Wann brauchen Sie doch einen Anwalt?

Dieser Artikel gibt praktische Orientierung — keine Rechtsberatung. In den meisten Fällen reicht gesunder Menschenverstand und die sieben Schritte oben. Aber es gibt Situationen, in denen Sie einen spezialisierten Datenschutzanwalt hinzuziehen sollten:

  • Sie verarbeiten besondere Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten)
  • Sie planen automatisierte Entscheidungen, die Personen erheblich betreffen (Kreditvergabe, Bewerbungsauswahl)
  • Sie sind in einer regulierten Branche tätig (Gesundheitswesen, Finanzsektor)
  • Sie sind unsicher, ob Ihre bestehende Datenschutzerklärung KI-Verarbeitung abdeckt
  • Sie haben mehr als 20 Mitarbeiter, die regelmäßig personenbezogene Daten verarbeiten (dann brauchen Sie ohnehin einen Datenschutzbeauftragten nach §38 BDSG)

Für alle anderen gilt: Die DSGVO ist kein Grund, auf KI zu verzichten. Sie ist ein Rahmen, in dem Sie sich bewegen — und dieser Rahmen ist weiter, als die meisten denken.

Weiterführende Artikel

Nächster Schritt: KI-Audit mit DSGVO-Check

Sie wollen KI-Automatisierung einsetzen, aber sicher gehen, dass alles DSGVO-konform läuft? In unserem KI-Audit (€2.500-3.500) analysieren wir nicht nur Ihre Prozesse und Automatisierungspotenziale — wir prüfen auch die datenschutzrechtlichen Anforderungen für jeden empfohlenen Workflow.

Das Ergebnis: Ein konkreter Umsetzungsplan mit Tool-Empfehlungen, ROI-Kalkulation und DSGVO-Checkliste. Und der Audit-Betrag wird bei Beauftragung vollständig auf die Umsetzung angerechnet.

Bisherige Ergebnisse aus KI-Projekten: bis zu $55.000/Jahr Einsparung, Customer LTV +36%, Onboarding 70% schneller (Upwork-Referenzen).

Kostenloses Erstgespräch vereinbaren — wir besprechen Ihre Situation und zeigen, welche Automatisierungen für Sie möglich und sinnvoll sind.

Weiterführend: KI-Automatisierung für KMU: Der Praxis-Leitfaden | Make.com für Anfänger | KI-Beratung für den Mittelstand

Video zum Artikel

Erklärvideo · 4:37

Instagram Youtube Tiktok

Über Uns

Wir helfen KMUs mit KI,
Kosten zu sparen, und mehr Umsatz zu machen

Relevante Artikel

Häufig gestellte Fragen