Smart Commerce
Beratungsgespräch
AI Transformation22.03.202613 Min. Lesezeit

DSGVO-konform mit KI: Was Unternehmen jetzt beachten müssen

Der EU AI Act ist in Kraft – und die meisten Pflichten greifen ab August 2026. Gleichzeitig gilt die DSGVO unverändert für jede KI-Anwendung, die personenbezogene Daten verarbeitet. Ein praktischer Leitfaden mit Checkliste, Risikokategorien und den häufigsten Fehlern.

Alexander BuchashviliStandortleiter Jena
AI TransformationDSGVOComplianceEU AI Act

Die EU-KI-Verordnung (EU AI Act) ist seit dem 1. August 2024 in Kraft. Seitdem treten die Pflichten stufenweise in Kraft: Seit Februar 2025 gelten die Verbote für KI-Systeme mit unakzeptablem Risiko, seit August 2025 die Regeln für General-Purpose-KI-Modelle. Ab August 2026 greifen die umfassenden Anforderungen für Hochrisiko-KI-Systeme – inklusive Konformitätsbewertung, Risikomanagement und menschlicher Aufsicht.

Parallel dazu gilt die DSGVO unverändert – und kennt keine Ausnahme für KI. Wer ein Large Language Model mit Kundendaten füttert, betreibt Datenverarbeitung im Sinne der DSGVO. Wer das ignoriert, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes.

In diesem Artikel erkläre ich, welche Anforderungen konkret auf deutsche Unternehmen zukommen, wo die häufigsten Fehler liegen und wie wir bei Smart Commerce KI-Projekte von Anfang an compliant aufsetzen.

Der EU AI Act: Timeline und was jetzt gilt

Die Umsetzung erfolgt in vier Stufen. Für Unternehmen ist entscheidend zu verstehen, dass einige Pflichten bereits gelten – insbesondere die oft übersehene AI-Literacy-Pflicht.

  1. 1Februar 2025 – Verbote für KI mit unakzeptablem Risiko (Social Scoring, manipulative KI, biometrische Echtzeit-Identifikation in öffentlichen Räumen) sind in Kraft
  2. 2August 2025 – Regeln für General-Purpose-AI-Modelle gelten. Anbieter müssen technische Dokumentation bereitstellen, Urheberrecht beachten und bei systemischem Risiko zusätzliche Sicherheitsmaßnahmen implementieren
  3. 3August 2026 – Pflichten für Hochrisiko-KI-Systeme treten in Kraft: Konformitätsbewertung, Risikomanagement, menschliche Aufsicht, Transparenzpflichten. Jeder EU-Mitgliedstaat muss mindestens eine KI-Regulierungssandbox eingerichtet haben
  4. 4August 2027 – Regeln für Hochrisiko-KI in bereits regulierten Produkten (Medizinprodukte, Maschinen, Spielzeug) greifen

Die vier Risikokategorien des EU AI Act

Der EU AI Act klassifiziert KI-Systeme in vier Risikostufen. Je höher das Risiko, desto strenger die Anforderungen. Die Einordnung bestimmt, welche Pflichten auf Ihr Unternehmen zukommen.

RisikostufeBeschreibungBeispielePflichten
UnakzeptabelKI-Systeme, die gegen EU-Grundwerte verstoßenSocial Scoring, manipulative KI, biometrische Echtzeit-FernidentifikationVollständig verboten seit Feb. 2025
HochKI in sicherheitskritischen oder grundrechtsrelevanten BereichenPersonalauswahl, Kreditscoring, Bildung, Strafverfolgung, kritische InfrastrukturKonformitätsbewertung, Risikomanagement, menschliche Aufsicht, technische Dokumentation, Logging
BegrenztKI mit Manipulations- oder TäuschungsrisikoChatbots, Deepfakes, EmotionserkennungTransparenzpflicht: Nutzende müssen wissen, dass sie mit KI interagieren
MinimalAlle übrigen KI-SystemeSpam-Filter, KI-gestützte Produktsuche, EmpfehlungssystemeKeine spezifischen Pflichten (freiwillige Verhaltenskodizes empfohlen)

Die vier Risikostufen des EU AI Act mit typischen Anwendungsbeispielen aus dem E-Commerce- und B2B-Umfeld

Für die meisten E-Commerce-Anwendungen – Produktsuche, Empfehlungen, Content-Generierung – fällt die Einordnung in «Minimal» oder «Begrenzt». Aber Vorsicht: Sobald eine KI-Anwendung in die Personalauswahl, Bonitätsprüfung oder automatisierte Vertragsentscheidungen eingreift, gelten die strengen Hochrisiko-Anforderungen.

Pyramide der vier Risikokategorien des EU AI Act: Unakzeptabel, Hoch, Begrenzt, Minimal

DSGVO und KI: Warum beides zusammen gedacht werden muss

Der EU AI Act regelt die Sicherheit und Vertrauenswürdigkeit von KI-Systemen. Die DSGVO regelt den Schutz personenbezogener Daten. Sobald eine KI-Anwendung personenbezogene Daten verarbeitet – und das ist bei fast jeder geschäftlichen Anwendung der Fall – gelten beide Regelwerke gleichzeitig.

Die kritischen Berührungspunkte:

  • Zweckbindung (Art. 5 DSGVO): Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres zum Training eines KI-Modells verwendet werden
  • Datenminimierung (Art. 5 DSGVO): LLMs verarbeiten typischerweise große Datenmengen – das steht im Spannungsfeld zur Pflicht, nur das Nötigste zu verarbeiten
  • Recht auf Erklärung (Art. 22 DSGVO): Bei automatisierten Entscheidungen mit rechtlicher Wirkung haben Betroffene ein Recht auf menschliche Überprüfung und Erklärung
  • Recht auf Löschung (Art. 17 DSGVO): Wie löscht man personenbezogene Daten aus einem trainierten Modell? Eine Frage, die technisch noch nicht vollständig gelöst ist
  • Auftragsverarbeitung (Art. 28 DSGVO): Wer einen externen KI-Dienst nutzt, muss einen Auftragsverarbeitungsvertrag (AVV) abschließen – auch wenn es nur die OpenAI API ist

Datenverarbeitung mit LLMs: Was erlaubt ist und was nicht

Die zentrale Frage für viele Unternehmen: Darf ich Kundendaten, Mitarbeiterdaten oder Geschäftsdaten mit einem LLM verarbeiten? Die Antwort ist differenziert:

Grundsätzlich erlaubt – mit Schutzmaßnahmen

  • Anonymisierte oder pseudonymisierte Daten in Self-hosted-Modellen verarbeiten
  • KI-gestützte Produktsuche und Empfehlungen ohne personenbezogene Daten
  • Content-Generierung (Produktbeschreibungen, Marketing-Texte) ohne Personenbezug
  • Interne Wissensmanagement-Systeme mit RAG-Architektur und Zugriffskontrollen

Kritisch – nur mit Rechtsgrundlage und Schutzmaßnahmen

  • Kundendaten an externe LLM-APIs senden (z. B. OpenAI, Google Gemini) – AVV erforderlich, Prüfung der Datenverarbeitung in Drittländern
  • Personalisierung basierend auf Verhaltens- und Kaufdaten – Einwilligung oder berechtigtes Interesse erforderlich
  • Chatbots mit Zugriff auf CRM-Daten – Transparenzpflicht und Datenschutzerklärung anpassen

Verboten oder hochriskant

  • Personenbezogene Daten ohne Rechtsgrundlage an US-Cloud-Dienste übermitteln
  • Automatisierte Entscheidungen mit rechtlicher Wirkung ohne menschliche Überprüfung (z. B. automatische Kreditablehnung)
  • Mitarbeitende mittels KI überwachen oder emotional profilen
  • Biometrische Daten zur Kategorisierung nach Ethnie, Religion oder politischer Überzeugung nutzen

Die 5 häufigsten Fehler bei KI-Einführungen

In unserer Beratungspraxis bei Smart Commerce sehen wir immer wieder dieselben Muster. Hier die fünf häufigsten Fehler – und wie Sie sie vermeiden:

1. Kein KI-Inventar

Der erste Schritt jeder Compliance-Strategie ist zu wissen, welche KI-Systeme im Unternehmen im Einsatz sind. Klingt trivial, ist es aber nicht: Viele Mitarbeitende nutzen ChatGPT, Copilot oder andere Tools ohne Freigabe der IT. Ein zentrales KI-Register ist Pflicht.

2. Fehlende Datenschutzfolgenabschätzung

Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Verarbeitung «voraussichtlich ein hohes Risiko» birgt. KI-Anwendungen, die personenbezogene Daten verarbeiten, erfüllen dieses Kriterium fast immer. Trotzdem fehlt die DSFA in der Praxis bei der Mehrheit der KI-Projekte.

3. Kundendaten in US-Cloud-Diensten

Viele KI-Assistenten schlagen standardmäßig US-basierte Cloud-Services vor. Das ist problematisch: Seit dem Schrems-II-Urteil reicht der EU-US Data Privacy Framework für viele Datenschutzbehörden nicht als alleinige Grundlage. Europäische Hosting-Alternativen – etwa Azure EU Data Boundary oder Sovereign Cloud Lösungen – sind die sicherere Wahl.

4. Transparenz vergessen

Der EU AI Act verlangt bei KI-Systemen mit begrenztem Risiko (z. B. Chatbots), dass Nutzende informiert werden, dass sie mit einer KI interagieren. Die DSGVO verlangt zusätzlich eine Aktualisierung der Datenschutzerklärung. Beides wird regelmäßig versäumt – insbesondere bei internen Tools.

5. Keine menschliche Aufsicht bei automatisierten Entscheidungen

Wenn KI-Systeme Entscheidungen treffen, die Personen betreffen – Personalvorauswahl, Kreditprüfung, Preisanpassungen – muss ein Mensch die Möglichkeit haben, einzugreifen. Human in the Loop ist nicht optional, sondern gesetzliche Pflicht.

Privacy by Design: KI-Projekte von Anfang an compliant aufsetzen

Privacy by Design (Art. 25 DSGVO) bedeutet, Datenschutz nicht nachträglich aufzusetzen, sondern von Beginn an in die Architektur einzubauen. Für KI-Projekte heißt das konkret:

  1. 1Datenklassifikation zuerst: Bevor ein Modell trainiert oder eine API angebunden wird, klassifizieren wir alle Daten nach Sensitivität und Personenbezug
  2. 2Anonymisierung und Pseudonymisierung: Personenbezogene Daten werden vor der Verarbeitung durch das LLM anonymisiert – wo das nicht möglich ist, pseudonymisiert mit getrennter Schlüsselverwaltung
  3. 3Self-Hosted vor Cloud: Für sensible Anwendungen setzen wir auf Self-hosted-Modelle (z. B. über Azure AI Foundry mit EU Data Boundary), um Daten in der europäischen Jurisdiktion zu halten
  4. 4Zugriffskontrolle: Nicht alle Mitarbeitenden brauchen Zugriff auf alle Daten. Rollenbasierte Zugriffskonzepte begrenzen, welche Informationen das KI-System abrufen kann
  5. 5Logging und Auditierbarkeit: Jede Interaktion mit dem KI-System wird protokolliert – wer hat wann welche Daten angefragt und welche Antwort erhalten?
  6. 6Regelmäßige Überprüfung: KI-Systeme verändern sich – durch Updates, neue Datenquellen oder geänderte Nutzungsmuster. Quartalsweise Audits stellen sicher, dass die Compliance erhalten bleibt
Privacy-by-Design-Zyklus: Datenklassifikation, Architekturdesign, Implementierung, Testing, Monitoring

Praktische Checkliste: DSGVO-konforme KI in 10 Schritten

  1. 1KI-Inventar erstellen: Alle genutzten KI-Systeme zentral erfassen und klassifizieren
  2. 2Risikokategorie bestimmen: Jedes System nach den vier Stufen des EU AI Act einordnen
  3. 3Rechtsgrundlage prüfen: Für jede Verarbeitung personenbezogener Daten die Rechtsgrundlage dokumentieren
  4. 4Datenschutz-Folgenabschätzung durchführen: Für Hochrisiko-Anwendungen und neue KI-Projekte
  5. 5Auftragsverarbeitungsverträge abschließen: Mit jedem externen KI-Anbieter (OpenAI, Google, Microsoft)
  6. 6Datenschutzerklärung aktualisieren: KI-Verarbeitung transparent kommunizieren
  7. 7AI-Literacy sicherstellen: Dokumentiertes Schulungsprogramm für alle KI-Nutzenden
  8. 8Menschliche Aufsicht einrichten: Human-in-the-Loop-Prozesse für automatisierte Entscheidungen
  9. 9Technische Maßnahmen implementieren: Anonymisierung, Zugriffskontrolle, EU-Hosting
  10. 10Regelmäßige Audits einplanen: Quartalsweise Überprüfung der KI-Compliance

Wie Smart Commerce KI-Compliance umsetzt

Bei Smart Commerce begleiten wir Unternehmen nicht nur bei der technischen Implementierung von KI, sondern auch bei der Compliance-Strategie. Unser Ansatz:

  • KI-Workshop: In einem eintägigen Workshop analysieren wir Ihre bestehende Systemlandschaft, identifizieren KI-Potenziale und bewerten die Compliance-Anforderungen – von der Risikokategorisierung bis zur DSFA
  • Architekturberatung: Wir entwerfen KI-Architekturen, die Privacy by Design von Anfang an berücksichtigen – mit europäischem Hosting, RAG-Ansätzen und Zugriffskontrollen
  • Implementierung: Unsere Entwicklungsteams setzen KI-Lösungen um, die sowohl DSGVO als auch EU AI Act berücksichtigen – von KI-gestützter Produktsuche über Chatbots bis zu Agentic-Commerce-Anwendungen
  • Laufende Betreuung: Im Rahmen unserer AI Transformation Partnership übernehmen wir regelmäßige Security- und Compliance-Audits und halten Ihre KI-Systeme auf dem aktuellen regulatorischen Stand

Unser Vorteil: Als E-Commerce-Spezialist kennen wir die typischen Anwendungsfälle – von der Produktsuche mit FactFinder über KI-gestützte Chatbots bis zu automatisierten Bestellprozessen. Wir wissen, wo die Compliance-Risiken liegen, weil wir diese Systeme selbst bauen und betreiben.

Häufig gestellte Fragen

HÄUFIGE FRAGEN

Gut zu wissen.

Fazit: Compliance ist kein Bremsklotz, sondern Wettbewerbsvorteil

Viele Unternehmen sehen DSGVO und EU AI Act als Innovationsbremse. Wir sehen es anders: Unternehmen, die KI-Compliance von Anfang an ernst nehmen, bauen Vertrauen bei Kund:innen auf, reduzieren rechtliche Risiken und schaffen eine saubere Datenarchitektur, die langfristig bessere KI-Ergebnisse liefert.

Die Zeit zu handeln ist jetzt – nicht im August 2026. Ein KI-Inventar, eine interne Richtlinie und ein Schulungsprogramm lassen sich in wenigen Wochen aufsetzen. Und sie sind die Grundlage dafür, dass KI im Unternehmen nicht zum Compliance-Problem wird, sondern zum echten Wettbewerbsvorteil.

Wer KI-Compliance als Pflichtübung betrachtet, verschenkt Potenzial. Wer sie als Architekturprinzip begreift, baut bessere Systeme.

Alexander Buchashvili, CEO & Co-Founder Smart Commerce SE

Lassen Sie uns über KI-Compliance sprechen.

Kostenlose Erstberatung – Antwort innerhalb von 24 Stunden.

Pflichtfelder sind mit * gekennzeichnet. Ihre Daten werden vertraulich behandelt.

AI Transformation

AI-first Design: Wie Pencil und Claude Code unseren Designprozess verändert haben

Design-Dateien im Git-Repo, ein Canvas direkt in der IDE und ein KI-Assistent, der Pixel in Production-Code übersetzt – so sieht unser neuer Design-Workflow aus. Ein Erfahrungsbericht aus der Praxis.

Marika Rauch25.03.2026
AI Transformation

AI Transformation Partnership: Wie wir Unternehmen im Vibe-Coding-Zeitalter begleiten

Vibe Coding verändert die Softwareentwicklung radikal. Doch ohne Framework, Governance und Architektur wird aus schnellem Prototyping schnell ein Sicherheitsrisiko. Unser Enablement-Ansatz bringt Struktur ins kreative Chaos.

Alexander Buchashvili18.03.2026
AI Transformation

KI als neues Teammitglied: Wie man KI am besten in sein Team integriert

Der wahre Paradigmenwechsel beginnt dort, wo KI im Unternehmen nicht mehr Werkzeug ist, sondern Teammitglied wird. Wie sieht ein Team aus, in dem KI-Agents an Stand-ups teilnehmen und Backlogs pflegen?

Alexander Buchashvili13.11.2025