Skip to main content
White Fox Automations
DE EN
Wissen 8 Min. Lesezeit

DSGVO und KI im Mittelstand: Was wirklich zählt.

EU-Server, AV-Vertrag, EU-KI-Modelle: Was Mittelständler bei KI wirklich beachten müssen, ohne sich von Zertifikats­listen blenden zu lassen.

Von Florian Wessling

DSGVO und KI im Mittelstand, ruhiger Hamburger Schreibtisch mit Compliance-Ordner, White Fox Automations
DSGVO und KI im Mittelstand: Vier Punkte, die wirklich zählen, ohne Compliance-Theater. Foto: White Fox Automations, Hamburg.

Die Frage, die in jedem zweiten Erst­gespräch fällt: “Wie halten Sie das mit dem Datenschutz?” Die Frage ist berechtigt. Die meisten Antworten, die der Mittelstand auf KI-Konferenzen hört, sind aber Marketing-Lärm. Lange Zertifikats­listen, ISO-Logos, Compliance-Theater.

Was wirklich zählt, lässt sich auf vier Punkte reduzieren. Wer diese hat, hat seinen Datenschutz im Griff. Wer sie nicht hat, bekommt in einem Audit Ärger.

1. Wer das KI-Modell betreibt

Bei jeder KI-Lösung müssen Sie beantworten können: In welchem Rechen­zentrum läuft das Modell, wer hat technischen Zugriff, in welchem Land sitzt der Anbieter und unter welcher Rechts­ordnung steht er.

Bei OpenAI, Google und Anthropic bekommen Sie heute ein klares Setup: OpenAI bietet EU-Daten­residenz, Anthropic hat eine EU-Variante, Google bietet Vertex AI in europäischen Regionen, Mistral sitzt in Frankreich. Was Sie nicht wollen: Modelle, die als Schatten-Service über US-Endpunkte laufen, ohne dass Ihr Vertrag das abbildet.

2. Auftrags­verarbeitungs­vertrag (AV)

Sobald personen­bezogene Daten durch eine KI laufen, brauchen Sie einen AV-Vertrag mit dem Anbieter und mit jeder Zwischen­station. Das ist keine Empfehlung. Das ist Artikel 28 DSGVO.

Der einfache Test: Wenn Sie nicht innerhalb von zwei Werk­tagen einen unter­schriebenen AV in der Hand haben, ist die Lösung für den Mittel­stand nicht produktiv­reif. Bei seriösen Anbietern liegt das Standard-Vertrags­muster online. Bei White Fox bekommen Sie den AV mit dem Angebot, nicht erst nach dem Setup.

3. Welche personen­bezogenen Daten wirklich nötig sind

Die meisten KI-Lösungen, die wir bei Mitbewerbern sehen, schaufeln deutlich mehr personen­bezogene Daten in das Modell, als nötig wäre. Eine Service-Lösung, die FAQ-Fragen beantwortet, braucht keinen Klar­namen des Kunden. Eine Sales-Lösung, die qualifiziert, kann zunächst mit einer pseudonymen Anfrage-ID arbeiten und die Klar­namen erst bei der Übergabe ins CRM ergänzen.

Daten­sparsamkeit ist das richtige Werkzeug. Vor jedem Setup gehen wir mit Ihnen eine Liste durch: Welche Felder sind für die Aufgabe nötig, welche nicht, welche sind nur “nice to have”. Alles, was nur “nice to have” ist, fliegt aus dem Daten­fluss.

4. Was Sie Ihrem Datenschutz­beauftragten in die Hand geben können

Eine Datenschutz-Folge­abschätzung (DSFA) ist nicht für jede KI-Anwendung Pflicht. Aber sie ist für jede sinnvoll, die mit Kunden­daten arbeitet. Und sie ist die ehrlichste Form, sich selbst durch­zudenken: Was passiert hier, welche Risiken bestehen, wie reduzieren wir sie.

Bei White Fox Automations ist die DSFA-Vorlage Teil jedes Setups. Sie müssen nicht allein ein Word-Dokument schreiben. Sie bekommen eine vorausgefüllte Vorlage, die Sie mit Ihrem Datenschutz­beauftragten finalisieren.

Was häufig als wichtig verkauft wird, aber sekundär ist

ISO-27001 als Anbieter-Zertifikat. Schön zu haben. Sagt aber nichts über die konkrete KI-Anwendung in Ihrem Betrieb. ISO-27001 ist eine Aussage zum Informations­sicherheits-Management­system des Anbieters, nicht zur datenschutz­rechtlichen Eignung Ihres Anwendungs­falls.

On-Premise als Allheilmittel. Klingt sicher. Ist aber nur dann sicher, wenn Ihre IT die Modelle ordentlich pflegt, das Monitoring einrichtet und Updates ein­spielt. Im Zweifel ist ein vertrauens­würdiger EU-Hoster sicherer als ein lokaler Server, der seit anderthalb Jahren keine Sicherheits-Updates gesehen hat.

EU AI Act. Wichtig, aber für die meisten KI-Anwendungen im Mittel­stand fällt der Anwendungs­bereich in die niedrige Risiko­klasse. Wenn Sie keine Hoch­risiko-Anwendung bauen, also keine Bewerber-Auswahl, keine Kredit­vergabe, keine medizinische Diagnose , sind die Pflichten überwiegend Transparenz- und Dokumentations­pflichten. Die wir in unseren Setups ohnehin erfüllen.

Wie wir das im Konkreten umsetzen

Drei Dinge sind bei jedem White-Fox-Setup gleich.

Server in der EU. Ihre Anwendung läuft bei Mittwald in Deutschland. Etwaige Vektor-Datenbanken bleiben in der EU. KI-Modelle ausschließlich mit EU-Vertrag.

AV als Standard. Sie bekommen den AV-Vertrag mit dem Setup-Angebot. Nicht erst, wenn Sie nachfragen. Beim ersten Kontakt.

Daten­fluss-Diagramm. Ein einseitiges Diagramm, das zeigt, welche Daten wo durch­laufen, wo sie gespeichert werden, wer Zugriff hat und wann sie gelöscht werden. Das Diagramm ist Teil der DSFA und Teil Ihrer Doku­mentation.

Sieben Fragen für das Erst­gespräch mit einem KI-Anbieter

Sie können diese Liste mitnehmen und im ersten Termin durchgehen. Wer auf alle sieben Fragen innerhalb von zehn Minuten klare Antworten hat, kommt aus der nächsten Runde wahrscheinlich noch heile heraus. Wer ausweicht, ist nicht mittelstands­tauglich.

  1. Wo läuft das Modell physisch? Server­standort, Provider, Region. Ein klarer Satz, kein “irgendwo in der Cloud”.
  2. Wer hat Admin-Zugriff auf Ihre Daten? Inklusive Sub­dienst­leister.
  3. Bekomme ich einen AV-Vertrag mit dem Angebot? Wenn ja, wie lang ist er und wer ist Vertrags­partner.
  4. Welche personen­bezogenen Daten verlassen mein Haus? Konkret, am Beispiel eines typischen Vorgangs.
  5. Wie lösche ich eine Anfrage wieder? Selbst­bedienung oder per E-Mail an den Support.
  6. Was passiert, wenn der Anbieter morgen Konkurs anmeldet? Wer bekommt die Daten, wer löscht sie.
  7. Welche Logs werden wo gespeichert? Modell-Eingabe, Modell-Ausgabe, Meta­daten, Aufbewahrungs­frist.

Wenn der Anbieter im Erst­gespräch ausweicht, ist die Lösung nicht produktiv­reif. Wenn der Anbieter die Antworten zu jedem Punkt aus dem Stand liefert und die Vertrags­vorlage gleich mit­schickt, sind Sie an der richtigen Stelle.

Wo die Linie verläuft

Wenn ein KI-Anbieter Ihnen sagt, “Datenschutz machen wir später”, drehen Sie sich um und gehen. Wenn er sagt, “DSGVO ist überbewertet”, drehen Sie sich um und rennen.

Was Sie suchen, ist ein Anbieter, der im Erst­gespräch von alleine über AV, Daten­flüsse und Lösch­fristen redet, weil er weiß, dass Vertrauen bei jedem Mittel­ständler an dieser Stelle entsteht oder eben nicht entsteht.

Wir reden im Erst­gespräch von alleine darüber. Sie können uns gern an die sieben Fragen erinnern. Mehr zur konkreten Umsetzung im KI-Service finden Sie im Beitrag Kunden­service mit KI entlasten.

Wenn Sie das praktisch umsetzen wollen

Maschine

Blog Machine

Mehr Sichtbarkeit in KI-Suchen

Details ansehen Maschine

Sales Machine

Bessere Termine für den Vertrieb

Details ansehen Maschine

Service Machine

Service, der mitwächst

Details ansehen

Auch interessant

Alle Insights ansehen

30 Minuten · kostenlos · unverbindlich

Schreiben Sie uns kurz, wo bei Ihnen der Schuh drückt.

Sie bekommen innerhalb eines Werk­tags eine Antwort. Kein Verkaufs­gespräch, keine E-Mail-Strecke. Florian oder ein Kollege ruft Sie an, hört zu und ordnet ein, ob wir die Richtigen sind.

Florian Wessling Learoy Eichholz Arno Hoffrichter

Persönlicher Rückruf

Wir rufen Sie persönlich zurück.

Sie schreiben hier, jemand aus unserem Hamburger Team meldet sich. Kein Sales-Team, kein Call-Center, keine E-Mail-Strecke. Wir hören zu, ordnen ein und sagen Ihnen ehrlich, ob unsere Lösung zu Ihrer Situation passt.

Das White-Fox-Team · Hamburg

Lieber sofort anrufen?

+49 40 46 89 67 68 0

Oder per E-Mail an

info@collectivebrain.de

Mit dem Absenden stimmen Sie zu, dass wir Ihre Angaben zur Bearbeitung Ihrer Anfrage verwenden. Details in unserem Datenschutz. Datenschutz .

Anrufen Erstgespräch