In deutschen Unternehmen ist KI als Produktivitätsfaktor angekommen. Der praktische Einsatz bleibt aber hinter den Diskussionen zurück. Als häufigster Grund werden rechtliche Unsicherheiten und Datenschutz genannt. Aus meiner Sicht ist jedoch nicht die DSGVO der eigentliche Blocker, sondern die Unklarheit darüber, was rechtlich überhaupt gilt. Beides klingt ähnlich, ist aber strukturell verschieden und verlangt jeweils eine andere Reaktion.
DIHK 2026: Was die Zahlen wirklich zeigen
Die DIHK-Digitalisierungsumfrage 2026 zeigt, dass KI als Produktivitätsfaktor in deutschen Unternehmen angekommen ist. 41 Prozent der Unternehmen, die KI bereits einsetzen, bewerten den Produktivitätseffekt als hoch. Gleichzeitig nennt die DIHK Datenschutz und rechtliche Unsicherheiten als zentrale Hürden bei der Datennutzung.
Diese Hürden werden in der öffentlichen Diskussion oft direkt mit der DSGVO verbunden. Was die Umfrage tatsächlich beschreibt, ist nicht ein konkretes Datenschutzproblem, sondern Unsicherheit. Hinter den Sorgen steht selten ein laufendes Verfahren oder ein offener Streit mit dem eigenen Datenschutzbeauftragten. Im Kern geht es meistens um Unsicherheit darüber, welche Daten in welche KI-Systeme fließen dürfen, was passiert, wenn ein Anbieter US-Infrastruktur nutzt, oder welche Nachweise im Audit verlangt würden.
Diese Unsicherheit ist real und wirkt im Alltag wie ein Verbot. Sie ist aber kein Datenschutzproblem im engeren Sinne. Sie ist ein Strukturproblem, das den Datenschutz zum Gravitationszentrum macht.
Datenschutzprobleme und Datenschutz-Unklarheit sind nicht dasselbe
Ein Datenschutzproblem hat eindeutige Konturen. Es betrifft eine bestimmte Art von Daten, einen bestimmten Anbieter, eine bestimmte Rechtsgrundlage. Solche Probleme sind unangenehm, aber lösbar. Es gibt einen Anlass, einen Verantwortlichen und eine Maßnahme.
Eine Datenschutz-Unklarheit ist anders gelagert. Hier fehlt nicht eine Antwort, sondern die Grundlage, überhaupt eine zu formulieren. Niemand weiß genau, welche Daten in welchen Workflow gelangen, welche Verarbeitungsorte daran beteiligt sind oder ob ein bestimmtes Tool unter die Auftragsverarbeitung fällt. In solchen Konstellationen entsteht meistens keine Diskussion, sondern Stillstand. KI-Initiativen werden zurückgestellt, nicht weil eine Prüfung negativ ausgegangen wäre, sondern weil sie nie stattgefunden hat.
Der Unterschied ist aus meiner Sicht entscheidend, weil beide Zustände unterschiedliche Reaktionen verlangen. Ein Datenschutzproblem braucht eine Korrektur. Eine Datenschutz-Unklarheit braucht eine Klärung. Wer Klärung mit Verbot beantwortet, behandelt das Symptom, nicht die Ursache.
DSGVO bei KI: drei Architekturfragen, die wirklich entscheiden
Die DSGVO-Konformität eines KI-Einsatzes hängt an einer überschaubaren Anzahl architektonischer Fragen. Drei davon sind in der Praxis zentral.
Verarbeitungsort der Daten
Werden personenbezogene Daten innerhalb der EU verarbeitet, sind viele DSGVO-Anforderungen vergleichsweise klar abzubilden. Werden sie in den USA verarbeitet oder dort auch nur kurz übertragen, kommen Cloud Act und transatlantische Datentransfer-Mechanismen ins Spiel. Das Risiko ist nicht zwangsläufig, aber es muss bewertet und dokumentiert werden.
Welche Daten das Unternehmen überhaupt verlassen
Ein generischer Chat-Prompt ist etwas anderes als eine Kundenliste mit Klarnamen. An dieser Stelle entscheidet sich, ob ein Tool grundsätzlich datenschutzkompatibel ist und ob technische Maßnahmen wie Maskierung oder Pseudonymisierung den Datenfluss tragfähig machen. In unserem eigenen Produkt vpchat haben wir genau diesen Mechanismus als Standard hinterlegt: personenbezogene Daten werden automatisch erkannt und maskiert, bevor sie ein LLM erreichen. Das ist nur eine mögliche Umsetzung, aber sie zeigt, dass der Datenfluss kein offener Punkt bleiben muss. Wer nicht weiß, welche Daten überhaupt fließen, kann auch keine Aussage über DSGVO-Konformität treffen.
Eingebundene Subprozessoren
Selbst wenn der eigentliche KI-Anbieter in Deutschland sitzt, kann er Subprozessoren in den USA nutzen. Das ist nicht automatisch problematisch, aber es muss bekannt und dokumentiert sein, damit ein Vendor-Assessment trägt.
Wenn diese drei Fragen vorab beantwortet sind, ist DSGVO bei KI selten ein Blocker. Sie ist eine Voraussetzung, vergleichbar mit Sicherheitsanforderungen oder Lizenzfragen. Wenn sie offen bleiben, blockieren sie zuverlässig jedes Projekt, unabhängig davon, wie sinnvoll es wäre.
Warum interne KI-Verbote oft die teurere Lösung sind
Viele Unternehmen reagieren auf Datenschutz-Unklarheit mit einem internen KI-Verbot. Das wirkt vorsichtig, ist aus meiner Sicht aber selten die sicherere Lösung. Wenn Mitarbeitende KI für ihre Arbeit hilfreich finden und keine offiziell freigegebene Lösung existiert, können sich schnell Wege außerhalb der IT-Vorgaben etablieren. Das Risiko verschwindet damit nicht, es wird nur schwerer zu sehen. Gleichzeitig entgeht dem Unternehmen der dokumentierte, kontrollierte Einsatz, der mit klaren Regeln möglich gewesen wäre.
Hinzu kommt der wirtschaftliche Effekt. Während andere Unternehmen Prozesse automatisieren, bleibt im eigenen Haus alles beim alten Stand. Die Lücke wächst nicht durch falsche Entscheidungen, sondern durch nicht getroffene.
Die richtige Reihenfolge: erst Architektur, dann Werkzeug
Ein strukturierter Einstieg in KI beginnt im Mittelstand aus meiner Sicht selten mit einer Werkzeugauswahl. Er beginnt mit einer kurzen, ehrlichen Bestandsaufnahme. Welche Daten sind im Spiel, wo sollen sie verarbeitet werden, welche Tools sind grundsätzlich anschlussfähig. Diese Klärung ist im Aufwand überschaubar. Sie kostet weniger als ein Projekt, das später wegen offener Datenschutzfragen gestoppt wird.
Wer diese Reihenfolge umkehrt, also erst ein Tool einsetzt und Datenschutz nachträglich klärt, landet meistens in einem von zwei Ergebnissen. Entweder wird das Projekt nach kurzer Zeit eingefroren, oder es entsteht eine dauerhafte Schatten-IT, die im Audit nicht haltbar ist. Beide Wege kosten mehr als eine saubere Klärung am Anfang.
Fazit: DSGVO ist eine Architekturfrage, kein Verbot
Datenschutz ist meiner Einschätzung nach nicht der Grund, warum viele Mittelständler beim KI-Einsatz zögern. Der Grund ist, dass Datenschutz im KI-Kontext nicht früh genug beantwortet wird. Solange die zentralen Architekturfragen offen sind, wirkt jede DSGVO-Anforderung wie ein Verbot. Sobald sie geklärt sind, ist DSGVO meistens kein Blocker mehr, sondern eine geprüfte Voraussetzung.
Der wirtschaftliche Unterschied entsteht nicht zwischen Unternehmen, die Datenschutz wichtiger nehmen, und solchen, die ihn ignorieren. Er entsteht zwischen Unternehmen, die ihn früh strukturieren, und solchen, die ihn als Sammelbegriff für alles Unklare benutzen.
Genau dort setzt vectorpulse an: erst die konkrete Klärung, welche Daten in welcher Architektur tragfähig sind, und dann die Umsetzung, sobald die Klärung das hergibt. Beides zusammen, nicht getrennt.
Wenn Sie für Ihr Unternehmen einmal prüfen möchten, an welcher Stelle Datenschutz Ihre KI-Vorhaben tatsächlich begrenzt, lade ich Sie zu einem strukturierten Gespräch ein.
Datenschutz als Architekturfrage angehen
Gespräch anfragenQuellen:
Häufige Fragen
Roman Raphael