Wer im Büro ein KI-Tool ausprobiert, ohne vorher genau hinzuschauen, riskiert mehr als nur eine schlechte Erfahrung. Datenpannen, DSGVO-Verstöße und Kontrollverlust über sensible Unternehmensdaten sind reale Konsequenzen. Diese fünf Checks helfen dir dabei, ein neues KI-Tool systematisch zu bewerten, bevor es im Alltag landet.
Ein strukturierter Check vor dem KI-Einsatz ist entscheidend
KI-Tools verbreiten sich in Unternehmen deutlich schneller als jede Richtlinie, die dazu existiert. Laut der WalkMe State of Digital Adoption Survey 2025 geben 78 Prozent der Wissensarbeiter offen zu, KI-Tools zu nutzen, die ihr Arbeitgeber nicht genehmigt hat. Und selbst wenn Unternehmen bestimmte Tools ausdrücklich verbieten: 46 Prozent der Mitarbeitenden nutzen sie laut einer Erhebung von Software AG trotzdem weiter.
Dieses Phänomen wird als Shadow AI bezeichnet. Die Folgen sind konkret: IBM berichtet, dass Organisationen mit hohem Schatten-KI-Anteil bei einem Datenschutzvorfall im Schnitt 670.000 US-Dollar mehr zahlen als der globale Durchschnitt. Das ist kein theoretisches Risiko.
Der Ausweg ist kein Verbot, sondern ein strukturierter Prozess. Wer diese fünf Checks vor dem Einsatz eines neuen Tools durchführt, reduziert das Risiko erheblich und schafft gleichzeitig eine Grundlage für eine nachvollziehbare KI-Nutzung im Unternehmen.
Check 1: Wo landen die Daten wirklich?
Die erste Frage ist die wichtigste: Auf welchen Servern werden die Eingaben verarbeitet und gespeichert? Das ist kein technisches Detail, sondern eine DSGVO-Pflicht. Für Unternehmen im DACH-Raum gilt: Personenbezogene Daten dürfen nur dann in KI-Tools eingegeben werden, wenn ein rechtsgültiger Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter besteht und die Daten entweder in der EU verarbeitet werden oder ein angemessenes Schutzniveau nachgewiesen ist.
Das Problem: 41 Prozent der Tools mit US-Servern bieten einen AVV laut einer Marktanalyse von alleKI.de zwar an, jedoch meist nur für Business- oder Enterprise-Kunden. Wer den kostenlosen oder günstigen Plan nutzt, bekommt diese Absicherung oft gar nicht. Der bekannte Beispielfall aus Italien zeigt, was passiert, wenn das ignoriert wird: Die italienische Datenschutzbehörde sperrte 2025 den chinesischen KI-Dienst DeepSeek, weil personenbezogene Daten auf Servern außerhalb der EU gespeichert wurden und kein EU-Vertreter benannt war.
Tipp: Prüfe vor jedem Tool-Einsatz: Gibt es einen AVV? Wo stehen die Server? Werden Eingaben zum Training des Modells verwendet? Diese drei Fragen sollten klar und schriftlich beantwortet sein.
Check 2: Ist das Tool DSGVO-konform für deinen konkreten Anwendungsfall?
Ein AVV allein reicht nicht aus. Es kommt darauf an, welche Daten du tatsächlich eingibst. Kundendaten, Mitarbeiterinformationen, Bewerbungsunterlagen oder Vertragsdetails sind personenbezogen. Wenn diese Daten in ein Tool fließen, das sie außerhalb der EU verarbeitet oder für Trainingszwecke nutzt, liegt ein Verstoß vor.
Ein strukturelles Problem: Das CLOUD Act aus dem Jahr 2018 verpflichtet US-amerikanische Anbieter dazu, auf Anfrage US-Behörden Zugang zu Daten zu gewähren, selbst wenn diese auf europäischen Servern liegen. Dieses Spannungsfeld macht eine vollständig rechtssichere Nutzung mancher US-Tools strukturell schwierig, unabhängig vom Serverstandort.
Prüfe deshalb für jeden Anwendungsfall separat:
- Welche Art von Daten werde ich eingeben?
- Sind darunter personenbezogene oder besonders sensible Daten?
- Hat mein Unternehmen einen AVV mit dem Anbieter abgeschlossen?
- Wird das Tool auch von externen Mitarbeitenden oder Dienstleistern genutzt?
Check 3: Fällt das Tool unter den EU AI Act?
Seit dem 2. Februar 2025 gelten die ersten verbindlichen Regeln des EU AI Acts, darunter die Pflicht zur KI-Kompetenz aller Mitarbeitenden, die mit KI arbeiten. Ab August 2026 kommen weitere Anforderungen hinzu, besonders für sogenannte Hochrisiko-KI-Systeme.
Für KMU klingt das abstrakt, ist es aber nicht. Wenn ein Tool in Personalentscheidungen einfließt, also etwa Bewerbungen scannt, Kandidaten rankt oder Arbeitsleistungen bewertet, stuft der EU AI Act dieses System als Hochrisiko ein. Gleiches gilt für KI in kritischen Infrastrukturen oder in der Kreditvergabe.
Die relevante Frage für deinen Check lautet: In welchem Prozess soll das Tool eingesetzt werden? Wenn die Antwort irgendwas mit Personalentscheidungen, Kundenscoring oder sicherheitsrelevanten Bereichen zu tun hat, brauchst du vor dem Einsatz eine sorgfältige Prüfung, ob zusätzliche Pflichten gelten.
Wichtig zu wissen: Selbst wenn du kein Tech-Unternehmen bist, giltst du unter dem EU AI Act als "Deployer", sobald du ein KI-System in deinem Unternehmen einsetzt. Damit verbunden sind Dokumentations- und Transparenzpflichten.
Check 4: Wer in deinem Unternehmen nutzt das Tool und wie?
Einer der häufigsten Fehler beim KI-Einsatz ist die fehlende interne Abstimmung. Ein Tool wird von einer Person eingeführt, andere übernehmen es ungeprüft, und nach wenigen Wochen werden sensible Daten in einen Dienst eingegeben, den niemand offiziell freigegeben hat.
Laut dem State of Shadow AI Report 2025 von Reco sind in kleinen Unternehmen durchschnittlich 269 nicht genehmigte KI-Tools pro 1.000 Mitarbeitende im Einsatz. Und 58 Prozent der Beschäftigten greifen dabei über persönliche Geräte oder private Accounts zu.
Vor dem Einsatz solltest du deshalb klären:
- Wer soll das Tool konkret nutzen?
- Gibt es eine klare Nutzungsrichtlinie?
- Wie werden Mitarbeitende auf erlaubte und nicht erlaubte Eingaben hingewiesen?
- Wer ist verantwortlich, wenn etwas schiefläuft?
Diese Fragen müssen nicht in einem komplexen Dokument enden. Für viele KMU reicht eine klare interne Absprache, wer was darf und was nicht.
Check 5: Gibt es eine sichere, geprüfte Alternative?
Bevor du ein unbekanntes Tool einführst, lohnt sich die Frage, ob es bereits eine geprüfte Lösung gibt, die denselben Bedarf abdeckt. Viele KMU unterschätzen, wie viel Zeit und Aufwand es kostet, einen neuen Dienst datenschutzkonform einzubinden, inklusive AVV, Datenschutzfolgenabschätzung und interner Schulung.
Plattformen, die explizit auf DSGVO-Konformität und EU-Hosting ausgelegt sind, nehmen diesen Aufwand erheblich ab. Bei ConRat AI etwa werden alle Daten auf deutschen und EU-Servern verarbeitet (IONOS Deutschland, Microsoft Azure Frankfurt), Kundendaten werden nicht für das KI-Training verwendet, und ein AVV ist standardmäßig verfügbar. Das ist kein Luxus für Enterprise-Kunden, sondern der Ausgangspunkt, den jedes KMU beim KI-Einsatz braucht.
Praktischer Hinweis: Wenn du eine All-in-One-Plattform nutzt, die mehrere KI-Tools unter einem Login bündelt, reduzierst du automatisch die Anzahl der Anbieter, mit denen du einen AVV abschließen musst. Weniger Komplexität bedeutet weniger Angriffsfläche.
Fazit
KI-Tools sicher einzusetzen bedeutet nicht, alles zu verbieten. Es bedeutet, vor dem Start drei Minuten mehr nachzudenken. Wer diese fünf Checks systematisch durchführt, also Serverstandort, DSGVO-Konformität, AI-Act-Relevanz, interne Nutzungsregeln und verfügbare Alternativen prüft, ist deutlich besser aufgestellt als der Großteil der Unternehmen, die heute noch auf Verbote oder Zufallsentscheidungen setzen.
Die regulatorischen Anforderungen durch EU AI Act, DSGVO und NIS2 wachsen weiter. Aber wer jetzt die Grundlagen schafft, muss später nicht von vorne anfangen. Der erste Schritt ist einfacher als gedacht: Nimm das nächste KI-Tool, das jemand im Team vorschlägt, und geh diese fünf Punkte durch. Das dauert keine Stunde und kann erheblichen Schaden verhindern.
