KI legal nutzen 2026: AI Act & DSGVO

Worum's geht

Nicht schutzlos — nur schlecht informiert.

Fast jedes Gespräch mit kleinen Firmen beginnt mit derselben Frage: Dürfen wir das überhaupt? ChatGPT nutzen, Kundendaten eintippen, interne Dokumente in ein KI-Tool füttern. Die Unsicherheit ist echt — und die Halbwahrheiten, die im Netz kursieren, machen sie nur schlimmer.

Ich bin kein Anwalt, sondern KI-Marketing-Praktiker. Aber ich habe ein 50-minütiges Interview mit einem IT-Fachanwalt komplett durchgearbeitet und für dich auf das Wesentliche eingedampft. Die wichtigste Erkenntnis vorweg: Die meisten Firmen sind nicht schutzlos — sie sind nur schlecht informiert.

Die 4 wichtigsten Klarstellungen

Es gibt kein gesetzlich vorgeschriebenes KI-Zertifikat für Mitarbeitende.

Die Kompetenzpflicht (Art. 4 AI Act) wurde durch den KI-Omnibus von 'sicherstellen' auf 'unterstützen' entschärft.

Ein EU-Server schützt nicht vor dem US Cloud Act, wenn der Anbieter US-Konzern ist.

DSGVO und Geschäftsgeheimnis sind zwei getrennte Baustellen — beide musst du prüfen.

Klartext

Vier Punkte, die du kennen musst.

Was AI Act, KI-Omnibus, Cloud Act und DSGVO 2026 wirklich von kleinen Firmen verlangen — und warum dein EU-Server dich nicht rettet.

Zertifikat-Mythos

Niemand braucht ein KI-Zertifikat, um KI legal einzusetzen — kein Paragraph verlangt das. Was zählt, ist eine Bemühungspflicht: Zeig, dass du Schulungsangebote machst und es dokumentierst. Wer dir Angst verkaufen will, verkauft dir meist auch gleich das Zertifikat dazu.

Cloud Act

US-Behörden dürfen seit 2018 auf Daten bei amerikanischen Cloud-Anbietern zugreifen — egal ob die Server in Frankfurt oder Virginia stehen. Microsoft, Google, Amazon sind US-Konzerne; ihre EU-Rechenzentren ändern daran nichts. Echten Schutz bietet nur Verschlüsselung, deren Schlüssel ausschließlich in Europa bleiben.

Lokale Modelle

Alles selbst hosten löst das Cloud-Act-Problem — und schafft neue. Maximale Datenkontrolle und kein Datenabfluss ins Training stehen einem hohen Infrastruktur-Aufwand und einer Qualitätslücke zu den Frontier-Modellen gegenüber. Für hochsensible Daten oft die einzige saubere Lösung, kein Allheilmittel.

DSGVO vs. Geschäftsgeheimnis

DSGVO-konform zu sein heißt nicht automatisch sicher zu sein. Personenbezogene Daten fallen unter die DSGVO, Produktformeln oder Preismodelle dagegen unter das Geschäftsgeheimnisgesetz. Wer Firmendaten in ein KI-Tool tippt, muss beide Fragen getrennt beantworten — manchmal treffen beide gleichzeitig zu.

Mein Praxis-Tipp.

Mein konkretes Vorgehen für kleine Firmen: Trenn deine Daten in drei Kübel. Öffentliches (Recherche, Textentwürfe, Content) darf in US-Modelle. Personenbezogenes gehört nur in einen Enterprise-Plan mit unterschriebenem Auftragsverarbeitungsvertrag (AVV) und abgeschaltetem Training. Berufs- und Geschäftsgeheimnisse bleiben lokal oder bei einem EU-Anbieter. Schreib das in eine einseitige KI-Nutzungsrichtlinie — die ist gleichzeitig dein Nachweis für die Bemühungspflicht nach Art. 4 AI Act. Ein halber Tag Arbeit, danach schläfst du ruhiger.

Mein Fazit

So sehe ich das.

Ich nutze KI-Tools täglich und habe mir genau diese Fragen selbst gestellt. Der größte Fehler ist nicht, KI zu nutzen — es ist, sie unstrukturiert zu nutzen. Wer Datenkategorien trennt, AVVs abschließt und alles knapp dokumentiert, hat den Großteil des Risikos schon im Griff. Ich bin kein Anwalt, und bei echten Hochrisiko-Fällen (Anwälte, Ärzte, kritische Infrastruktur) führt nichts an einer Einzelberatung vorbei.

Die Panikmache rund um KI und Recht ist meist übertrieben, die echten Risiken werden dafür zu selten benannt. Wenn du dein KI-Setup einmal sauber aufsetzen willst — so, dass es funktioniert und du es auch deinem Anwalt zeigen kannst — dann lass uns 30 Minuten unverbindlich darüber reden.

Quelle: Analyse eines Interviews mit IT-Fachanwalt Dr. Lutz Keppeler (HEUKING Rechtsanwälte) auf dem YouTube-Kanal KI Bubble / Everlast AI, ergänzt um eigene Praxis.

Du darfst KI nutzen. Nur falsch.