Kaum ein Werkzeug hat die Arbeitswelt in den vergangenen Jahren so schnell verändert wie generative KI. ChatGPT, Microsoft Copilot, Google Gemini – die Tools sind intuitiv, leistungsfähig und in vielen Unternehmen längst Teil des Alltags. Was dabei häufig übersehen wird: Hinter der praktischen Oberfläche lauert ein Geflecht aus Datenschutzpflichten und neuen KI-Regularien, das gerade für kleine und mittlere Unternehmen in Österreich und Deutschland erhebliche Risiken birgt.
Dieser Artikel erklärt, welche rechtlichen Fallstricke Cloud-KI-Dienste konkret mit sich bringen – und warum eine lokale KI-Infrastruktur für viele KMUs die rechtssichere Antwort ist.
Der EU AI Act ist seit August 2025 in wesentlichen Teilen anwendbar und tritt im August 2026 vollständig in Kraft. Er ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz – und er betrifft nicht nur KI-Entwickler, sondern auch jeden, der KI-Systeme im Geschäftsbetrieb nutzt.
„Der EU AI Act ist kein Gesetz für KI-Labore. Er ist ein Gesetz für alle Unternehmen, die KI einsetzen – unabhängig von ihrer Größe.”
Das Gesetz klassifiziert KI-Anwendungen nach ihrem Risikopotenzial. Viele typische KMU-Anwendungsfälle – automatisierte Entscheidungen über Bewerber, KI-gestützte Kreditvergabe, Analyse von Kundendaten – fallen in die Kategorie Hochrisiko-KI und unterliegen damit strengen Anforderungen: Transparenzpflichten, Dokumentation, menschliche Aufsicht und technische Robustheit müssen nachgewiesen werden.
Die Konsequenzen bei Verstößen sind erheblich: Strafen von bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes sind möglich. Für ein KMU mit 10 Millionen Euro Umsatz bedeutet das ein Risiko von bis zu 700.000 Euro.
Viele Unternehmen glauben, sie seien auf der sicheren Seite, weil die großen KI-Anbieter in ihren Nutzungsbedingungen auf Datenschutz hinweisen. Die Realität sieht häufig anders aus.
Wenn Sie personenbezogene Daten – auch nur den Namen eines Kunden oder die E-Mail-Adresse eines Mitarbeiters – in eine Cloud-KI eingeben, handelt es sich in der Regel um Auftragsverarbeitung nach Art. 28 DSGVO. Das bedeutet: Sie brauchen einen validen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter.
Viele KMUs nutzen kostenlose oder günstige Tarife, bei denen dieser Vertrag entweder nicht vorhanden oder nicht DSGVO-konform ist. Fehlt ein wirksamer AVV, ist jede Verarbeitung personenbezogener Daten illegal – und das unabhängig davon, ob tatsächlich ein Datenschutzvorfall eintritt.
Die meisten populären KI-Dienste werden von US-amerikanischen Unternehmen betrieben. Auch wenn diese mittlerweile europäische Rechenzentren nutzen, unterliegen sie dem US CLOUD Act – einer amerikanischen Rechtsnorm, die US-Behörden den Zugriff auf Daten amerikanischer Unternehmen weltweit ermöglicht.
„Selbst wenn Ihre Daten auf einem Server in Frankfurt liegen: Wenn der Betreiber ein US-Unternehmen ist, kann US-Recht greifen.”
Das Schrems-II-Urteil des EuGH hat die Anforderungen an transatlantische Datentransfers erheblich verschärft. Für KMUs ohne eigene Rechtsabteilung ist es kaum möglich, die Rechtmäßigkeit solcher Transfers vollständig zu beurteilen und zu dokumentieren.
Auch wenn die großen Anbieter in ihren Geschäftskundentarifen versichern, Daten nicht für das Training zu verwenden, bleiben Fragen offen: Welche Daten werden zu welchem Zweck wie lange gespeichert? Wer hat intern Zugriff darauf? Wie werden Sicherheitsvorfälle gehandhabt?
Unternehmen, die vertrauliche Geschäftsdaten, Mandanteninformationen oder Personalakten in Cloud-KI-Dienste eingeben, können im Schadensfall schwer nachweisen, dass sie die gebotene Sorgfalt angewandt haben.
Beantworten Sie diese fünf Fragen ehrlich:
Wer auch nur eine dieser Fragen mit „Nein” beantwortet, hat rechtlichen Handlungsbedarf.
Die rechtssicherste Lösung für viele KMUs ist der Betrieb eines eigenen Sprachmodells auf der eigenen Infrastruktur – sogenanntes lokales LLM-Hosting oder On-Premise KI.
„Wenn Daten Ihr Netzwerk nicht verlassen, können sie auch nicht in einer Cloud landen, auf die US-Behörden zugreifen könnten.”
Dabei werden Open-Source-Sprachmodelle wie Llama 4, Mistral Large oder Gemma 3 auf einem Server im eigenen Rechenzentrum oder Büro betrieben. Alle Verarbeitung findet lokal statt – keine Daten verlassen das Unternehmen, kein AVV mit einem US-Konzern ist nötig, und die Anforderungen des EU AI Acts lassen sich durch volle Kontrolle über das System deutlich einfacher erfüllen.
Konkrete Vorteile für die Compliance:
Unternehmen, die jetzt in rechtssichere KI-Infrastruktur investieren, vermeiden nicht nur hohe Bußgelder. Sie schaffen Vertrauen bei Kunden und Partnern – besonders in regulierten Branchen wie Recht, Gesundheit oder Finanzdienstleistungen, wo Datenschutz ein zentrales Qualitätsmerkmal ist.
Lokales LLM-Hosting ist dabei keine futuristische Vision, sondern heute schon mit überschaubarem Aufwand umsetzbar. Die nötige Hardware kostet für viele KMU-Anwendungsfälle weniger als ein Jahresbeitrag für gängige Cloud-KI-Lizenzen.
Sprechen Sie mit uns über eine kostenlose Compliance-Erstanalyse für Ihren KI-Einsatz.
Sie möchten wissen, wie künstliche Intelligenz auch in Ihrem Unternehmen Mehrwert schaffen kann? In einem kostenlosen Erstgespräch besprechen wir Ihre Möglichkeiten.
Oder schreiben Sie uns direkt: [email protected] | +43 660 31 96 763