Transparenz vorab: Dieser Leitfaden ist Praxiswissen aus unseren Projekten — keine Rechtsberatung. Für verbindliche Aussagen zu Ihrem Einzelfall sind Ihr Datenschutzbeauftragter oder ein Fachanwalt zuständig.
Warum das Thema real ist — aber kein Grund zur Panik
Ein KI-Agent verarbeitet zwangsläufig personenbezogene Daten: Namen in E-Mails, Termine von Kunden, Rechnungsdaten. Damit gilt die DSGVO — vollständig. Wer das ignoriert, riskiert Bußgelder und, schlimmer für einen kleinen Betrieb, das Vertrauen seiner Kunden.
Die gute Nachricht: Die DSGVO verbietet KI nicht. Sie verlangt Sorgfalt. Dieselben Prinzipien, die für jede Software mit Kundendaten gelten, gelten auch hier — sie müssen nur konsequent umgesetzt werden. Genau das leisten die folgenden sechs Bausteine.
Die sechs Bausteine der DSGVO-konformen Einführung
1. Zweckbindung: Der Agent macht nichts Neues mit den Daten
Der einfachste und wichtigste Gedanke: Wenn der Agent dieselben Aufgaben zu denselben Zwecken erledigt wie bisher ein Mensch — Anfragen beantworten, Termine bestätigen, Rechnungen erstellen — ändert sich am rechtlichen Zweck der Verarbeitung nichts. Es ändert sich das Werkzeug. Kritisch wird es erst, wenn Daten plötzlich für neue Zwecke genutzt werden (etwa Profilbildung oder Werbung ohne Grundlage). Also: Zwecke sauber definieren und den Agenten darauf begrenzen.
2. Auftragsverarbeitung: Verträge mit allen Beteiligten
Sobald ein Dienstleister Daten für Sie verarbeitet, braucht es einen Auftragsverarbeitungsvertrag (AVV) — das gilt für den Anbieter, der Ihren Agenten baut und betreut, genauso wie für KI- und Hosting-Anbieter dahinter. Seriöse Anbieter haben diese Verträge fertig in der Schublade. Wer auf die AVV-Frage ausweichend antwortet, ist der falsche Partner.
3. Speicherort: EU-Hosting ist der einfachste Weg
Die DSGVO schreibt keinen Serverstandort vor — aber Hosting in Deutschland oder der EU erspart Ihnen die komplette Drittlandtransfer-Diskussion. Viele große KI-Anbieter bieten inzwischen EU-Regionen oder EU-Verarbeitung an. Wenn Daten doch in Drittländer fließen (etwa bei US-Anbietern), muss die Übertragungsgrundlage geklärt sein. Faustregel für KMU: EU-Option wählen, wo verfügbar — eine Sorge weniger.
4. Datenminimierung: Der Agent bekommt nur, was er braucht
Ein Agent, der Terminbestätigungen versendet, braucht Zugriff auf den Kalender — nicht auf die Lohnbuchhaltung. Saubere Agenten-Architektur heißt: Zugriff pro Prozess, nicht „einmal alles". Das reduziert nicht nur das Datenschutzrisiko, sondern auch den möglichen Schaden, falls etwas schiefgeht.
5. Transparenz: Datenschutzerklärung und Information
Ihre Datenschutzerklärung sollte den KI-Einsatz abbilden: welche Dienstleister beteiligt sind, welche Datenkategorien verarbeitet werden, zu welchen Zwecken. Dazu gehört auch die ehrliche Frage, ob Kunden erkennen sollen, dass eine KI antwortet — rechtlich zunehmend erwartet, und aus unserer Sicht auch eine Stilfrage: Täuschung ist kein Geschäftsmodell.
6. Menschliche Aufsicht: Die Freigabe-Logik
Die DSGVO gibt Menschen das Recht, nicht ausschließlich automatisierten Entscheidungen mit erheblicher Wirkung unterworfen zu werden. Für Büro-Agenten heißt das praktisch: Alles, was Rechtsfolgen oder erhebliche Wirkung für eine Person hat, läuft über menschliche Freigabe — Mahnungen, Absagen an Bewerber, verbindliche Zusagen. Genau deshalb gehört Freigabe-Logik von Anfang an in jeden seriösen Agenten, nicht als Nachrüstung.
Die vier häufigsten Fehler in der Praxis
- Kundendaten im privaten ChatGPT-Konto: Der Klassiker. Mitarbeiter kopieren Kundenmails in frei verfügbare KI-Tools — ohne AVV, ohne Kontrolle. Ein sauber aufgesetzter Agent ist auch die Antwort auf diese Schatten-IT.
- Kein AVV mit den KI-Anbietern: Der Vertrag mit dem Agentur-Partner allein reicht nicht, wenn dahinter Dienste ohne Vertragskette laufen.
- Alles-oder-nichts-Zugriffe: Der Agent bekommt Vollzugriff auf das Postfach des Chefs „weil es einfacher ist". Bequem — bis zum ersten Vorfall.
- Datenschutzerklärung vergessen: Der Agent läuft seit Monaten, die Erklärung erwähnt ihn nicht. Leicht vermeidbar, wenn man es von Anfang an mitdenkt.
Ihre Checkliste für das Anbietergespräch
- Gibt es einen AVV — mit dem Anbieter und für die Dienste dahinter?
- Wo werden die Daten verarbeitet? Gibt es eine EU-/Deutschland-Option?
- Welche Zugriffe bekommt der Agent — pro Prozess oder pauschal?
- Welche Schritte laufen über menschliche Freigabe?
- Wird die Datenschutzerklärung mit angepasst?
- Wem gehören Agent, Konten und Daten — auch nach einer Kündigung?
- Wie wird der Agent überwacht, und wer korrigiert Fehler?
Wie wir diese Punkte bei Stevens Agents umsetzen, steht offen auf unseren Seiten: Freigabe-Logik in jedem Prozess, EU-Hosting-Option, AVV, klare Eigentumsregelung — nachzulesen auch in den FAQ auf der Startseite.
Das Fazit
DSGVO-konforme KI ist kein Hexenwerk, sondern Handwerk: klare Zwecke, saubere Verträge, minimale Zugriffe, menschliche Freigaben, ehrliche Information. Betriebe, die das von Anfang an mitbauen, haben keinen Bremsklotz — sondern ein Verkaufsargument gegenüber ihren eigenen Kunden.