Konkrete Antworten.
Keine Floskeln.
Was Unternehmen 2026 zu KI, DSGVO, EU AI Act und Mittelstands-Realität wirklich wissen müssen. Mit Paragraphen, Architekturen und Preisen statt Werbe-Versprechen. Wir aktualisieren die Einträge, wenn sich Recht oder Technik ändern.
Recht & Compliance
DSGVO, EU AI Act, Schrems II, AVV — was Mittelstandsunternehmen 2026 wirklich erfüllen müssen.
Darf ich ChatGPT oder Claude DSGVO-konform für Geschäftsdaten nutzen?
Mit Consumer-Versionen (chat.openai.com, claude.ai) nein — keine personenbezogenen oder vertraulichen Daten. Mit Business-/API-Variante und passendem Vertragsstack ja, aber nur mit AVV, EU-Region, DSFA und sauberer Datenklassifizierung.
EU AI Act 2024/1689 — was ändert sich ab August 2026 für den Mittelstand?
Verbotene Systeme sind seit Februar 2025 raus, GPAI-Pflichten greifen seit August 2025. Ab 2. August 2026 gelten die Hauptpflichten für Hochrisiko-KI plus Transparenzpflichten für jeden, der KI einsetzt — auch im Mittelstand. Wer Chatbots, Bewerber-Screening oder Bonitätsprüfung mit KI betreibt, muss handeln.
Schrems II 2026 — wie steht es um Azure OpenAI, AWS Bedrock und Google Vertex?
Ja, mit dem EU-US Data Privacy Framework (DPF) ist die Übermittlung an zertifizierte US-Anbieter möglich. Aber das DPF wird von NOYB angefochten, ein Schrems-III-Urteil ist realistisch. Wer langfristig plant, baut von Anfang an einen Migrationspfad zu EU-gehosteten oder on-prem-Alternativen ein.
AVV mit AI-Anbietern — welche Klauseln müssen drin sein?
Die Standard-AVVs der großen AI-Anbieter erfüllen Art. 28 DSGVO formal. Aber drei Klauseln solltest du immer kritisch prüfen: Trainings-Opt-Out, Sub-Auftragsverarbeiter-Liste und Löschpflichten nach Vertragsende. Mehr als die Hälfte der AVVs, die wir 2026 in Audits sehen, sind entweder gar nicht abgeschlossen oder enthalten ungeprüfte Sub-Prozessor-Klauseln.
DSFA bei KI-Systemen — wann ist eine Datenschutz-Folgenabschätzung Pflicht?
Eine DSFA nach Art. 35 DSGVO ist Pflicht, sobald ein KI-System systematisch personenbezogene Daten verarbeitet — was bei produktiven LLM-Integrationen praktisch immer der Fall ist. Die deutschen Aufsichtsbehörden (BfDI, BayLDA, LfDI BW) führen LLMs explizit auf ihren Muss-Listen. Ohne DSFA wird das Projekt zum formalen Datenschutzverstoß.
Hochrisiko-KI nach AI Act — fällt mein System darunter?
Hochrisiko-KI sind Systeme nach Anhang III des AI Act — vor allem in HR, Bonität, Bildung, Strafverfolgung und kritischer Infrastruktur — sowie KI als Sicherheitskomponente in regulierten Produkten (Anhang I). Im Mittelstand sind HR-Tools, Bewerber-Screening und Kreditscoring die häufigsten Treffer. Die Pflichten greifen ab 2. August 2026.
Urheberrecht bei AI-Outputs — wem gehört der Output?
Nach deutschem Urheberrecht (§ 2 Abs. 2 UrhG) entstehen Urheberrechte nur an Werken mit menschlicher Schöpfung. Reine AI-Outputs sind nicht urheberrechtlich geschützt — du kannst sie nutzen, andere aber auch. Mit ausreichender menschlicher Bearbeitung kannst du eigenes Urheberrecht begründen. Bei Bildern und Code lauern zusätzlich Trainings-Daten-Risiken aus Drittquellen.
Technik & Architektur
On-Premise vs. Cloud, RAG vs. Fine-Tuning, Open Source vs. Closed — pragmatische Entscheidungshilfen.
On-Premise vs. Cloud-LLM — wann lohnt welcher Setup?
Cloud-LLMs (Azure OpenAI, Anthropic API) sind 2026 für 80 % der Mittelstands-Use-Cases die richtige Wahl: schneller Start, niedrige Einstiegskosten, kein Hardware-Risiko. On-Premise wird notwendig, wenn Art.-9-Daten verarbeitet werden, der Drittland-Transfer ausgeschlossen sein muss, Latenz unter 50 ms gefordert ist oder das Inferenzvolumen über ~50.000 €/Monat Cloud-Kosten steigt.
RAG vs. Fine-Tuning vs. Long-Context — was wann?
RAG ist 2026 in über 90 % der Mittelstands-Use-Cases die richtige Wahl: schneller, billiger, transparenter, aktualisierbar. Fine-Tuning nur, wenn Ton/Format dauerhaft trainiert werden muss. Long-Context (Claude 1M, Gemini 2M) ersetzt RAG für kleine, statische Wissensbasen — wird aber bei Skalierung teurer als RAG.
Welche LLMs sind 2026 DSGVO-konform betreibbar?
DSGVO-konform betreibbar sind 2026: Azure OpenAI in EU-Regionen, Anthropic Claude (API + Workspace) mit EU-Hosting, Mistral La Plateforme, sowie alle on-prem-Setups mit Llama 4, Mistral Large 3, Qwen 3.5 oder DeepSeek V4. Nicht ohne Weiteres konform: Consumer-ChatGPT, Claude.ai-Web ohne Workspace-Tier, OpenAI-API in US-Region ohne dezidiertes DPF-Setup, Gemini-Consumer und chinesische Modelle in der Cloud.
Open Source vs. Closed Source LLMs — was für Unternehmen?
Open-Source-Modelle haben 2026 in vielen Aufgaben aufgeschlossen und bieten volle Daten-Hoheit. Closed-Source liefert noch das beste Reasoning, das einfachste Setup und die schnellste Modellinnovation. Empfehlung: Hybrid-Stack mit Closed-Source als Default und Open-Source-Backup für sensible Daten und Lock-In-Vermeidung.
AI Audit Trail — was muss geloggt werden?
Für jedes produktive KI-System brauchst du ein Audit-Log mit Eingabe, Ausgabe, Modellversion, Nutzer, Zeitstempel und Anbieter-Region. Bei Hochrisiko-KI ist das nach Art. 12 AI Act Pflicht (mindestens 6 Monate Aufbewahrung). Bei DSGVO-relevanter Verarbeitung kommen Speicherbegrenzung nach Art. 5 und Auskunfts-Möglichkeit nach Art. 15 dazu. Wer das nicht hat, kann im Audit nichts belegen — und wer nichts belegen kann, hat den Streit verloren.
Pseudonymisierung vor LLM-Calls — reicht das wirklich?
Pseudonymisierung reduziert das Risiko, hebt die DSGVO-Pflichten aber nicht auf — pseudonyme Daten bleiben personenbezogen (Art. 4 Nr. 5 DSGVO). Echte Anonymisierung ist bei LLM-Inputs schwer, weil Kontext-Inferenz Re-Identifikation ermöglicht. Pseudonymisierung ist trotzdem ein wichtiger Baustein, aber kein Freischuss für sonst kritische Use-Cases.
Praxis & Mittelstand
Kosten, Halluzinationen, Mitarbeiter-Policies, Vendor Lock-In — was im Betrieb wirklich zählt.
Was kostet ein produktiver AI Agent realistisch?
Realistisch 15.000–80.000 € Einmal-Investition plus 500–4.000 €/Monat laufende Betriebskosten — abhängig von Komplexität, Anbindungen und Datenvolumen. Wer Angebote unter 5.000 € sieht, bekommt meist eine Workflow-Konfiguration ohne Wartung, Monitoring oder Compliance-Layer. Wer Angebote über 200.000 € sieht, zahlt Enterprise-Aufschlag, der im Mittelstand selten lohnt.
Halluzinationen — wie bekomme ich sie im Kundenkontakt klein?
Halluzinationen werden nicht durch ein besseres Modell auf null gedrückt, sondern durch System-Design: RAG mit Quellenzwang, Retrieval-Qualität messen, Output-Plausibilisierung, klare Antwort-Verweigerung bei Unsicherheit, Human-in-the-Loop für sensible Bereiche. Wer alle fünf Hebel zieht, kommt auf eine Fehlerrate von 0,5–2 % — was für viele Use-Cases akzeptabel ist.
AI-Policy nach AI Act Art. 4 — ist sie Pflicht?
Eine schriftliche AI-Policy ist nicht ausdrücklich verlangt, aber faktisch die einzige Art, die Pflicht aus Art. 4 AI Act (ausreichende KI-Kompetenz) und die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO sinnvoll zu erfüllen. Sie muss klären: welche Tools sind erlaubt, welche Daten dürfen rein, wer entscheidet, wer trägt Verantwortung. Ohne Policy ist im Audit alles individuelle Entscheidung — und damit kaum nachweisbar.
Mitarbeiter-Schulung zu KI — was muss rein, wer haftet?
Pflicht-Inhalte 2026: AI-Act-Grundlagen, DSGVO-Basics für AI, firmen-eigene Tool-Whitelist, Datenklassifizierung, Output-Verantwortung, Eskalationspfad. 30–60 Minuten beim Onboarding plus 15–30 Minuten Refresh jährlich. Haftung: Geschäftsführung für Schulungs-Setup, Mitarbeitende für Befolgung der Policy. Bei nachweislich fehlender Schulung haftet primär das Unternehmen, nicht der einzelne Mitarbeitende.
Vendor Lock-In bei AI — wie unabhängig bleiben?
Lock-In hat vier Schichten — Modell, API-Format, Embeddings, Tools/Frameworks. Schutz: Provider-Abstraktion (LiteLLM, eigener Adapter), Eval-Set für reproduzierbaren Modell-Vergleich, Embeddings-Versionierung, datensparsame Vendor-Tool-Nutzung. Pragmatisches Ziel ist nicht 100 % Anbieter-Unabhängigkeit, sondern dass ein Anbieter-Wechsel in 2–4 Wochen statt 6 Monaten machbar ist.
Frage fehlt?
Wenn deine konkrete Situation hier nicht beantwortet ist, schreib uns. Wir nehmen häufig gestellte Fragen in die Wissensdatenbank auf — und du bekommst direkt eine fundierte Antwort.
Frage stellen