Eine Geschäftsführerin sagte uns neulich in der Sprechstunde einen Satz, den wir fast wörtlich von jedem zweiten Haus hören: „Wir haben doch jetzt überall die Pro-Version und einen Auftragsverarbeitungsvertrag, dann sind wir auf der sicheren Seite." Der Satz klingt vernünftig. Er ist trotzdem falsch, und der Irrtum kostet im Zweifel mehr als die Lizenzen.
Wir sind hier nicht in der Rolle der Pioniere. Fraunhofer und appliedAI haben den EU AI Act mit Prüfkatalogen besetzt, die Datenschutzkonferenz hat ihre Orientierungshilfe zu KI veröffentlicht. Wir sortieren das Stück ein, das im Mittelstand wirklich beißt: die Frage, welches Werkzeug auf welche Daten darf, und warum der Kontostand des Abos darüber nichts aussagt.
Denkfehler eins · Pro ist nicht Business
Die meisten Menschen sortieren KI-Tools nach Preis: gratis ist unsicher, bezahlt ist sicher. Diese Linie ist falsch. Die richtige Trennlinie verläuft zwischen Consumer-Vertrag und Geschäfts-Vertrag, und die beiden haben mit dem Preis wenig zu tun.
Ein Beispiel, das fast jeden überrascht. ChatGPT Plus kostet rund 20 Euro im Monat, ChatGPT Pro rund 200 Euro. Beide laufen unter denselben Consumer-Bedingungen: kein Auftragsverarbeitungsvertrag, Ihre Eingaben fließen im Standard in die Produktverbesserung, keine wählbare EU-Region. Das teure Pro-Abo kauft mehr Rechenzeit und stärkere Modelle, aber kein einziges Datenschutz-Versprechen mehr als das günstige. Dasselbe Muster bei Anthropic mit Claude Pro und Max, bei Google mit Gemini Pro und Ultra, bei Perplexity mit Pro. Hoher Preis, Consumer-Posture.
Geschäftstauglich wird es erst eine Stufe weiter, und diese Stufe heißt nicht Pro, sondern Team, Business, Enterprise oder API. Erst dort bekommen Sie den Auftragsverarbeitungsvertrag, die vertragliche Zusage gegen Training auf Ihren Daten und die Option auf eine EU-Region. Bei Anthropic ist die Trennung sogar mit einem Datum versehen: Seit August 2025 nutzt der Anbieter Eingaben aus den Consumer-Tarifen im Standard zum Training, wer dem nicht widerspricht, dessen Daten werden bis zu fünf Jahre aufbewahrt. Die Geschäfts-Tarife sind davon ausgenommen.
Wir haben anderthalb Jahre Pro-Abos bezahlt und dachten, das sei unsere sichere Variante. War es nicht.
Geschäftsführung, mittelständische Spedition, AIM-Sprechstunde 2026
Die praktische Konsequenz ist unbequem. Der Vertriebsmitarbeiter, der „schnell mal" eine Kundenliste in sein privates ChatGPT-Plus kippt, arbeitet außerhalb jeder vertraglichen Absicherung, egal wie viel die Firma woanders für Lizenzen zahlt.
Denkfehler zwei · der AVV ist die Eintrittskarte
Nehmen wir an, Sie haben den richtigen Geschäfts-Tarif und der Auftragsverarbeitungsvertrag liegt unterschrieben in der Schublade. Sind Sie jetzt fertig? Nein, Sie sind eingetreten.
Der Auftragsverarbeitungsvertrag regelt genau eine Sache: wie der Anbieter in Ihrem Auftrag mit den Daten umgeht. Er sagt nichts darüber, ob Sie diese Daten überhaupt eingeben dürfen. Diese Frage beantwortet die Rechtsgrundlage nach Artikel 6, bei Mitarbeiterdaten zusätzlich das Bundesdatenschutzgesetz. Der Vertrag minimiert auch nicht die Daten in Ihrem Prompt, er führt kein Verzeichnis der Verarbeitungstätigkeiten, er erstellt keine Datenschutzfolgenabschätzung, er löst nicht das Problem, dass die Daten in den USA verarbeitet werden, und er schult niemanden.
Die unbequeme Wahrheit dahinter: Die Verantwortung bleibt zu hundert Prozent bei Ihnen. Der Anbieter ist nur Ihr Werkzeug. Wer das verstanden hat, hört auf, nach dem einen Vertrag zu suchen, der alles erledigt, und fängt an, eine Handvoll Dinge selbst zu regeln.
Die Ampel je Werkzeug
Wir haben die gängigen Stacks für den Mittelstand durchsortiert. Das Muster wiederholt sich, die Details unterscheiden sich.
- ChatGPT von OpenAI. Frei, Plus und Pro sind rot für Geschäftsdaten. Business und Team sind das brauchbare Grundgerüst. Enterprise und die API sind grün, wenn Sie EU-Region und eine kurze Aufbewahrung aktiv einstellen. Die EU-Region lässt sich nur beim Einrichten wählen, nicht nachträglich.
- Claude von Anthropic, inklusive Claude Code. Frei, Pro und Max sind rot. Team, Enterprise und die API tragen den Auftragsverarbeitungsvertrag von Haus aus. Claude Code über einen geschäftlichen API-Schlüssel ist sauber, über ein privates Abo nicht.
- Gemini und NotebookLM von Google. Das kostenlose Gemini und das Consumer-NotebookLM sind rot. Innerhalb von Google Workspace mit den Unternehmens-Zusagen wird es brauchbar, NotebookLM Enterprise und Vertex AI sind grün.
- Microsoft 365 Copilot. Für Häuser, die ohnehin auf Microsoft 365 sitzen, oft der pragmatischste grüne Weg, weil die EU-Datengrenze und die Zusage gegen Training auf Ihren Daten Teil des bestehenden Vertrags sind. Der Consumer-Copilot ist davon zu trennen.
- Perplexity und ähnliche Tools. Frei und Pro sind Consumer ohne Auftragsverarbeitungsvertrag, also rot für Firmendaten. Erst das Enterprise-Angebot wird diskutabel.
- Der eigene Stack. Oft der sauberste Weg überhaupt: ein selbst gebauter Workflow über die API mit Auftragsverarbeitungsvertrag, EU-Region und zugesicherter Nicht-Aufbewahrung. Dazu europäische Anbieter wie Mistral oder Aleph Alpha und das Hosten offener Modelle im eigenen Verantwortungsbereich. Der Preis: Sie werden selbst zum Verantwortlichen. Der Gewinn: Ihre Daten verlassen den Rahmen nie, den Sie kontrollieren.
Was bei jedem Werkzeug gilt
Über alle Stacks hinweg bleiben dieselben sieben Handgriffe. EU-Region aktiv wählen, denn sie ist nie der Standard. Das Training auf Ihren Daten abschalten und das Abschalten dokumentieren. So wenig personenbezogene Daten wie möglich in den Prompt, vorher anonymisieren. Keine besonderen Kategorien wie Gesundheit oder Religion, auch nicht versteckt in einer Krankmeldung. Eine kurze, verbindliche KI-Leitlinie statt einer vierzigseitigen Richtlinie, die niemand liest. Die Nutzung ins Verzeichnis der Verarbeitungstätigkeiten eintragen. Und die eigenen Leute schulen, damit persönliche KI-Kompetenz im Arbeitsalltag entsteht und nicht nur ein Häkchen im Compliance-Ordner.
Der ehrliche Teil · was niemand sicher weiß
Wir versprechen unseren Teilnehmern, offene Fragen offen zu nennen statt Scheinsicherheit zu verkaufen. Eine davon ist gerade besonders relevant. Die Übermittlung von Daten in die USA stützt sich seit 2023 auf das EU-US Data Privacy Framework. Dessen Bestand ist 2026 nicht gesichert. Ein erstes Gericht hat es bestätigt, dagegen läuft ein Rechtsmittel, und in den USA wurde im Januar 2025 genau das Aufsichtsgremium geschwächt, auf das die EU ihre Zusage gestützt hat. Ein Kippen ist mittelfristig möglich.
Dazu kommt ein zweiter Punkt, der in der Recherche für diesen Artikel überraschend war. Mehrere scheinbar seriöse Quellen behaupten, OpenAI und Anthropic seien nach diesem Framework zertifiziert. Nach der belastbaren Beleglage sind sie es nicht, sie stützen sich auf Standardvertragsklauseln. Die Falschaussagen stammen teils von KI-Systemen, die zwei Anbieter verwechselt haben. Wer sich rechtlich darauf verlässt, muss das offizielle Register selbst prüfen. Genau diese Sorgfalt ist der Unterschied zwischen einer Behauptung und einer belastbaren Aussage.
Der Hebel, den viele übersehen
Seit Februar 2025 verlangt Artikel 4 des EU AI Act, dass Unternehmen für ausreichende KI-Kompetenz ihrer Beschäftigten sorgen. Das ist keine Empfehlung, sondern eine geltende Betreiberpflicht für fast jedes Haus, das KI im Arbeitsalltag einsetzt. Die gute Nachricht: Eine ernsthafte Schulung erfüllt diese Pflicht und ist zugleich der wirksamste Schutz gegen die teuren Fehler aus diesem Artikel. Compliance und Kompetenz fallen hier zusammen.
Wann diese Stack-Logik nicht reicht
Die Ampel ist ein Sortier-Werkzeug, kein Ersatz für eine Einzelfallprüfung. Drei Fälle verlangen mehr.
Hochrisiko-Anwendungen
Wer KI in Personalauswahl, Kreditvergabe oder kritischer Infrastruktur einsetzt, landet im Hochrisiko-Bereich des EU AI Act mit eigenen, umfangreichen Pflichten. Hier reicht keine Faustregel.
Stark regulierte Branchen
Banken, Versicherungen oder Pharma überlagern den Datenschutz mit ihrer eigenen Aufsicht. Jede Ampel-Entscheidung verlangt dort eine zweite Prüfung gegen die Branchen-Regulatorik.
Grenzüberschreitende Konstellationen
Sobald Tochtergesellschaften über Grenzen hinweg Daten teilen, wird das Vertragswerk komplexer, als eine Faustregel abbilden kann. Hier braucht es fachkundige Begleitung.
Drei Fragen vor der nächsten Lizenz
- Welche unserer Tarife sind in Wahrheit Consumer, obwohl wir dafür bezahlen, und laufen heute schon Firmendaten darüber? Wer das nicht weiß, kauft an der Realität vorbei.
- Für welche Werkzeuge haben wir das Training auf unseren Daten wirklich abgeschaltet und das auch dokumentiert? Ohne diese Spur ist die Pflicht nicht erfüllbar.
- Welcher Weg führt dahin, dass unsere KI-Lösungen im Haus gebaut sind und nach sechs Wochen ohne uns weiterlaufen, statt eine Abhängigkeit von einem einzigen Anbieter aufzubauen? Wer diese Frage nicht beantwortet, baut Abhängigkeit, nicht Infrastruktur.
Fazit · der Preis sagt nichts über den Schutz
In unseren Lehrgängen in Hamburg, Frankfurt und Köln behandeln wir diese Stack-Frage im AIM Online 2, direkt nach dem Werkzeug-Überblick. Die Teilnehmer ordnen ihren eigenen Werkzeug-Zoo in die Ampel ein und nehmen eine Entscheidungsregel mit, die am nächsten Tag anwendbar ist.
Wir bauen KI-Infrastruktur, die im Haus gebaut ist und nach sechs Wochen ohne uns weiterläuft. Datenschutz ist dabei kein Selbstzweck, sondern die Bedingung dafür, dass die gebauten Workflows auch in zwei Jahren noch betrieben werden dürfen. Wir glauben an Output, nicht an Output-Theater. Eine teure Enterprise-Lizenz, hinter der niemand das Training abgeschaltet hat, ist Output-Theater. Eine klare Regel, welcher Stack welche Daten sehen darf, ist Output.
Entscheidend ist nicht, was ein KI-Abo kostet, sondern ob es ein Consumer- oder ein Geschäfts-Tarif ist, ob das Training abgeschaltet und die EU-Region gewählt ist, und ob Sie die paar Dinge geregelt haben, die der Auftragsverarbeitungsvertrag bewusst offen lässt. Das ist weniger Arbeit, als eine vierzigseitige Richtlinie vermuten lässt, und mehr als das Klicken auf „Pro upgraden".