Du willst KI im Vertrieb nutzen, ohne rechtlich ins Risiko zu laufen. Die kurze Antwort: Das geht – wenn du eine Rechtsgrundlage hast, nur die nötigen Daten verarbeitest und weißt, wo diese Daten liegen. DSGVO und EU AI Act gelten dabei gleichzeitig, und beide kennen keine Ausnahme für KI.
Ist KI im Vertrieb überhaupt DSGVO-konform?
Ja, aber nicht automatisch. Sobald eine KI-Anwendung personenbezogene Daten verarbeitet – und das ist bei Lead-Qualifizierung, CRM-Auswertung oder automatisierter Kommunikation praktisch immer der Fall – gelten die Regeln der DSGVO in vollem Umfang. Du brauchst eine Rechtsgrundlage nach Art. 6 DSGVO (Vertrag, berechtigtes Interesse oder Einwilligung), du musst den Zweck festlegen (Art. 5) und darfst nur die wirklich nötigen Daten verarbeiten (Datenminimierung).
Praktisch heißt das: Kein vollständiger Kundendaten-Export in ein öffentliches KI-Tool. Für die meisten Vertriebsanwendungen reicht ein Bruchteil der Daten – etwa Anfragetyp und Produktkategorie statt des kompletten Kundensatzes.
Merksatz: Nicht die KI ist das Risiko, sondern unkontrolliert abfließende Daten. Verarbeite nur, was der Zweck wirklich braucht.
Was schreibt der EU AI Act vor – und ab wann?
Der EU AI Act ergänzt die DSGVO um KI-spezifische Pflichten und tritt stufenweise in Kraft. Die für den Vertrieb wichtigsten Termine stehen in dieser Übersicht.
| Datum | Was gilt |
|---|---|
| 1. August 2024 | EU AI Act in Kraft getreten |
| 2. Februar 2025 | Verbote für inakzeptable KI-Praktiken; KI-Kompetenzpflicht nach Art. 4 |
| 2. August 2025 | Regeln für General-Purpose-KI-Modelle (Transparenz) |
| 2. August 2026 | Volle Anforderungen für Hochrisiko-KI-Systeme |
Für die meisten Marketing- und Vertriebsanwendungen (Texterstellung, Datenanalyse, Lead-Vorqualifizierung) gilt „begrenztes” oder „minimales Risiko” – mit Transparenzpflichten, aber ohne die strengen Hochrisiko-Auflagen. Sobald KI aber in Personalauswahl, Bonitäts- oder automatisierte Vertragsentscheidungen eingreift, gelten die Hochrisiko-Anforderungen.
Wie hoch sind die Bußgelder?
Die Bußgelder sind erheblich und deshalb kein Randthema. Für Verstöße gegen verbotene KI-Praktiken drohen laut EU AI Act bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für andere Verstöße sind es bis zu 15 Millionen € oder 3 %. Parallel bleiben die DSGVO-Bußgelder bestehen und können zusätzlich anfallen.
Merksatz: DSGVO und EU AI Act gelten parallel. Sobald KI personenbezogene Daten verarbeitet, musst du beide Regelwerke erfüllen.
Wie setzt du KI im Vertrieb sicher auf? Die Checkliste
Der sicherste Weg für sensible Daten ist, sie gar nicht erst aus deiner Kontrolle zu geben. Selbst gehostete oder EU-gehostete Verarbeitung, Pseudonymisierung und klare Zugriffsregeln reduzieren das Risiko deutlich. Diese Punkte solltest du abhaken:
- Rechtsgrundlage nach Art. 6 DSGVO je Verarbeitung festlegen und dokumentieren.
- Zweck- und Datenminimierung: nur die nötigen Datenfelder.
- Verarbeitungsverzeichnis (Art. 30 DSGVO) um jedes KI-Tool erweitern.
- Datenspeicherort klären; für sensible Daten EU-Datenresidenz oder Selbst-Hosting.
- AVV (Auftragsverarbeitungsvertrag) bei externen Anbietern abschließen.
- DSFA (Datenschutz-Folgenabschätzung, Art. 35) bei hohem Risiko durchführen.
- KI-Kompetenz der Mitarbeitenden sicherstellen (Art. 4 EU AI Act, Pflicht seit 2.2.2025).
- Transparenz: KI-Interaktionen kennzeichnen, wo erforderlich.
Genau hier liegt ein DACH-Vorteil: Wer selbst gehostete Automatisierung nutzt und Daten im eigenen bzw. europäischen Umfeld hält, erfüllt viele dieser Punkte strukturell leichter als bei US-Cloud-Diensten.