Künstliche Intelligenz bringt kleinen und mittleren Unternehmen (KMU) enorme Vorteile – von Texten und Präsentationen über Support-Automatisierung bis hin zu Analysen.
Gleichzeitig verlangt die DSGVO einen sorgfältigen Umgang mit personenbezogenen Daten.

Dieser Beitrag zeigt, wie KMU KI DSGVO-konform einsetzen können – mit und ohne Microsoft 365 –, welche Kosten anfallen und worauf Sie besonders achten sollten.

So bringt KI Schwung in den Büroalltag

Künstliche Intelligenz ist längst mehr als nur ein Technik-Trend – sie kann viele wiederkehrende Aufgaben im Büro schneller, einfacher und oft sogar besser erledigen.

Ob Textarbeit, Datenanalyse oder Meeting-Protokolle: Mit den richtigen Tools lassen sich Routinejobs automatisieren und wertvolle Zeit für wichtigere Projekte gewinnen. Hier ein paar praxisnahe Beispiele, wie KI den Arbeitsalltag in KMU spürbar erleichtern kann.

Texte erstellen

Praxis: KI erstellt z. B. Produktbeschreibungen, E-Mail-Entwürfe oder Social-Media-Beiträge auf Basis von Stichpunkten.
Benötigt: KI-Tool (z. B. Microsoft 365 Copilot, Bing Chat Enterprise, ChatGPT) und klare Input-Vorgaben.

Texte korrigieren & umformulieren

Praxis: Ein vorhandener Bericht wird von der KI sprachlich optimiert oder für eine andere Zielgruppe angepasst.
Benötigt: Textdokument und KI-Tool mit Bearbeitungsfunktion.

Zusammenfassungen

Praxis: Aus einem 10-seitigen Protokoll erstellt die KI eine prägnante 5-Punkte-Zusammenfassung.
Benötigt: Vollständiger Text als Eingabe und KI mit Zusammenfassungsfunktion.

Übersetzungen

Praxis: Eine englische Kundenanfrage wird automatisch ins Deutsche übersetzt, Antwort direkt auf Englisch formuliert.
Benötigt: KI-Tool mit Übersetzungsfunktion oder integrierte Office-Funktion.

Präsentationen vorbereiten

Praxis: Aus einem Projektbericht generiert die KI eine PowerPoint mit Folienstruktur und Bildern.
Benötigt: Microsoft 365 Copilot oder vergleichbares KI-Tool mit Office-Anbindung.

Datenanalyse

Praxis: Excel-Tabelle wird analysiert, KI liefert Kennzahlen und schlägt Diagramme vor.
Benötigt: Tabellen-Tool (z. B. Excel) mit KI-Integration.

Meeting-Notizen

Praxis: Teams-Meeting wird automatisch transkribiert, KI erstellt To-do-Liste und Entscheidungen.
Benötigt: Microsoft Teams mit Protokoll- oder Copilot-Funktion.

Recherche

Praxis: KI erstellt einen Überblick über Markttrends oder fasst aktuelle Branchennachrichten zusammen.
Benötigt: KI-Tool mit Zugriff auf aktuelle Webdaten (z. B. Bing Chat Enterprise, ChatGPT mit Browsing).

Möglichkeiten im Überblick

Ohne Microsoft 365 – Öffentliche KI-Tools (z. B. ChatGPT Free/Plus, Gemini)

Vorteile:

• Schnell startklar,
• geringe Kosten (Plus ca. 23 €/Monat),
• ideal für Ideation und generische Texte.

Risiken: Ohne Auftragsverarbeitungsvertrag (DPA) und ohne EU-Datenhaltung. Eingaben können fürs Training genutzt werden. Keine personenbezogenen oder vertraulichen Inhalte eingeben.

Best Practice: Nur anonymisierte/Dummy-Daten, klare interne Vorgaben.

Ohne Microsoft 365 – EU-first-/On-Prem-Anbieter

Ziel:

• Datenhoheit in der EU,
• kein Training mit Ihren Eingaben,
• vertragliche Absicherung (DPA).

Geeignet für: Branchen mit höheren Datenschutzanforderungen oder wenn M365 nicht genutzt wird.
Kosten: variabel (oft Angebotsmodell pro Nutzer/Monat oder pro Nutzung).

Mit Microsoft 365 – sichere Enterprise‑KI

Copilot mit kommerziellem Datenschutz: KI-Chat mit Unternehmensschutz; Eingaben/Antworten werden nicht zum Training verwendet. Häufig in Business Premium/E3/E5 enthalten.

Microsoft 365 Copilot: Voll integriert in Word, Excel, PowerPoint, Outlook, Teams. Greift auf Ihre M365-Daten (Microsoft Graph) zu – DSGVO-konform innerhalb Ihres Tenants.

Kosten – grobe Orientierung

Was KMU im Detail beachten sollten?

Rechts- und Datenschutzanforderungen

DSGVO bleibt zentrale Grundlage: Transparenz, Rechtmäßigkeit, Datensparsamkeit und Schutz personenbezogener Daten sind Pflicht. Seit 1. August 2024 gilt die EU‑KI‑Verordnung; ab 2025 kommen zusätzliche Anforderungen insbesondere für KI‑Tools mit hohem Risiko.

Hinweis:
Datenschutz-Folgenabschätzung (DSFA) bei KI-Anwendungen (standardgemäß ab mittlerem Risiko)

Privacy by Design / Default als zentrale Prinzipien

Technisch-organisatorische Maßnahmen

• Anonymisierung/Pseudonymisierung: personenbezogene Inhalte dürfen nur anonymisiert verarbeitet werden.
• Privacy by Design: Datenschutz muss von Beginn an in KI-Anwendungen integriert sein.
• Schulung & Richtlinien: Mitarbeitende müssen sensibilisiert werden, welche Inhalte in KI-Tools eingegeben werden dürfen.

DSGVO-konforme Tools

• Priorität für Tools, die Eingaben nicht für Training verwenden und Daten im EU-hoheitlichen Raum bleiben lassen (z. B. MS 365 Copilot, NENNA).
• Risikoabschätzung (DSFA) bei Nutzung externer KI ggf. erforderlich, insbesondere bei sensiblen Datenverarbeitungen.
• Nutzung quellengetrennter Datenspeicherung zwischen Tenant- und externen Tools vermeiden.
  
  

Handlungsempfehlungen für KMU

Einstiegsphase: KI-Tools nur mit anonymen bzw. generischen Daten testen (kostenlos oder günstig).

Evaluierung: EU-basierte Lösungen (z. B. NENNA) oder sichere MS 365-Integrationen priorisieren.

Lizenzentscheid: Bei MS 365 Copilot-Abdeckung entscheiden – bei Bedarf buchen (ca. 28 €/Monat pro Nutzer).

Richtlinienkompass: Einführen von Nutzungsrichtlinien für KI – was darf eingegeben werden, was nicht?

Überwachung & Dokumentation: Regelmäßig überprüfen, ob eingesetzte KI-Systeme DSGVO- und KI-VO-konform bleiben. Schulungen und Governance sichern fortlaufende Compliance.

Fazit für KMU

Mit MS 365: Copilot Chat bietet KI-Support ohne Zusatzkosten – sicher und DSGVO-konform. Wer mehr Integration möchte, investiert in MS 365 Copilot (~28 € pro Nutzer) für umfassende KI-Funktionen.

Ohne MS 365: Nur generische Nutzung von ChatGPT möglich – ausschließlich mit anonymen Inhalten. Für sensible Anwendungsfälle eignen sich EU-First-Lösungen wie NENNA.

Grundregel: Eingaben immer datenschutzfreundlich gestalten – sonst drohen Bußgelder und Vertrauensverlust.

Glossary zum Artikel

„Eingaben können fürs Training genutzt werden“:

Alles, was du in ein KI-Tool eintippst (Texte, Fragen, Dateien), darf der Anbieter speichern und später verwenden, um sein KI-Modell zu verbessern.

Das bedeutet:

Die Inhalte werden ausgewertet, um das Modell „schlauer“ zu machen.

Sie können in anonymisierter oder teilweise pseudonymisierter Form ins Training einfließen.

Es besteht das Risiko, dass sensible oder personenbezogene Daten so in den Datenbestand des Anbieters gelangen – und damit die DSGVO verletzt wird.

💡 Fazit: Nur Inhalte eingeben, die auch öffentlich sein dürften – oder ein Tool nutzen, das ausdrücklich kein Training mit deinen Daten macht.

„DSGVO-konform innerhalb Ihres Tenants“:

Die Datenverarbeitung passiert nur in deiner eigenen Microsoft-365-Cloud-Umgebung (Tenant), die deinem Unternehmen zugeordnet ist.
Dadurch gelten automatisch die gleichen Datenschutz- und Sicherheitsstandards, die du bereits für M365 nutzt:

• Datenstandort: Speicherung und Verarbeitung in der von dir gewählten Region (z. B. EU).

• Rechte & Zugriff: Es gelten deine bestehenden Benutzerrollen, Berechtigungen und Compliance-Richtlinien.

• Verträge: Microsoft ist als Auftragsverarbeiter durch den DPA (Auftragsverarbeitungsvertrag) und die DSGVO gebunden.

• Kein Datenabfluss: Daten verlassen den Tenant nicht zu externen KI-Diensten, es sei denn, du erlaubst es ausdrücklich.

💡 Kurz: Wenn ein KI-Dienst „innerhalb des Tenants“ läuft, nutzt er nur deine geschützte Unternehmensumgebung, statt Daten unkontrolliert ins Internet zu schicken.