METXMEEine Hausverwaltung in Bonn schickte im Februar einen ihrer Sachbearbeiter:innen zu einer KI-Schulung — drei Tage Workshop, gut investiertes Geld, am Ende sollte ein Use-Case starten. Mietverträge in Claude einlesen, strukturierte Eckdaten zurückbekommen, Eigentümer-Brief draus formulieren. Beim Kick-off-Termin saß die Datenschutzbeauftragte des Hauses dabei, ließ den Sachbearbeiter zehn Minuten ausführen, dann sagte sie: „Stop. Habt ihr einen AVV mit Anthropic? Wo liegt der Datenraum? Sind die Mieter informiert? Habt ihr eine Folgenabschätzung gemacht?" Vier Fragen, vier Mal Schweigen am Tisch, der Use-Case wurde auf den Frühherbst verschoben.
Das ist ein typischer DSGVO-Stopp im Mittelstand. Er ist nicht falsch — die Fragen sind berechtigt. Aber er ist vermeidbar. Wer vor dem Kick-off-Termin die acht Standard-Fragen einmal sauber durchgegangen ist, sitzt mit dem DSB nicht im Vetorecht-Modus, sondern im Strukturhilfe-Modus. Genau dafür ist der DSGVO-Schnellcheck in der Community gebaut: acht Fragen, drei Antwortmöglichkeiten pro Frage (Ja, Nein, Unklar), am Ende eine Ampel-Empfehlung mit konkreten Folgeschritten. Die Antworten bleiben lokal im Browser. Niemand bei metxme.ai sieht eure Fälle.
Frage eins — Personenbezug
Werden im Use-Case personenbezogene Daten verarbeitet?
Die einfache Antwort ist meistens „ja". Mietverträge enthalten Mieternamen. Übergabeprotokolle nennen Bewohner. Kundenkorrespondenz bezieht sich auf Personen. Selbst „nur Gewerbe-Mieter" ist Personenbezug, sobald Geschäftsführer, Ansprechpartner oder Mail-Adressen ins Spiel kommen.
Im Zweifel: ja. Das ist die sicherere Annahme — und sie spart eine spätere Korrektur, wenn der DSB nachfragt. Pseudonymisierung in den Eingabedaten (Namen schwärzen, IDs statt Klartext) ist eine pragmatische Lösung, die viele KI-Use-Cases im Mittelstand tragfähig macht. Wer das einmal als Standard-Schritt im Workflow eingebaut hat, hat das größte Datenschutzrisiko schon halb gelöst.
Frage zwei — besondere Kategorien
Werden besondere Kategorien personenbezogener Daten verarbeitet (Gesundheit, Religion, Gewerkschaft, ethnische Herkunft, politische Meinungen, sexuelle Orientierung)?
Diese Frage wird oft zu schnell mit „nein" beantwortet. Im FM- und Immobilien-Kontext gibt es indirekte Berührungen: Mitarbeitergespräche mit Krankheitsbezug, Bewerbungsunterlagen, Mieterkorrespondenz mit Gesundheitsbezug (etwa bei behindertengerechtem Umbau), seelsorgerische Korrespondenz im kirchlichen Wohnungsbau.
Wenn solche Daten ins Modell gehen, reicht der Standard-AVV nicht. Es braucht eine eigene Datenschutz-Folgenabschätzung, gegebenenfalls eine separate Schutzmaßnahme (etwa lokales Hosting statt Cloud-API), und im Zweifel die Vorabbefassung mit der zuständigen Aufsichtsbehörde. Der AVV-Vorprüfungsbogen in der Vorlagen-Bibliothek listet die zusätzlichen Punkte.
Frage drei — EU-Datenraum
Liegt der Datenraum des KI-Anbieters in der EU?
Drei Pfade sind 2026 etabliert: AWS Bedrock in eu-central-1 (Frankfurt) bietet Claude und Mistral mit dokumentiertem AVV. Google Vertex AI in europe-west und europe-west3 bietet Claude und Gemini mit AVV. Microsoft Azure OpenAI Service hat eine deutsche Region (Cloud Deutschland). Die Anthropic-Direkt-API hat aktuell US-Hosting, mit angekündigten EU-Endpoints — Stand Mai 2026 in der Pipeline, aber noch nicht produktiv überall.
Wer Open-Weight-Modelle (Llama, Mistral, DeepSeek) auf eigener Hardware oder bei einem EU-Hoster (Together AI Frankfurt, Scaleway, OVHcloud) laufen lässt, hat den souveränsten Datenraum — kein US-Touchdown, kein AVV-Pfad mit US-Anbieter, keine Drittlandübermittlung. Setup-Aufwand höher, Compliance-Pfad einfacher.
Die Anbieter-Matrix zeigt für jede der vier Welten den Datenraum-Status. Wer die Verstehen-Spalte einmal durchgegangen ist, hat die Antwort.
Frage vier — AVV
Liegt ein Auftragsverarbeitungsvertrag mit dem Anbieter vor?
Ein abgeschlossener AVV ist Pflicht, sobald personenbezogene Daten zu einem Anbieter gehen. Standard-AVVs der großen Cloud-Anbieter (AWS, Google, Microsoft, Anthropic Enterprise) sind grundsätzlich tragfähig — aber nicht bei besonderen Kategorien (siehe Frage zwei) und nicht bei sehr kritischen Einsatzfeldern.
Der AVV-Vorprüfungsbogen in der Community führt vor dem Abschluss durch acht Punkte: Anbieter und Standort, Datenraum, Subunternehmer, Trainingsnutzung, Löschfristen, Sicherheits-Zertifizierungen, Audit-Rechte, Meldewege bei Datenpannen. Wer den Bogen mit dem DSB durchgegangen ist, hat eine deutlich saubere Verhandlungsbasis als jeder „den Standard-AVV unterschreiben"-Reflex.
Frage fünf — Trainingsausschluss
Ist vertraglich ausgeschlossen, dass eure Daten zum Training des Modells verwendet werden?
Bei der Anthropic-API in der Standard-Konfiguration ist das ausgeschlossen — Inputs und Outputs gehen nicht in das Modelltraining. Das gleiche gilt für AWS Bedrock und Google Vertex AI Bedrock-Variante. Bei OpenAI ist es bei der Enterprise-API und Azure OpenAI ausgeschlossen, in der Standard-API muss es aktiv per Konfiguration gewählt werden (heute „API by default no training", historisch komplizierter).
Bei Pro/Team-Tarifen ist die Lage subtiler — meist wird Trainingsnutzung im Browser-Kontext nicht gemacht, sollte aber im jeweiligen Tarifvertrag explizit geprüft werden. Wer „Zero Data Retention" anfragt, bekommt bei Enterprise-Verträgen meist eine vertragliche Zusicherung, dass auch keine Logs der Inputs/Outputs gespeichert werden — ein höherer Compliance-Standard.
Frage sechs — Zweckbindung
Ist der Verarbeitungszweck dokumentiert und mit dem ursprünglichen Erhebungszweck vereinbar?
Diese Frage wird oft übergangen. Wenn Mitarbeiter-E-Mails in eine Wissens-KI gehen, ist das ein anderer Zweck als bei der ursprünglichen Erhebung („Geschäftliche Kommunikation"). Wenn Mietvertragsdaten in eine KI-Strukturierung gehen, ist das ein neuer Zweck — und braucht eine eigene Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) plus Information der Betroffenen.
Pragmatischer Pfad: Use-Case-Steckbrief erstellen (siehe Vorlagen-Bibliothek), Zweck konkret beschreiben, mit dem ursprünglichen Erhebungszweck abgleichen, im Zweifel Datenschutz-Hinweise oder Mitarbeiter-Information ergänzen. Eine Stunde Aufwand, dauerhafte Klarheit.
Frage sieben — Transparenz
Sind betroffene Personen über die KI-Nutzung informiert worden?
Drei Ebenen sind hier zu prüfen: Mitarbeitende (Betriebsvereinbarung oder mindestens dokumentierte Information, in größeren Häusern Mitwirkung des Betriebsrats), Mieter und Eigentümer (Datenschutzhinweise auf der Webseite, in der Korrespondenz, in den Mietverträgen), externe Geschäftspartner (sofern relevant).
Im Mittelstand ist die häufigste Lücke die Mitarbeiter-Information. Wer mit einer KI-Charta arbeitet (siehe KI-Charta-Generator) und diese Charta in der Mitarbeiterversammlung vorstellt, hat die Transparenz strukturell erledigt.
Wichtig: Auch gegenüber Endkund:innen, wenn Antworten KI-generiert sind. Wer einen automatisierten Mieter-Newsletter mit KI schreibt, sollte das nicht verschweigen. Eine Zeile „Diese Mail wurde KI-gestützt erstellt und vor Versand redaktionell geprüft" ist 2026 ein guter Standard.
Frage acht — DSFA
Ist eine Datenschutz-Folgenabschätzung erstellt oder geprüft, ob sie nötig ist?
Eine DSFA ist nach Art. 35 DSGVO erforderlich, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat". Bei systematischer KI-gestützter Verarbeitung von personenbezogenen Daten ist das häufig der Fall — vor allem wenn besondere Kategorien (Frage zwei) im Spiel sind oder bei automatisierten Entscheidungen mit rechtlicher Wirkung.
Pragmatisch: spätestens bei der dritten KI-Anwendung im Haus lohnt eine eigene DSFA-Vorlage. Die Aufsichtsbehörde NRW (LDI NRW), die Hamburger Aufsichtsbehörde und die Bayerische LDA haben jeweils eigene DSFA-Muster veröffentlicht — gute Startpunkte. Im Zweifel: DSB einbinden, nicht selbst spekulieren.
Was die Ampel-Empfehlung am Ende des Schnellchecks bedeutet
Der DSGVO-Schnellcheck bewertet die acht Antworten und gibt eine Ampel mit konkreten Schritten aus.
Rot — so nicht produktiv schalten. Mindestens ein blockierender Punkt ist offen. Typische Treiber: kein AVV bei Personenbezug, US-Datenraum ohne Standardvertragsklauseln, Trainingsnutzung nicht ausgeschlossen, besondere Kategorien ohne zusätzliche Schutzmaßnahmen.
Gelb — mit Auflagen produktiv. Die Grundlagen passen, einige Punkte sind nachzuziehen. Typische Treiber: Zweck nicht dokumentiert, Transparenz fehlt, DSFA nicht geprüft. Lösbar in zwei bis drei Wochen mit dem DSB.
Grün — DSGVO-Profil tragfähig. Die Eckpfeiler sind gesetzt. Trotzdem: jährlicher Re-Check, bei Anbieterwechsel sofort neu bewerten, Vorfälle dokumentieren.
Wo der Schnellcheck endet — und der DSB anfängt
Der Schnellcheck ist eine Strukturhilfe, kein Ersatz für eine vollständige datenschutzrechtliche Bewertung. Er beantwortet acht Fragen — eine vollständige Beurteilung umfasst je nach Use-Case zwanzig bis dreißig.
Drei Punkte, die der Schnellcheck bewusst nicht beantwortet:
Erstens — Mitbestimmung des Betriebsrats. In Häusern mit Betriebsrat ist die Einführung von KI fast immer mitbestimmungspflichtig (§ 87 Abs. 1 Nr. 6 BetrVG bei Leistungs- und Verhaltenskontrolle, § 90 BetrVG bei Arbeitsabläufen). Das ist eine eigene Verhandlung, die Zeit braucht — Betriebsvereinbarung als typisches Format.
Zweitens — branchenspezifische Pflichten. Im sozialen Wohnungsbau, in kirchlichen Häusern, bei besonders schutzbedürftigen Mieter:innen können zusätzliche Pflichten greifen. Steuerberater, Anwalts-AGB, ärztliche Schweigepflicht — alles eigene Themen.
Drittens — internationale Kontexte. Wer auch außerhalb der EU tätig ist (etwa in der Schweiz, in Großbritannien, in den USA), hat zusätzliche Datenschutz-Regime zu prüfen. Schweizer DSG, UK GDPR, kalifornisches CCPA — jeweils eigene Anforderungen.
Was die Community konkret hilft
Drei Sektionen in der Reihenfolge der praktischen Wirksamkeit:
Der DSGVO-Schnellcheck ist der Einstieg. Acht Fragen, fünf Minuten, eine Empfehlung mit konkreten Folgeschritten.
Der AVV-Vorprüfungsbogen (in der Vorlagen-Bibliothek) ist die Brücke zur konkreten Anbieter-Verhandlung. Acht Punkte, die ihr vor dem AVV-Abschluss klar haben solltet.
Der KI-Charta-Generator ist das schriftliche Dokument, das eure Datenschutz- und KI-Strategie festhält. Neun Eingabefelder, Markdown-Vorschau live, Download als .md — perfekt für die Diskussion mit DSB, Geschäftsführung und Betriebsrat.
DSGVO ist im Mittelstand 2026 kein Bremsklotz, sondern ein Strukturhilfe-Werkzeug. Wer die acht Fragen einmal sauber durchgegangen ist und mit einem DSB sprechen kann, der den eigenen Häuserzustand kennt, hat die Schwelle ins KI-Zeitalter ohne dramatischen Aufwand passiert. Was bleibt, ist die laufende Disziplin — und die ist eine Gewohnheits-, keine Tool-Frage.