Home Blog Deutsch
KI RisikoDSGVO BußgeldCompliance KostenDatenschutz

Die wirklichen Kosten, wenn Sie bei KI nichts tun

DSGVO-Bußgelder, Strafbarkeit nach §203 StGB, EU AI Act Sanktionen. Was Untätigkeit bei KI-Compliance tatsächlich kostet.

Die wirklichen Kosten, wenn Sie bei KI nichts tun

Die meisten Unternehmen, mit denen ich spreche, denken zuerst an die Kosten von Compliance. Was kostet ein Audit? Was kostet die Konfiguration? Was kostet die Schulung? Verständliche Fragen. Aber sie stellen die falsche Rechnung auf.

Die richtige Frage lautet: Was kostet es, wenn Sie nichts tun?

Ich erlebe das regelmäßig. Geschäftsführer und Kanzleiinhaber, die KI-Compliance auf „irgendwann” schieben. Nicht aus Ignoranz, sondern weil andere Dinge dringender erscheinen. Mandantenakquise. Tagesgeschäft. Personal. KI-Compliance landet auf der Liste, aber nie ganz oben.

Und dann passiert etwas. Ein Mitarbeiter gibt Mandantendaten in ChatGPT ein. Oder die Aufsichtsbehörde kündigt eine Branchenprüfung an. Oder ein Mandant fragt, wie die Kanzlei mit seinen Daten umgeht, wenn KI-Tools im Einsatz sind. Plötzlich ist „irgendwann” heute.

Die DSGVO-Seite: Art. 83

Die Bußgeldrahmen stehen im Gesetz. Art. 83 Abs. 5 DSGVO erlaubt Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Das betrifft schwerwiegende Verstöße, also Grundsätze der Verarbeitung, Betroffenenrechte, Drittlandübermittlungen.

Für eine fehlende Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 liegt der Rahmen bei bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes. Und eine DSFA ist für KI-Tools, die personenbezogene Daten verarbeiten, praktisch immer erforderlich.

Das sind Maximalbeträge. Aber reale Bußgelder werden verhängt. Die italienische Datenschutzbehörde Garante hat OpenAI mit 15 Millionen Euro bestraft. Die spanische AEPD hat CaixaBank ein Bußgeld von 6 Millionen Euro auferlegt, weil Profiling ohne ordnungsgemäße Folgenabschätzung durchgeführt wurde.

Für eine Kanzlei mit fünf oder fünfzehn Mitarbeitern sind 20 Millionen theoretisch. Aber 50.000 oder 100.000 Euro sind es nicht. Und die Aufsichtsbehörden haben KI-Verarbeitung als Prüfungsschwerpunkt angekündigt. Die DSK, der BfDI und die Landesbeauftragten schauen hin.

Shadow AI als Datenschutzvorfall

IBMs Cost of a Data Breach Report 2024 beziffert die durchschnittlichen Kosten eines Datenschutzvorfalls auf 4,88 Millionen US-Dollar weltweit. Für Deutschland liegen die Werte ähnlich hoch.

Jetzt stellen Sie sich Folgendes vor: Ein Mitarbeiter kopiert Mandantendaten in die kostenlose Version von ChatGPT. Vertragsentwürfe, Finanzdaten, Namen und Adressen. Die kostenlose Version verwendet Eingaben standardmäßig fürs Training. Diese Daten sind dann Teil des Trainingsdatensatzes. Ohne Auftragsverarbeitungsvertrag, ohne Rechtsgrundlage, ohne Ihre Kontrolle.

Das ist ein Datenschutzvorfall. Und er löst Pflichten aus. Art. 33 DSGVO verlangt die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. Art. 34 kann eine Benachrichtigung der betroffenen Personen erfordern. Das sind Ihre Mandanten.

Die Folgen gehen über das Bußgeld hinaus. Reputationsschaden bei Mandanten, die erfahren, dass ihre Daten in einem US-amerikanischen KI-Modell gelandet sind. Potenzielle Haftungsansprüche. Und der Aufwand für die Schadensbegrenzung: forensische Analyse, Meldeverfahren, Anwaltskosten, Krisenreaktion.

Ich habe ausführlich darüber geschrieben, warum Shadow AI in Unternehmen das größte unkontrollierte Risiko ist. Die Kurzversion: Wenn Sie nicht wissen, was Ihre Mitarbeiter nutzen, können Sie es nicht absichern.

Die strafrechtliche Dimension: § 203 StGB

Für Berufsgeheimnisträger kommt noch eine Ebene dazu, die über Bußgelder hinausgeht. § 203 StGB schützt Berufsgeheimnisse. Anwälte, Steuerberater, Wirtschaftsprüfer, Ärzte. Wer unbefugt Geheimnisse offenbart, die ihm in seiner beruflichen Eigenschaft anvertraut wurden, macht sich strafbar.

Die Strafe: bis zu einem Jahr Freiheitsstrafe oder Geldstrafe.

Wenn ein Mitarbeiter Ihrer Kanzlei Mandantendaten in ein KI-Tool eingibt, das keinen ordnungsgemäßen Auftragsverarbeitungsvertrag hat und Daten außerhalb der EU verarbeitet, ist das eine Offenbarung im Sinne des § 203. Ob der Mitarbeiter das wusste oder nicht, spielt für die Verantwortung der Kanzleileitung eine untergeordnete Rolle. Die Pflicht zur organisatorischen Absicherung liegt bei Ihnen.

Im schlimmsten Fall steht nicht nur ein Bußgeld im Raum. Sondern die berufliche Zulassung.

EU AI Act: Sanktionen ab August 2026

Der EU AI Act bringt ein eigenes Sanktionsregime. Art. 99 erlaubt Geldbußen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für die schwersten Verstöße.

Die KI-Kompetenzpflicht nach Art. 4 gilt bereits seit dem 2. Februar 2025. Die nationale Durchsetzung beginnt ab dem 2. August 2026. Konkrete Bußgeldrahmen für die Kompetenzpflicht allein sind noch nicht festgelegt. Aber das Gesetz gibt den nationalen Aufsichtsbehörden den Spielraum.

Und je nachdem, wie Ihre Kanzlei KI einsetzt, könnten bestimmte Anwendungen unter die Hochrisiko-Klassifizierung fallen. Rechtliche Beratung, Bonitätsanalysen, Personalentscheidungen mit KI-Unterstützung. Das löst zusätzliche Pflichten aus: Risikomanagementsystem, Datenverwaltung, technische Dokumentation, Transparenzpflichten. Wer diese Anforderungen nicht erfüllt, steht ab August 2026 im Durchsetzungsbereich.

Die Gegenrechnung: Was Compliance kostet

Jetzt die andere Seite. Ein Copilot Compliance Audit, also die systematische Prüfung Ihrer KI-Nutzung auf DSGVO- und EU-AI-Act-Konformität, kostet einen Bruchteil eines einzelnen Bußgeldes.

Ich rede von einer Investition, die in Tagen abgeschlossen ist. Nicht in Monaten. DSFA erstellen, Berechtigungen prüfen, Sensitivity Labels konfigurieren, Nutzungsrichtlinie dokumentieren, Mitarbeiterschulung durchführen. Das ist überschaubar.

Vergleichen Sie das mit einem einzigen Datenschutzvorfall. 72 Stunden Meldepflicht. Anwaltliche Beratung. Forensische Analyse. Mandantenbenachrichtigung. Reputationsmanagement. Möglicherweise aufsichtsbehördliches Verfahren. Möglicherweise Bußgeld.

Die Rechnung ist nicht knapp. Die Kosten der Untätigkeit sind um Größenordnungen höher als die Kosten der Vorbereitung.

Und das rechnet den Produktivitätsgewinn noch nicht ein. Unternehmen, die KI richtig einführen, also mit Compliance-Architektur, genehmigten Tools und geschulten Mitarbeitern, profitieren von KI. Sicher, kontrolliert, und ohne das Damoklesschwert eines Vorfalls.

Was das für Sie bedeutet

Wenn Sie gerade KI-Tools im Einsatz haben, ohne DSFA, ohne Nutzungsrichtlinie, ohne Kompetenznachweis: Sie bewegen sich in einem Bereich, in dem sich Risiken aufbauen. Nicht theoretisch. Die Aufsichtsbehörden haben angekündigt, dass KI-Verarbeitung ein Prüfungsschwerpunkt wird. Die Fristen laufen.

Wenn Sie noch keine KI-Tools im Einsatz haben, aber Mitarbeiter, die privat ChatGPT nutzen: Sie haben wahrscheinlich bereits Shadow AI im Unternehmen. Und damit genau die Risiken, die ich oben beschrieben habe. Nur ohne es zu wissen.

In beiden Fällen ist die Antwort dieselbe: Bestandsaufnahme, Bewertung, Absicherung. Das ist kein Großprojekt. Das ist ein strukturierter Prozess, der in wenigen Tagen die größten Lücken schließt.

Ich biete eine kostenlose 30-Minuten-Einschätzung an. Kein Verkaufsgespräch, kein Pitch. Sondern eine ehrliche Bewertung, wo Sie stehen und was als Nächstes sinnvoll wäre.

Termin buchen: 30 Minuten KI-Compliance-Einschätzung

Jose Lugo ist CISSP-zertifizierter KI-Compliance-Berater mit Sitz in Deutschland. Er unterstützt Steuerberater, Kanzleien und Finanzberater bei der DSGVO-konformen Einführung von KI-Tools. Mehr unter joselugo.de und unter Leistungen.