Kein Thema erzeugt in Gesprächen über KI mehr Zögern als Datenschutz und Regulierung. Die DSGVO gilt seit 2018, der EU AI Act ist seit 2024 in Kraft. Beide werden häufig als Argument gegen KI-Projekte ins Feld geführt – von Juristen, von IT-Verantwortlichen, manchmal von Geschäftsführern selbst.

Manche dieser Bedenken sind berechtigt. Viele sind es nicht. Hier ist eine nüchterne Einordnung.

Was die DSGVO mit KI zu tun hat

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Für eine Spedition bedeutet das: Kundennamen, Adressen, Kontaktdaten – all das sind personenbezogene Daten, die verarbeitet werden wenn ein KI-Agent einen Auftrag liest.

Das ist per se kein Problem. Die DSGVO verbietet nicht die Verarbeitung personenbezogener Daten – sie stellt Anforderungen an wie diese Verarbeitung stattfindet. Die relevanten Fragen sind:

Wo werden die Daten verarbeitet? Wenn ein KI-Agent auf einem Server in Ihrem Rechenzentrum läuft, verlassen die Daten Ihr Netzwerk nicht. Es gibt keine Übermittlung an Dritte, keinen Cloud-Anbieter, keine offene Frage zu Drittstaatentransfers. Die DSGVO-Anforderungen sind damit strukturell erfüllt – nicht durch Vertragswerk, sondern durch Architektur.

Wer hat Zugriff? Bei On-Premise-Betrieb: Sie und Ihr Team. Kein SaaS-Anbieter, kein Hersteller, kein Dritter. Das ist die einfachste Antwort auf eine komplexe Frage.

Wie lange werden die Daten gespeichert? Das definieren Sie. Nicht der Anbieter.

Die eigentliche Compliance-Frage ist nicht „Dürfen wir KI einsetzen?" – sondern „Wie setzen wir KI so ein, dass wir souverän über unsere Daten bleiben?"

Was der EU AI Act bedeutet

Der AI Act klassifiziert KI-Systeme nach Risikostufen. Hochrisiko-Systeme unterliegen strengen Anforderungen: Transparenz, Protokollierung, menschliche Aufsicht, technische Dokumentation.

Fällt ein KI-Agent für Auftragsverarbeitung unter Hochrisiko? In den meisten Fällen nein. Der AI Act definiert Hochrisiko-Systeme vor allem in Bereichen wie kritische Infrastruktur, Bildung, Personalentscheidungen, Kreditvergabe oder Strafverfolgung. Ein Agent, der E-Mails liest und Daten ins TMS überträgt, erfüllt diese Kriterien nicht.

Was der AI Act aber von allen KI-Systemen verlangt – auch Niedrigrisiko-Systemen – ist grundlegende Transparenz: Nutzer sollten wissen, dass sie mit einem KI-System interagieren. Und Entscheidungen, die Menschen betreffen, sollten nachvollziehbar sein.

Das ist kein bürokratischer Zusatzaufwand. Ein gut implementierter KI-Agent protokolliert seine Entscheidungen ohnehin – das ist auch im eigenen Interesse für Fehleranalyse und Qualitätssicherung.

Der praktische Unterschied: Cloud vs. On-Premise

Hier wird der Unterschied zwischen theoretischer Compliance und echter Datensouveränität deutlich.

Ein Cloud-basierter KI-Dienst – egal ob von einem US-amerikanischen oder europäischen Anbieter – verarbeitet Ihre Daten auf Servern, die Sie nicht kontrollieren. Sie können Verträge schließen, Auftragsverarbeitungsvereinbarungen unterzeichnen, Standardvertragsklauseln einbinden. Das ist alles möglich und legal.

Aber es löst das grundlegende Problem nicht: Ihre Auftragsdaten, Kundendaten und Geschäftsinformationen verlassen Ihr Netzwerk. Bei jeder Anfrage. Täglich. Das ist ein Risiko – regulatorisch, aber auch strategisch.

Bei On-Premise-Betrieb stellt sich diese Frage nicht. Die Daten bleiben, wo sie hingehören. Compliance ergibt sich als Konsequenz der Architektur.

Was Sie konkret tun sollten

Beauftragen Sie Ihren Datenschutzbeauftragten früh – nicht um das Projekt zu verhindern, sondern um es sauber aufzusetzen. Die relevanten Dokumente (Verarbeitungsverzeichnis, technisch-organisatorische Maßnahmen) sind bei On-Premise-Implementierungen überschaubar und schnell erstellt.

Stellen Sie sicher, dass der Anbieter Ihnen erklärt – nicht verspricht – wie die Datenverarbeitung stattfindet. Wo laufen die Modelle? Wer hat Zugriff auf die Logs? Wie werden Fehler protokolliert?

Und: Planen Sie Human-in-the-Loop von Anfang an ein. Das ist nicht nur eine Compliance-Anforderung des AI Acts – es ist auch betrieblich die richtigere Entscheidung.

Die kurze Zusammenfassung

DSGVO und AI Act sind keine Hindernisse für KI in der Spedition. Sie sind Rahmenbedingungen, die bei sorgfältiger Implementierung kein Problem darstellen – und bei On-Premise-Betrieb strukturell erfüllt werden.

Die eigentliche Compliance-Frage ist nicht „Dürfen wir KI einsetzen?" – sondern „Wie setzen wir KI so ein, dass wir souverän über unsere Daten bleiben?"