Kein Thema erzeugt in Gesprächen über KI mehr Zögern als Datenschutz und Regulierung. Die DSGVO gilt seit 2018, der EU AI Act ist seit 2024 in Kraft. Beide werden häufig als Argument gegen KI-Projekte ins Feld geführt – von Juristen, von IT-Verantwortlichen, manchmal von Geschäftsführern selbst.

Manche dieser Bedenken sind berechtigt. Viele sind es nicht. Hier ist eine nüchterne Einordnung.

Was die DSGVO mit KI zu tun hat

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Für eine Spedition bedeutet das: Kundennamen, Adressen, Kontaktdaten – all das sind personenbezogene Daten, die verarbeitet werden wenn ein KI-Agent einen Auftrag liest.

Das ist per se kein Problem. Die DSGVO verbietet nicht die Verarbeitung personenbezogener Daten – sie stellt Anforderungen an wie diese Verarbeitung stattfindet. Die relevanten Fragen sind:

Wo werden die Daten verarbeitet? Wenn ein KI-Agent auf einem Server in Ihrem eigenen Rechenzentrum läuft – oder bei einem spezialisierten Betreiber in deutschen, ISO 27001-zertifizierten Rechenzentren –, verlassen die Daten keinen kontrollierten Bereich. Es gibt keine Übermittlung an öffentliche Cloud-Dienste, keine offene Frage zu Drittstaatentransfers. Die DSGVO-Anforderungen sind damit strukturell erfüllt – nicht durch nachträgliches Vertragswerk, sondern durch Architektur.

Wer hat Zugriff? Das hängt vom Betriebsmodell ab: Bei On-Premise sind es Sie und Ihr Team. Bei einem seriösen Managed-Service-Betreiber sind die Zugriffsrechte vertraglich definiert und auf das Notwendige beschränkt. In beiden Fällen: kein SaaS-Anbieter mit unbekanntem Datenmodell, kein Drittstaatentransfer.

Wie lange werden die Daten gespeichert? Das definieren Sie – bei On-Premise direkt, bei einem Managed Service vertraglich. Nicht der Betreiber eines öffentlichen Cloud-Dienstes.

Die eigentliche Compliance-Frage ist nicht „Dürfen wir KI einsetzen?" – sondern „Wie setzen wir KI so ein, dass wir souverän über unsere Daten bleiben?"

Was der EU AI Act bedeutet

Der AI Act klassifiziert KI-Systeme nach Risikostufen. Hochrisiko-Systeme unterliegen strengen Anforderungen: Transparenz, Protokollierung, menschliche Aufsicht, technische Dokumentation.

Fällt ein KI-Agent für Auftragsverarbeitung unter Hochrisiko? In den meisten Fällen nein. Der AI Act definiert Hochrisiko-Systeme vor allem in Bereichen wie kritische Infrastruktur, Bildung, Personalentscheidungen, Kreditvergabe oder Strafverfolgung. Ein Agent, der E-Mails liest und Daten ins TMS überträgt, erfüllt diese Kriterien nicht.

Was der AI Act aber von allen KI-Systemen verlangt – auch Niedrigrisiko-Systemen – ist grundlegende Transparenz: Nutzer sollten wissen, dass sie mit einem KI-System interagieren. Und Entscheidungen, die Menschen betreffen, sollten nachvollziehbar sein.

Das ist kein bürokratischer Zusatzaufwand. Ein gut implementierter KI-Agent protokolliert seine Entscheidungen ohnehin – das ist auch im eigenen Interesse für Fehleranalyse und Qualitätssicherung.

Der praktische Unterschied: Öffentliche Cloud vs. kontrollierte Infrastruktur

Hier wird der Unterschied zwischen theoretischer Compliance und echter Datensouveränität deutlich.

Ein öffentlicher Cloud-KI-Dienst – egal ob von einem US-amerikanischen oder europäischen Anbieter – verarbeitet Ihre Daten auf Servern, die Sie nicht kontrollieren. Sie können Verträge schließen, Auftragsverarbeitungsvereinbarungen unterzeichnen, Standardvertragsklauseln einbinden. Das ist alles möglich und legal.

Aber es löst das grundlegende Problem nicht: Ihre Auftragsdaten, Kundendaten und Geschäftsinformationen verlassen Ihren kontrollierten Bereich. Bei jeder Anfrage. Täglich.

Die Alternative sind zwei Betriebsmodelle, die beide Datensouveränität bieten: On-Premise in Ihrem eigenen Rechenzentrum – oder ein spezialisierter Managed Service auf ISO 27001-zertifizierter Infrastruktur in Deutschland. In beiden Fällen bleibt die Datenverarbeitung in einem definierten, vertraglich geregelten Umfeld. Compliance ergibt sich als Konsequenz der Architektur, nicht als nachträgliche Absicherung.

Was Sie konkret tun sollten

Beauftragen Sie Ihren Datenschutzbeauftragten früh – nicht um das Projekt zu verhindern, sondern um es sauber aufzusetzen. Die relevanten Dokumente (Verarbeitungsverzeichnis, technisch-organisatorische Maßnahmen) sind bei kontrollierten Implementierungen – on-premise oder zertifizierter Managed Service – überschaubar und schnell erstellt.

Stellen Sie sicher, dass der Anbieter Ihnen erklärt – nicht verspricht – wie die Datenverarbeitung stattfindet. Wo laufen die Modelle? Wer hat Zugriff auf die Logs? Wie werden Fehler protokolliert?

Und: Planen Sie Human-in-the-Loop von Anfang an ein. Das ist nicht nur eine Compliance-Anforderung des AI Acts – es ist auch betrieblich die richtigere Entscheidung.

Die kurze Zusammenfassung

DSGVO und AI Act sind keine Hindernisse für KI in der Spedition. Sie sind Rahmenbedingungen, die bei sorgfältiger Implementierung kein Problem darstellen – und bei kontrollierter Infrastruktur, ob on-premise oder zertifizierter Managed Service, strukturell erfüllt werden.

Die eigentliche Compliance-Frage ist nicht „Dürfen wir KI einsetzen?" – sondern „Wie setzen wir KI so ein, dass wir souverän über unsere Daten bleiben?"