Am 11. Juni 2026 waren Sarah Bamberger, LL.M., Syndikusrechtsanwältin, und Luis Knarr, Consultant bei Projekt 29, beim Online-Webinar „AI in Office & Administration“ von Artificial Intelligence Regensburg als Referenten vertreten. Ihr Vortrag zeigte, wie Unternehmen generative KI produktiv und datenschutzkonform in den Arbeitsalltag integrieren können.

In vielen Unternehmen bremst nicht die Technologie selbst den KI-Einsatz, sondern die Unsicherheit im Umgang mit dem Datenschutz. Sarah Bamberger machte deutlich, dass diese Unsicherheit häufig zu zwei typischen Fehlentwicklungen führt: Entweder wird KI aus Vorsicht gar nicht genutzt und man verliert gegenüber dem Wettbewerb an Boden. Oder Mitarbeitende greifen auf eigene Faust auf kostenlose Tools zurück, ohne IT-Wissen und ohne vertragliche Absicherung. Firmen- und Personendaten landen so in Gratis-Diensten, die häufig mit den eingegebenen Daten trainieren. Beides ist vermeidbar

Luis Knarr zeigte anhand konkreter Büroanwendungen, wo generative KI bereits heute spürbar entlastet: beim Formulieren und Optimieren von E-Mails, beim Zusammenfassen langer Dokumente, beim Übersetzen von Geschäftskorrespondenz und beim Erstellen von Protokollen aus Stichpunkten oder Transkripten. Gemeinsamer Nenner dieser Anwendungsfälle: hoher Zeitaufwand im Arbeitsalltag und, im richtigen Setup, ein überschaubares Datenschutzrisiko.

Ein zentrales Element des Vortrags war die Ampel-Logik, die Sarah Bamberger vorstellte, um Unternehmen eine strukturierte Einordnung ihrer KI-Anwendungsfälle zu ermöglichen. Grüne Anwendungen, etwa Brainstormings, Formulierungshilfen oder die Arbeit mit anonymisierten Texten, sind unkritisch, weil keine personenbezogenen oder vertraulichen Geschäftsdaten im Spiel sind. Gelbe Anwendungen wie das Zusammenfassen interner Dokumente oder das Entwerfen von Kundenkorrespondenz sind zulässig, erfordern aber ein abgesichertes Tool und einen abgeschlossenen Auftragsverarbeitungsvertrag. Rote Anwendungen, darunter besonders sensible Datenkategorien nach Art. 9 DSGVO, Geschäftsgeheimnisse oder automatisierte Entscheidungen über Personen, bleiben tabu oder verlangen besondere Vorsicht.

Ein oft unterschätzter Punkt, den Luis Knarr hervorhob: Dasselbe KI-Modell kann, je nach Lizenzmodell, völlig unterschiedliche datenschutzrechtliche Voraussetzungen mitbringen. Private Versionen von ChatGPT oder Claude bieten in der Regel keine ausreichende vertragliche Absicherung und trainieren standardmäßig mit den Eingaben der Nutzenden. Unternehmenslösungen hingegen schließen das Training mit Unternehmensdaten vertraglich aus und ermöglichen eigene Mandanten mit IT-Kontrolle. Zusätzlich kann Pseudonymisierung, das Ersetzen von Klarnamen vor der Eingabe, das Risiko auch bei weniger abgesicherten Tools erheblich reduzieren.

Sarah Bamberger gab abschließend einen kompakten Überblick über die aktuelle Regulatorik: DSGVO, EU AI Act und das neue deutsche KI-MIG greifen ineinander und schaffen gemeinsam den Rechtsrahmen für den KI-Einsatz in Unternehmen. Die Botschaft war dabei eindeutig: Die Rechtslage wird gerade klarer, nicht komplizierter. Erste AI-Act-Pflichten gelten bereits, die KI-Kompetenz-Pflicht nach Art. 4 wurde nicht verschoben.Luis Knarr rundete den Vortrag mit einer praxisnahen Checkliste ab, die Unternehmen als Einstiegshilfe für die sichere KI-Nutzung dient. Seine Faustregel dabei: Je sensibler die Daten, desto näher an Ihr Haus, im Zweifel lokal. Die ganz klare Empfehlung: Wer jetzt handelt, schafft sich einen Vorsprung.

Datenschutz und KI-Nutzung schließen sich nicht aus. Wer klare interne Regeln schafft, Anwendungsfälle strukturiert bewertet und auf geeignete Lizenzmodelle setzt, kann die Potenziale generativer KI im Büroalltag nutzen, ohne Datenschutz, Transparenz und Compliance zu vernachlässigen. Sarah Bamberger und Luis Knarr haben beim AIR-Webinar gezeigt, dass der Weg dahin kürzer ist, als viele Unternehmen vermuten.