DSGVO und KI im Vertrieb: Was du wissen musst

KI im Vertrieb verspricht Effizienz, bessere Leads und mehr Abschlüsse. Aber sobald du in Europa arbeitest, steht ein Akronym im Raum, das vielen Unternehmen Kopfschmerzen bereitet: DSGVO. Was darfst du? Was nicht? Und wie setzt du KI-Tools ein, ohne rechtlich ins Stolpern zu geraten?

Die Grundlagen: Was die DSGVO für Sales-KI bedeutet

Die Datenschutz-Grundverordnung regelt den Umgang mit personenbezogenen Daten in der EU. Für den Vertrieb heißt das konkret: Jedes Mal, wenn du mit KI Kundendaten verarbeitest, greift die DSGVO. Und „personenbezogene Daten“ sind mehr als nur Name und E-Mail — dazu gehören auch IP-Adressen, Verhaltensdaten, Firmenzugehörigkeit in Kombination mit Kontaktdaten und sogar Lead Scores.

Die sechs wichtigsten Prinzipien für den Vertrieb:

• Rechtmäßigkeit: Du brauchst eine Rechtsgrundlage für jede Datenverarbeitung (Einwilligung, Vertrag oder berechtigtes Interesse).
• Zweckbindung: Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden.
• Datenminimierung: Nur die Daten erheben, die wirklich nötig sind.
• Speicherbegrenzung: Daten löschen, wenn sie nicht mehr benötigt werden.
• Transparenz: Betroffene müssen wissen, was mit ihren Daten passiert.
• Sicherheit: Angemessene technische Maßnahmen zum Schutz der Daten.

Wo es heikel wird: Typische Fallstricke

1. Datenanreicherung aus externen Quellen

Viele Sales-Tools reichern Lead-Daten automatisch an — Firmendaten von Handelsregistern, LinkedIn-Profile, Technologie-Informationen. Das ist grundsätzlich zulässig, solange die Quellen öffentlich zugänglich sind und du ein berechtigtes Interesse nachweisen kannst (Art. 6 Abs. 1 lit. f DSGVO). Aber: Du musst den Lead darüber informieren, dass du seine Daten verarbeitest — und zwar innerhalb eines angemessenen Zeitraums.

Praxis-Tipp: Füge einen Datenschutzhinweis in deine erste Kontakt-E-Mail ein. So erfüllst du die Informationspflicht und wirkst gleichzeitig professionell.

2. KI-Training mit Kundendaten

Hier wird es kritisch: Wenn dein KI-Tool Kundendaten nutzt, um sein Modell zu verbessern, kann das eine Zweckänderung darstellen. Die Daten wurden für den Vertrieb erhoben, nicht für das Training von KI-Modellen. Achte darauf, dass dein KI-Anbieter einen Auftragsverarbeitungsvertrag (AVV) anbietet und klar regelt, ob und wie Daten für Training verwendet werden.

Wichtig: OpenAI’s API (wie von DealAI genutzt) verwendet Kundendaten standardmäßig nicht zum Training von Modellen, wenn ein DPA abgeschlossen wurde. Das ist ein entscheidender Unterschied zu Consumer-Produkten wie ChatGPT.

3. Automatisierte Entscheidungsfindung

Lead Scoring, automatische Qualifizierung, Deal-Priorisierung — all das fällt potenziell unter Art. 22 DSGVO, der das Recht einräumt, nicht einer rein automatisierten Entscheidung unterworfen zu werden. In der Praxis ist das für B2B-Vertrieb meist unproblematisch, solange ein Mensch die finale Entscheidung trifft. Die KI empfiehlt, der Vertriebler entscheidet — das ist der sichere Weg.

4. Datenübermittlung in Drittländer

Das große Thema seit Schrems II: Wenn dein KI-Tool Daten in die USA übermittelt, brauchst du eine geeignete Garantie. Das EU-US Data Privacy Framework bietet seit 2023 wieder eine Grundlage, ist aber politisch fragil. Die sicherste Lösung: Wähle einen Anbieter, der Daten in der EU verarbeitet.

Die Checkliste: DSGVO-konformer KI-Einsatz im Vertrieb

• Auftragsverarbeitungsvertrag (AVV): Mit jedem KI-Anbieter abschließen. Ohne AVV ist die Datenverarbeitung rechtswidrig.
• Verarbeitungsverzeichnis: Dokumentiere, welche KI-Tools du einsetzt und welche Daten sie verarbeiten.
• Datenschutz-Folgenabschätzung (DSFA): Bei umfangreicher Verarbeitung oder Profiling solltest du eine DSFA durchführen.
• Informationspflichten: Informiere Kontakte in deiner Datenschutzerklärung über den Einsatz von KI.
• Betroffenenrechte: Stelle sicher, dass Auskunft, Löschung und Widerspruch technisch möglich sind.
• Löschkonzept: Definiere, wann Lead-Daten gelöscht werden (z.B. 12 Monate nach letztem Kontakt ohne Deal).
• EU-Hosting: Bevorzuge Anbieter mit Serverstandort in der EU.

Was kommt: Der EU AI Act

Ab 2026 gelten zusätzlich die Regeln des EU AI Acts. Für Sales-KI gilt: Die meisten Vertriebstools fallen in die Kategorie „minimales Risiko“ und unterliegen damit keinen besonderen Auflagen. Aber: Transparenzpflichten gelten trotzdem — dein Gegenüber muss wissen, wenn es mit einer KI interagiert.

Fazit: DSGVO ist kein Hindernis, sondern ein Qualitätsmerkmal

Unternehmen, die DSGVO-konform arbeiten, haben einen Wettbewerbsvorteil. Gerade im DACH-Raum ist Datenschutz ein Entscheidungskriterium bei der Tool-Auswahl. Wenn du deinen Kunden sagen kannst: „Unsere KI ist DSGVO-konform, Daten bleiben in der EU, wir haben einen AVV“ — dann ist das kein Bürokratie-Problem, sondern ein Sales-Argument.