Warum DSGVO-Konformität bei KI kein optionales Feature ist
Ein Mitarbeiter gibt Kundendaten in ChatGPT ein, um eine E-Mail-Antwort zu formulieren. Ein Vertriebsteam nutzt ein KI-Tool, um Leads zu qualifizieren. Die Rechtsabteilung lässt Verträge von einer KI analysieren. Drei alltägliche Szenarien — und drei potenzielle DSGVO-Verstöße, wenn die falsche Plattform im Einsatz ist.
Seit die DSGVO 2018 in Kraft trat, ist die Verarbeitung personenbezogener Daten streng reguliert. Der EU AI Act ergänzt seit 2025 KI-spezifische Anforderungen: Transparenzpflichten für Chatbots, Kennzeichnungspflichten für KI-generierte Inhalte und — ab August 2026 — umfassende Pflichten für Hochrisiko-Systeme. Unternehmen, die KI einsetzen, müssen beide Regelwerke gleichzeitig erfüllen.
Das ist keine theoretische Compliance-Übung. Die österreichische Datenschutzbehörde und ihre europäischen Pendants verhängen zunehmend Bußgelder für unkontrollierte KI-Nutzung. Und jenseits der Strafen: Kunden und Geschäftspartner fragen immer häufiger nach, wie Sie mit deren Daten in KI-Systemen umgehen.
Die fünf Anforderungen an DSGVO-konforme KI
1. Auftragsverarbeitungsvertrag (AVV)
Jeder KI-Anbieter, der personenbezogene Daten in Ihrem Auftrag verarbeitet, benötigt einen AVV nach Art. 28 DSGVO. Ohne AVV ist der Einsatz schlicht rechtswidrig — unabhängig davon, wie gut das Tool funktioniert. Business-Tarife von OpenAI, Anthropic und Google bieten standardmäßig ein DPA (Data Processing Agreement). Kostenlose Tarife tun das in der Regel nicht.
2. EU-Datenresidenz
Wo werden Ihre Eingaben verarbeitet und gespeichert? Nach dem Schrems-II-Urteil ist der Transfer personenbezogener Daten in die USA nur unter zusätzlichen Schutzmaßnahmen zulässig. Plattformen mit Rechenzentren in Deutschland, den Niederlanden oder Österreich bieten die sicherste Grundlage. Azure OpenAI (Frankfurt), AWS Bedrock (Frankfurt) und Aleph Alpha (Heidelberg) ermöglichen nachweisbare EU-Datenresidenz.
3. Kein Training auf Unternehmensdaten
Ein häufig übersehener Punkt: Nutzt der Anbieter Ihre Eingaben, um seine Modelle zu verbessern? Bei kostenlosen KI-Tools ist das in vielen Fällen der Standard. Enterprise-Tarife schließen dies vertraglich aus — prüfen Sie die konkreten Nutzungsbedingungen, nicht die Marketing-Versprechen.
4. Zugriffskontrollen und Audit-Fähigkeit
DSGVO-konforme KI-Nutzung erfordert nachvollziehbare Zugriffe: Wer hat wann welche Daten in welches KI-System eingegeben? Enterprise-Plattformen bieten Admin-Konsolen, Rollenmanagement und Audit-Logs. Ohne diese Funktionen ist eine datenschutzkonforme Nutzung im Team kaum dokumentierbar.
5. Datenschutz-Folgenabschätzung (DSFA)
Bei Hochrisiko-Verarbeitungen — automatisierte Entscheidungen über Personen, systematisches Profiling, Verarbeitung besonderer Datenkategorien — verlangt Art. 35 DSGVO eine DSFA. Selbst wenn keine Pflicht besteht, ist eine dokumentierte Risikoabwägung für jeden KI-Einsatz empfehlenswert und schützt im Fall einer Prüfung.
Praxis-Tipp: Erstellen Sie eine interne KI-Richtlinie, die festlegt, welche Daten in welche KI-Tools eingegeben werden dürfen. Unterscheiden Sie klar zwischen öffentlich zugänglichen Informationen, internen Geschäftsdaten und personenbezogenen Daten — für jede Kategorie gelten andere Regeln.
Enterprise-Plattformen im Vergleich
Nicht jede Plattform, die sich „DSGVO-konform" nennt, erfüllt alle fünf Anforderungen gleich gut. Die folgende Übersicht zeigt die wichtigsten Unterschiede:
| Plattform | EU-Datenresidenz | AVV | Kein Training | Audit-Logs | Zertifizierung |
|---|---|---|---|---|---|
| Azure OpenAI | Frankfurt, Amsterdam | Ja (DPA) | Ja | Ja | ISO 27001, SOC 2 |
| Aleph Alpha (PhariaAI) | Heidelberg | Ja | Ja | Ja | BSI C5, ISO 27001 |
| AWS Bedrock | Frankfurt | Ja (DPA) | Ja | Ja | ISO 27001, SOC 2 |
| ChatGPT Enterprise | USA (Standard) | Ja (DPA) | Ja | Ja | SOC 2 |
| Claude Team/Business | USA (Standard) | Ja (DPA) | Ja (API) | Eingeschränkt | SOC 2 |
| Mistral AI (Le Plateforme) | Paris | Ja | Ja | Ja | SOC 2 |
| Google Gemini Enterprise | EU-Regionen verfügbar | Ja (DPA) | Ja | Ja | ISO 27001, SOC 2 |
Auffällig: Die US-Anbieter OpenAI (ChatGPT) und Anthropic (Claude) bieten zwar AVVs, speichern Daten aber standardmäßig in den USA. Für Unternehmen mit strengen Datenschutzanforderungen ist das ein K.O.-Kriterium — oder erfordert den Umweg über Azure OpenAI bzw. AWS Bedrock als EU-gehostete Zwischenschicht.
Europäische Alternativen zu US-Anbietern
Wer nicht von US-Infrastruktur abhängig sein möchte, hat 2026 erstmals ernstzunehmende europäische Optionen:
Aleph Alpha — PhariaAI
Das Heidelberger Unternehmen hat sich von einem reinen Modell-Anbieter zu einer Enterprise-KI-Plattform entwickelt. PhariaAI integriert eigene und fremde Modelle unter einer einheitlichen Governance-Schicht mit Transparenz- und Sicherheitskontrollen. Kunden sind unter anderem deutsche Bundesbehörden und DAX-Konzerne. Die BSI-C5-Zertifizierung ist im europäischen KI-Markt einzigartig und für den öffentlichen Sektor oft Pflicht.
Mistral AI
Der französische Anbieter liefert mit Mistral Large 3 eines der leistungsstärksten europäischen Sprachmodelle. Besonders interessant: Alle Modelle sind unter Apache-2.0-Lizenz verfügbar und können vollständig selbst gehostet werden — auf eigener Infrastruktur in Österreich oder Deutschland. Für Unternehmen, die maximale Kontrolle über ihre Daten brauchen, ist Self-Hosting die sicherste Option.
Selbst gehostete Open-Source-Modelle
Llama 3.3, Mistral und Gemma laufen über Tools wie LM Studio oder Ollama vollständig lokal — ohne Internetverbindung, ohne Datenübertragung an Dritte. Für Unternehmen mit besonders sensiblen Daten (Patentanmeldungen, Personalakten, M&A-Dokumentation) ist das die einzige Option, die jedes Datenschutzrisiko eliminiert. Der Nachteil: geringere Modellqualität als die großen Cloud-Modelle und eigener IT-Betrieb für Infrastruktur und Updates.
Checkliste für die KI-Plattformauswahl
Bevor Sie eine KI-Plattform einführen, prüfen Sie diese zehn Punkte — sie decken DSGVO und EU AI Act gleichzeitig ab:
- AVV vorhanden? — Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verfügbar und unterzeichnet
- Datenspeicherort dokumentiert? — In welchem Land werden Eingaben verarbeitet und gespeichert?
- EU-Datenresidenz verfügbar? — Rechenzentren in der EU, nicht nur EU-kompatible Vertragsklauseln
- Kein Training auf Ihre Daten? — Vertraglich ausgeschlossen, nicht nur in den FAQ behauptet
- Zugriffskontrollen? — Rollenbasierter Zugang, Admin-Konsole, Nutzerverwaltung
- Audit-Logging? — Nachvollziehbar, wer wann was eingegeben hat
- Zertifizierungen? — ISO 27001 und SOC 2 Type II als Mindeststandard, BSI C5 für den öffentlichen Sektor
- Transparenzpflicht erfüllt? — KI-generierte Inhalte sind als solche kennzeichenbar (EU AI Act Art. 50)
- DSFA durchgeführt? — Risikoabwägung dokumentiert, insbesondere bei personenbezogenen Daten
- Interne KI-Richtlinie? — Mitarbeiter wissen, welche Daten in welche Tools dürfen
Empfehlung für KMUs im DACH-Raum: Starten Sie mit Azure OpenAI (EU-Region) oder Mistral AI (Self-Hosted), wenn Sie OpenAI-Niveau brauchen und gleichzeitig EU-Datenresidenz benötigen. Für den öffentlichen Sektor oder besonders regulierte Branchen ist Aleph Alpha mit BSI-C5-Zertifizierung die sicherste Wahl. Und falls Budget ein Thema ist: Ein selbst gehostetes Mistral- oder Llama-Modell auf einem dedizierten Server kostet ab ca. 100 Euro pro Monat — ohne laufende API-Kosten.
Fazit
DSGVO-konforme KI-Nutzung ist 2026 kein Widerspruch mehr — aber sie erfordert bewusste Plattformentscheidungen. Die Zeiten, in denen Mitarbeiter unkontrolliert Consumer-KI-Tools für Geschäftsdaten nutzten, sind vorbei. Wer die Plattformauswahl sorgfältig trifft, interne Richtlinien etabliert und die Dokumentationspflichten ernst nimmt, kann KI produktiv und rechtskonform einsetzen.
Der erste Schritt ist keine technische Entscheidung, sondern eine organisatorische: Verstehen Sie, welche Daten in Ihrem Unternehmen in KI-Systeme fließen — und ob die aktuell genutzten Tools dafür geeignet sind. In den meisten Fällen, die ich in der Praxis sehe, ist das die überraschendste Erkenntnis: Es wird bereits KI genutzt, nur ohne Freigabe und ohne passende Plattform. Eine professionelle KI-Integration beginnt deshalb mit einer Bestandsaufnahme — und erst dann mit der Plattformauswahl. Mehr dazu in unserer DSGVO-Website-Checkliste.