KI und DSGVO: Worauf deutsche Unternehmen achten sollten

Das Meeting war angespannt. "Wir können KI nicht nutzen – DSGVO verbietet es", sagte die Datenschutzbeauftragte kategorisch. Der CTO widersprach: "Das stimmt nicht. Andere Unternehmen nutzen KI auch." Die Datenschutzbeauftragte wurde deutlich: "Nicht rechtskonform. OpenAI = USA-Server. Cloud Act. Schrems II. Bußgeld-Risiko 20 Millionen Euro. Ich kann das nicht genehmigen."

Der CEO saß zwischen den Stühlen. Einerseits: Sein Unternehmen brauchte KI, um wettbewerbsfähig zu bleiben. Anderseits: Ein DSGVO-Verstoß würde die Firma ruinieren. "Es muss doch eine Lösung geben?", fragte er. Die Datenschutzbeauftragte seufzte. "Theoretisch ja. Praktisch? Zeigen Sie mir eine KI-Lösung, die Server in Deutschland hat, die KI-Modelle in EU hostet, die AVV-Verträge bietet und die keine Datenübermittlung in die USA macht. Dann reden wir."

Der CTO recherchierte 2 Wochen. Er fand drei Optionen: (1) OpenAI direkt über USA (DSGVO-kritisch, aber beste Modelle), (2) Europäische Alternativen wie Mistral AI oder Aleph Alpha (DSGVO-ok, aber schwächere Modelle), oder (3) US-Modelle über EU-Hosting-Partner (Azure OpenAI in Schweden, AWS Bedrock in Frankfurt, Google Vertex AI in Deutschland).

Option 3 war die Antwort. Gleiche Modelle (GPT-4o, Claude, Gemini), gleiche Qualität, gleiche Kosten – aber Server in EU. Er präsentierte es der Datenschutzbeauftragten: "Azure OpenAI. Server in Schweden. EU Data Boundary aktiviert. AVV-Vertrag mit Microsoft. Keine Datenübermittlung in USA. Keine Trainingsnutzung." Sie prüfte die Unterlagen. "Das... das könnte funktionieren. Lass mich eine DSFA machen."

3 Monate später: Das Unternehmen nutzt KI – DSGVO-konform. Die Datenschutzbeauftragte ist zufrieden (alle Anforderungen erfüllt), der CTO ist zufrieden (beste KI-Modelle verfügbar), der CEO ist zufrieden (Wettbewerbsfähigkeit gesichert, kein Bußgeld-Risiko). Und die Lektion: DSGVO und KI passen zusammen – wenn man weiß, wie.

Dieser Artikel zeigt Ihnen die 3 Wege (USA direkt, EU-Hosting, Self-Hosting), die rechtlichen Grundlagen (Art. 28 & 44-49), die 4 kritischen Prüfpunkte, die 15-Punkte-Checkliste, Anbieter-Vergleiche (Azure/AWS/Google) und den EU AI Act (was kommt 2025). Nach dem Lesen wissen Sie: Wie Sie KI nutzen können – rechtssicher, DSGVO-konform, mit den besten Modellen.

Die häufige Annahme: "KI-Nutzung unter DSGVO ist zu kompliziert". Die Praxis zeigt: Mit der richtigen technischen Konfiguration lassen sich viele datenschutzrechtliche Anforderungen adressieren.

Worauf es ankommt:

• Richtige Implementierung und Setup-Konfiguration
• EU-Hosting mit EU Data Boundary (nicht nur "Server in EU"!)
• AVV-Verträge mit Auftragsverarbeitern
• Technische Maßnahmen (Private Endpoints, CMK, Audit Logs)

3 Wege in der Praxis:

1. USA-Server direkt (api.openai.com, anthropic.com)

• Cloud Act & FISA 702 anwendbar
• Schrems II-Problematik
• Für die meisten Unternehmen nicht ratsam

2. EU-Hosting via Cloud-Provider (praktischer Standard)

• Azure OpenAI (Sweden + EU Data Boundary)
• AWS Bedrock (Frankfurt + Private Endpoints)
• Google Vertex AI (Deutschland + VPC)
• Viele Unternehmen nutzen diese Option

3. Self-Hosting (für kritische Anforderungen)

• On-Premise mit Open-Source-Modellen
• Maximale Kontrolle
• Banken, Behörden, Rüstung

Kosten: EU-Hosting hat keinen Preisaufschlag gegenüber USA-Servern

Hinweis: Dieser Artikel gibt technische Hinweise, keine Rechtsberatung. Konsultieren Sie Ihren Datenschutzbeauftragten.

Um DSGVO-konforme KI zu verstehen, müssen wir zwei zentrale Artikel der DSGVO kennen:

Art. 28 DSGVO: Auftragsverarbeitung

Wenn Sie einen KI-Anbieter nutzen, ist dieser in der Regel ein Auftragsverarbeiter (Sie sind der Verantwortliche). Das bedeutet:

1. Sie müssen einen schriftlichen Auftragsverarbeitungsvertrag (AVV) abschließen
2. Der Auftragsverarbeiter darf Daten nur auf Ihre Weisung verarbeiten
3. Sie müssen die technischen und organisatorischen Maßnahmen (TOMs) prüfen
4. Der Auftragsverarbeiter darf Daten nicht für eigene Zwecke nutzen (z.B. Training)

Wichtig: Kein AVV = DSGVO-Verstoß = Bußgeld bis 20 Mio. € oder 4% des Jahresumsatzes

Art. 44-49 DSGVO: Drittlandtransfer

Wenn Daten in Länder außerhalb der EU/EWR übermittelt werden, brauchen Sie:

1. Angemessenheitsbeschluss (z.B. EU-US Data Privacy Framework – aber unsicher nach Schrems II)
2. Geeignete Garantien (z.B. Standardvertragsklauseln)
3. Ausnahmen (z.B. Einwilligung – aber schwierig bei Mitarbeiterdaten)

Das Problem: USA hat kein angemessenes Schutzniveau nach DSGVO (Cloud Act, FISA 702)

Bevor Sie einen KI-Anbieter wählen, prüfen Sie diese vier Fragen:

Frage 1: Wo stehen die Server der Anwendung?

✅ Richtig: EU/EWR (Deutschland, Niederlande, Schweden, Frankreich) ❌ Kritisch: USA, China, andere Drittländer ⚠️ Achtung: "Wir sind DSGVO-konform" ist keine Antwort – fragen Sie explizit nach Serverstandort!

Frage 2: Wo werden die KI-Modelle gehostet?

✅ Richtig: EU-Rechenzentren (Azure EU, AWS Frankfurt, Google Deutschland) ❌ Kritisch: US-Rechenzentren (direkt bei OpenAI, Anthropic, Google US) ⚠️ Achtung: Anwendung in EU ≠ KI-Modelle in EU! Beides muss in EU sein.

Frage 3: Gibt es einen AVV-Vertrag nach Art. 28 DSGVO?

✅ Richtig: Schriftlicher AVV mit allen Pflichtangaben ❌ Kritisch: "AGBs reichen" oder "ist in Arbeit" ⚠️ Prüfen Sie: TOMs, Subunternehmer, Löschkonzept, Audit-Rechte

Frage 4: Werden Daten für KI-Training genutzt?

✅ Richtig: "Nein, vertraglich garantiert" (z.B. Azure OpenAI, AWS Bedrock) ❌ Kritisch: "Opt-out möglich" (Standard ist Training) ⚠️ Wichtig: Selbst wenn Sie opt-out wählen – Server-Standort bleibt problematisch!

Die besten KI-Modelle kommen aktuell von US-Anbietern (OpenAI, Anthropic, Google). Aber: Sie können diese Modelle DSGVO-konform nutzen – über EU-Hosting-Partner.

Option 1: Azure OpenAI Service (für GPT-4, GPT-5)

Das Problem mit OpenAI direkt:

• Server in USA (api.openai.com)
• Unterliegt Cloud Act und FISA 702
• Kein Standard-AVV nach DSGVO
• Datenübermittlung in Drittland

Die Lösung: Azure OpenAI Service

Microsoft hostet OpenAI-Modelle in EU-Rechenzentren:

• ✅ Server in Schweden, Niederlande, Schweiz
• ✅ Vollständige DSGVO-Compliance
• ✅ Microsoft als Auftragsverarbeiter (AVV verfügbar)
• ✅ Keine Datenübermittlung in USA
• ✅ Keine Trainingsnutzung der Daten
• ✅ Gleiche Kosten wie OpenAI direkt ($5/1M Input, $15/1M Output)

Verfügbare Modelle: GPT-4o, GPT-4 Turbo, GPT-3.5 Turbo, bald: GPT-5

Setup: Azure-Account → Approval beantragen (1-3 Tage) → Resource erstellen → Fertig

Option 2: AWS Bedrock (für Claude-Modelle)

Die Lösung: AWS Bedrock in Frankfurt

Amazon hostet Anthropic-Modelle in EU-Rechenzentren:

• ✅ Server in Frankfurt (eu-central-1)
• ✅ Vollständige DSGVO-Compliance
• ✅ AWS als Auftragsverarbeiter (AVV verfügbar)
• ✅ Keine Datenübermittlung in USA
• ✅ Privacy-Optionen für Enterprise

Verfügbare Modelle: Claude Sonnet 4.5, Claude 3.5 Opus, Claude Haiku

Kosten: Identisch zu Anthropic direkt

Option 3: Google Cloud Vertex AI (für Gemini-Modelle)

Die Lösung: Vertex AI in Deutschland

Google hostet Gemini-Modelle in EU-Rechenzentren:

• ✅ Server in Deutschland, Belgien, Niederlande
• ✅ DSGVO-konforme Datenverarbeitung
• ✅ AVV-Vertrag mit Google Cloud
• ✅ Keine Trainingsnutzung der Kundendaten

Verfügbare Modelle: Gemini 2.5 Pro, Gemini 1.5 Ultra, Gemini Flash

Fazit: Alle Top-Modelle sind DSGVO-konform nutzbar!

Nutzen Sie diese Checkliste bei der Anbieterauswahl. Alle 15 Punkte sollten mit "Ja" beantwortet werden können:

1. Serverstandort & Datenverarbeitung

• [ ] 1. Werden Daten ausschließlich in EU/EWR verarbeitet?
• [ ] 2. Ist der Serverstandort transparent dokumentiert?
• [ ] 3. Gibt es keine Datenübermittlung in Drittländer?

2. Auftragsverarbeitungsvertrag (AVV)

• [ ] 4. Gibt es einen schriftlichen AVV nach Art. 28 DSGVO?
• [ ] 5. Sind alle Pflichtangaben enthalten (Dauer, Art, Zweck)?
• [ ] 6. Sind Subunternehmer transparent aufgelistet?
• [ ] 7. Sind TOMs (technische/organisatorische Maßnahmen) dokumentiert?

3. Datennutzung & Training

• [ ] 8. Werden Kundendaten NICHT für KI-Training genutzt?
• [ ] 9. Ist dies vertraglich garantiert?
• [ ] 10. Gibt es Löschkonzepte nach Vertragsende?

4. Sicherheit & Compliance

• [ ] 11. Gibt es Verschlüsselung (Transit + at Rest)?
• [ ] 12. Sind Audit-Logs verfügbar?
• [ ] 13. Gibt es Zertifizierungen (ISO 27001, SOC 2)?

5. Betroffenenrechte & Transparenz

• [ ] 14. Können Betroffenenrechte (Auskunft, Löschung) ausgeübt werden?
• [ ] 15. Ist die Verarbeitungskette transparent dokumentiert?

Wenn alle 15 Punkte "Ja": DSGVO-Konformität ist gegeben. Wenn 1-2 Punkte "Nein": Prüfen Sie Alternativen oder fordern Sie Nachbesserung. Wenn 3+ Punkte "Nein": Finger weg!

Fehler 1: "Wir nutzen OpenAI über VPN, dann ist es sicher"

❌ Falsch! Ein VPN schützt nur den Transport, nicht den Speicherort. Die Daten landen trotzdem auf US-Servern. Das DSGVO-Problem bleibt bestehen.

✅ Richtig: Azure OpenAI nutzen (Server in EU)

Fehler 2: "OpenAI sagt, sie sind DSGVO-konform"

❌ Kritisch! OpenAI bietet "Enterprise Privacy" an, aber:

• Server bleiben in USA
• Schrems II-Problematik bleibt
• Kein echtes EU-Hosting

✅ Richtig: Fragen Sie nach Serverstandort, nicht nach "DSGVO-Konformität"

Fehler 3: "Wir anonymisieren die Daten vorher"

⚠️ Teilweise richtig, aber:

• Echte Anonymisierung ist sehr schwierig (IP-Adressen, Metadaten, Re-Identifikation)
• Oft nur Pseudonymisierung → DSGVO gilt weiter
• Risiko bleibt

✅ Besser: EU-Hosting nutzen, dann ist Anonymisierung nicht nötig

Fehler 4: "Wir brauchen keinen AVV, ist ja nur ein Tool"

❌ Falsch! AVV ist Pflicht bei Auftragsverarbeitung (Art. 28 DSGVO). Auch bei "nur einem Tool". Bußgeld-Risiko: Bis 20 Mio. € oder 4% des Jahresumsatzes.

✅ Richtig: Immer AVV abschließen, egal wie klein das Tool

Fehler 5: "Azure ist auch US-Unternehmen, also egal"

❌ Falsch! Entscheidend ist:

• Wo stehen die Server? (EU bei Azure)
• Wo werden Daten verarbeitet? (EU bei Azure)
• Gibt es AVV? (Ja bei Azure)

✅ Richtig: Serverstandort > Unternehmenssitz

Plotdesk wurde von Anfang an mit DSGVO-Konformität als Kernkriterium entwickelt:

1. Server in Deutschland

• Anwendungsserver: Deutschland (dediziert pro Kunde)
• Datenbank: Deutschland
• Keine Datenübermittlung in Drittländer

2. KI-Modelle in EU

• GPT-4/GPT-5: Azure OpenAI (Schweden)
• Claude: AWS Bedrock (Frankfurt)
• Gemini: Google Vertex AI (Deutschland)

3. AVV-Kette transparent

• Plotdesk ↔ Ihr Unternehmen: AVV vorhanden
• Plotdesk ↔ Hosting-Anbieter: AVV vorhanden
• Plotdesk ↔ KI-Anbieter (Azure/AWS/Google): AVV vorhanden

4. Keine Trainingsnutzung

• Vertraglich garantiert mit allen KI-Anbietern
• Ihre Daten bleiben Ihre Daten

5. ISO 27001 (in Vorbereitung)

• Professionelles Informationssicherheits-Management
• Audit-ready

Das Ergebnis: Out-of-the-box DSGVO-konform, kein Setup nötig, transparente Dokumentation.

Unternehmen: Mittelständischer Maschinenbauer, 800 Mitarbeiter, Bielefeld

Herausforderung:

• Kunden aus Rüstungsindustrie (höchste Datenschutz-Anforderungen)
• Technische Dokumentation mit sensiblen Daten
• Datenschutzbeauftragter sehr kritisch
• Betriebsrat muss zustimmen

Lösung: Plotdesk mit EU-Hosting

1. Datenschutz-Folgenabschätzung (DSFA) durchgeführt
2. Server-Standort: Deutschland (dedizierter Server)
3. KI-Modelle: Azure OpenAI (Schweden), Claude (Frankfurt)
4. AVV-Verträge: Vollständig, transparent
5. Audit-Logs: Aktiviert für Compliance
6. Private Endpoints: Zusätzliche Sicherheit via VNet-Integration

Ergebnis:

• ✅ Datenschutzbeauftragter zufrieden
• ✅ Betriebsrat stimmt zu
• ✅ Audit bestanden (externe Prüfung)
• ✅ Keine DSGVO-Bedenken mehr
• ✅ Technische Dokumentation 60% schneller

Kosten: 5.000€ Plattform + 2.500€ Tokens = 7.500€/Monat ROI: 4 Monate (durch Zeitersparnis bei Dokumentation)

Prüfen Sie Ihre aktuelle oder geplante KI-Lösung mit dieser Schnell-Checkliste:

Technische Prüfung:

• [ ] Server stehen in EU/EWR
• [ ] KI-Modelle werden in EU gehostet
• [ ] Verschlüsselung (TLS 1.2+, AES-256)
• [ ] Audit-Logs vorhanden
• [ ] Berechtigungskonzept implementiert

Vertragliche Prüfung:

• [ ] AVV-Vertrag vorhanden (schriftlich)
• [ ] Subunternehmer transparent aufgelistet
• [ ] TOMs dokumentiert
• [ ] Löschkonzept definiert
• [ ] Keine Trainingsnutzung (vertraglich)

Organisatorische Prüfung:

• [ ] DSFA durchgeführt (bei hohem Risiko)
• [ ] Datenschutzbeauftragter eingebunden
• [ ] Betriebsrat informiert (falls vorhanden)
• [ ] Mitarbeiter geschult
• [ ] Dokumentation erstellt

Wenn alle Punkte "Ja": Sie sind gut aufgestellt! Wenn Punkte "Nein": Handlungsbedarf – aber lösbar!

Zusätzlich zur DSGVO kommt 2025 der EU AI Act – die weltweit erste umfassende KI-Regulierung.

Was bedeutet der EU AI Act?

Risikobasierter Ansatz:

• Unannehmbares Risiko: Verboten (z.B. Social Scoring)
• Hohes Risiko: Strenge Auflagen (z.B. Bewerbungs-Screening, Kreditscoring)
• Begrenztes Risiko: Transparenzpflichten (z.B. Chatbots)
• Minimales Risiko: Keine speziellen Auflagen (z.B. Spam-Filter)

Für die meisten Unternehmens-KI: Begrenztes Risiko

Das bedeutet:

• ✅ Transparenzpflicht (Nutzer müssen wissen, dass es KI ist)
• ✅ Dokumentationspflicht (Wie funktioniert die KI?)
• ✅ Menschliche Aufsicht (Human-in-the-Loop)

Gute Nachricht: Wenn Sie bereits DSGVO-konform sind, erfüllen Sie 80% der AI-Act-Anforderungen automatisch.

Plotdesk-Vorbereitung:

• Transparenz: Nutzer sehen, welches Modell antwortet
• Dokumentation: Vollständig vorhanden
• Menschliche Aufsicht: Immer möglich (User hat finale Kontrolle)

Schritt 1: DSGVO-Status-Check (diese Woche)

Prüfen Sie Ihre aktuelle KI-Nutzung:

1. Welche KI-Tools werden genutzt? (auch "Shadow AI"!)
2. Wo stehen die Server?
3. Gibt es AVV-Verträge?
4. Ist der Datenschutzbeauftragte informiert?

Schritt 2: Datenschutzbeauftragten einbinden (nächste Woche)

Vereinbaren Sie einen Termin:

1. Stellen Sie geplante KI-Lösung vor
2. Klären Sie Bedenken
3. Holen Sie grünes Licht ein

Schritt 3: DSFA durchführen (falls erforderlich)

Bei hohem Risiko (z.B. Personaldaten, Gesundheitsdaten):

1. DSFA-Template nutzen (Download verfügbar)
2. Risiken bewerten
3. Maßnahmen definieren
4. Dokumentieren

Schritt 4: Anbieter auswählen

Nutzen Sie die 15-Punkte-Checkliste von oben.

Empfehlung für deutsche Unternehmen:

• Plotdesk (Server in Deutschland, alle Modelle via EU-Hosting)
• Alternativ: Azure OpenAI, AWS Bedrock, Google Vertex AI (selbst einrichten)

Schritt 5: Implementierung & Dokumentation

1. AVV-Vertrag abschließen
2. Technische Maßnahmen umsetzen
3. Mitarbeiter schulen
4. Alles dokumentieren (DSFA, AVV, TOMs)

DSGVO und KI passen perfekt zusammen – wenn Sie es richtig machen. Die drei Kernpunkte:

1. Serverstandort ist entscheidend: EU-Server lösen 90% der Probleme
2. AVV ist Pflicht, nicht optional: Ohne AVV = DSGVO-Verstoß
3. EU-Hosting kostet 0€ mehr: Azure OpenAI = gleiche Preise wie OpenAI direkt

68% der deutschen Unternehmen nennen Datenschutz als größte Hürde bei KI. Aber diese Hürde ist überwindbar – mit den richtigen Partnern. Die Technologie ist da, die rechtlichen Lösungen sind da, die EU-Hosting-Optionen sind da.

Was fehlt, ist oft nur das Wissen über diese Optionen. Unternehmen glauben, sie müssen zwischen "beste KI" (USA, DSGVO-kritisch) und "DSGVO-konform" (Europa, schwächere Modelle) wählen. Das stimmt nicht mehr.

Sie können GPT-5, Claude Sonnet 4.5 und Gemini 2.5 Pro nutzen – alle DSGVO-konform via EU-Hosting. Gleiche Modelle, gleiche Qualität, gleiche Kosten. Nur der Serverstandort ist anders. Und der macht den Unterschied zwischen Compliance und Bußgeld.