Ist der Einsatz von KI DSGVO-konform?

Ja, der Einsatz von KI kann DSGVO-konform gestaltet werden. Voraussetzung ist eine gültige Rechtsgrundlage (z.B. Vertragserfüllung oder berechtigtes Interesse), ein Auftragsverarbeitungsvertrag mit dem KI-Anbieter, Datenminimierung, Transparenz gegenüber Betroffenen und die Einhaltung von Art. 22 DSGVO bei automatisierten Entscheidungen. Idealerweise setzen Sie auf EU-Server, um Datentransfers in Drittländer zu vermeiden.

Welche KI-Tools sind DSGVO-konform?

DSGVO-konform sind KI-Tools, die Daten auf EU-Servern verarbeiten, einen Auftragsverarbeitungsvertrag anbieten und keine Kundendaten für eigenes Training verwenden. Beispiele sind die Claude API von Anthropic mit EU-Endpunkten, selbstgehostete n8n-Instanzen auf EU-Servern und Azure-Dienste in der Region EU-West. Entscheidend ist nicht das Tool allein, sondern die korrekte Konfiguration und vertragliche Absicherung.

Brauche ich einen AVV für KI-Tools?

Ja. Sobald ein externer KI-Dienst personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO verpflichtend. Das gilt für alle cloudbasierten KI-APIs wie OpenAI, Anthropic oder Google. Der AVV regelt unter anderem den Zweck der Verarbeitung, technisch-organisatorische Maßnahmen und das Verbot, Daten für eigene Zwecke zu nutzen.

KI & Datenschutz: AVV, EU-Hosting & Schrems II Guide

KI und DSGVO — ein Widerspruch?

Viele Unternehmen zögern beim Einsatz von KI-Agenten, weil sie Datenschutzprobleme fürchten. ChatGPT hier, Cloud-API dort — und schon landen Kundendaten auf US-Servern, ohne dass jemand im Unternehmen es bewusst entschieden hat. Die Sorge ist berechtigt: Laut einer Bitkom-Studie nennen 62 Prozent der deutschen Unternehmen Datenschutzbedenken als Hauptgrund, warum sie KI noch nicht einsetzen.

Die gute Nachricht: KI und DSGVO schließen sich nicht aus. Mit der richtigen Architektur, den richtigen Verträgen und einem klaren Prozess können Sie KI-Automatisierung nutzen, ohne gegen geltendes Recht zu verstoßen. Dieser Leitfaden zeigt Ihnen, wie.

Die 5 DSGVO-Anforderungen für KI

Bevor Sie ein KI-Tool in Ihrem Unternehmen einsetzen, müssen fünf zentrale Anforderungen der DSGVO erfüllt sein. Diese gelten unabhängig davon, ob Sie eine Claude API, einen selbstgehosteten Dienst oder ein SaaS-Produkt verwenden:

Rechtsgrundlage (Art. 6 DSGVO) Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. In der Praxis greifen bei KI-Einsatz im Unternehmen meist drei Varianten: Vertragserfüllung (Art. 6 Abs. 1 lit. b) — wenn die KI Kundenanfragen bearbeitet, die aus einem Vertragsverhältnis entstehen. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — wenn die KI interne Prozesse optimiert und die Interessen der Betroffenen nicht überwiegen. Einwilligung (Art. 6 Abs. 1 lit. a) — selten nötig, aber relevant bei proaktiver Ansprache oder Marketing-Automatisierung.
Auftragsverarbeitungsvertrag (AVV) Sobald ein externer Dienst personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein AVV nach Art. 28 DSGVO Pflicht. Das gilt für jede Cloud-basierte KI-API. Der AVV regelt den Verarbeitungszweck, technisch-organisatorische Maßnahmen, Unterauftragsverarbeiter und das Verbot, Daten für eigene Zwecke (z.B. Modelltraining) zu nutzen. Seriöse Anbieter wie Anthropic stellen standardisierte AVVs bereit.
Datenminimierung (Art. 5 Abs. 1 lit. c) Übergeben Sie der KI nur die Daten, die für die jeweilige Aufgabe tatsächlich erforderlich sind. Ein Agent, der eingehende E-Mails klassifiziert, braucht den E-Mail-Text — aber nicht die Bankverbindung des Absenders. Durch gezieltes Prompt Engineering und MCP-Server-Architektur lässt sich der Datenzugriff präzise steuern.
Transparenz (Art. 13/14 DSGVO) Informieren Sie Betroffene darüber, dass KI zum Einsatz kommt. In der Praxis bedeutet das: Datenschutzerklärung aktualisieren, bei Chatbots einen Hinweis anzeigen, im Kundenservice transparent kommunizieren. Sie müssen nicht den genauen Algorithmus offenlegen — aber die Tatsache, dass automatisierte Verarbeitung stattfindet.
Keine vollautomatisierten Einzelentscheidungen (Art. 22 DSGVO) Entscheidungen, die eine Person erheblich betreffen — Kreditwürdigkeitsprüfungen, Bewerbungsabsagen, Vertragskündigungen — dürfen nicht ausschließlich von einer KI getroffen werden. Ein Mensch muss die finale Entscheidung treffen und die Möglichkeit haben, das KI-Ergebnis zu korrigieren. KI darf vorbereiten und empfehlen — aber nicht allein entscheiden.

Das Problem mit US-KI-Tools

Die meisten bekannten KI-Dienste — OpenAI (ChatGPT), Google Cloud AI, Amazon Bedrock — sind US-amerikanische Unternehmen. Das bedeutet: Selbst wenn die Server in der EU stehen, unterliegen diese Unternehmen dem US CLOUD Act und FISA Section 702. US-Behörden können theoretisch Zugriff auf Daten verlangen, ohne dass europäische Datenschutzstandards eingehalten werden.

Das Schrems-II-Urteil des EuGH von 2020 hat den Privacy Shield gekippt. Seitdem basieren Datentransfers in die USA auf Standardvertragsklauseln (SCCs) und dem 2023 eingeführten EU-U.S. Data Privacy Framework. Doch Datenschutzexperten und Aufsichtsbehörden weisen regelmäßig darauf hin, dass ein Restrisiko besteht — insbesondere für sensible Daten.

Wichtig: Jeder Transfer personenbezogener Daten in die USA birgt ein Restrisiko — auch mit Standardvertragsklauseln. Für besonders schützenswerte Daten (Gesundheitsdaten, Finanzdaten, Mitarbeiterdaten) empfehlen wir ausschließlich EU-basierte Verarbeitung.

Das heißt nicht, dass US-Tools per se verboten sind. Aber Sie sollten genau abwägen: Welche Daten werden verarbeitet? Wie sensibel sind sie? Und gibt es eine europäische Alternative, die das gleiche Ergebnis liefert?

EU-Alternativen und sichere Architektur

Die technische Entwicklung der letzten zwei Jahre hat eine vollständig EU-basierte KI-Infrastruktur möglich gemacht. Hier sind die Bausteine, die wir in der Praxis einsetzen:

Claude API mit EU-Endpunkten: Anthropic bietet europäische Datenverarbeitung an. Die Daten verlassen die EU nicht und werden nicht für Modelltraining verwendet. Ein AVV ist standardmäßig verfügbar.
n8n self-hosted auf EU-Servern: Die Workflow-Automatisierung läuft auf Ihren eigenen Servern in Frankfurt oder Amsterdam. Sie behalten die volle Kontrolle über alle Datenflüsse.
Azure EU-West oder Hetzner: Für Datenbanken und Data Warehouses nutzen wir europäische Rechenzentren. Microsoft Azure EU-West (Niederlande/Irland) oder deutsche Anbieter wie Hetzner.
On-Premise für maximale Sicherheit: Für Unternehmen mit besonders strengen Anforderungen — etwa im Gesundheitswesen oder in der Finanzbranche — ist eine vollständig lokale Installation möglich. Die KI läuft dann auf Ihrer eigenen Hardware.

100 % EU-Hosting = kein Datentransfer in Drittländer = maximale DSGVO-Konformität. Durch die Kombination aus europäischen KI-APIs, selbstgehosteten Workflow-Tools und EU-Servern entfällt die gesamte Problematik rund um Drittlandtransfers, SCCs und Transfer Impact Assessments.

Checkliste: KI DSGVO-konform einsetzen

Mit diesen zehn Punkten stellen Sie sicher, dass Ihr KI-Einsatz datenschutzkonform ist:

check_circle
AVV mit KI-Anbieter abschließen: Prüfen Sie, ob der Anbieter einen Auftragsverarbeitungsvertrag bereitstellt. Achten Sie auf Klauseln zu Datennutzung, Unterauftragsverarbeitern und Löschpflichten.
check_circle
EU-Server sicherstellen: Konfigurieren Sie die KI-API so, dass Daten ausschließlich auf EU-Servern verarbeitet werden. Vermeiden Sie US-Fallback-Regionen.
check_circle
Datenschutzerklärung aktualisieren: Ergänzen Sie Ihre Datenschutzerklärung um Informationen zum KI-Einsatz: Zweck, Rechtsgrundlage, Empfänger, Speicherdauer.
check_circle
Verarbeitungsverzeichnis erweitern: Nehmen Sie die KI-Verarbeitung in Ihr Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO auf.
check_circle
Datenminimierung implementieren: Definieren Sie genau, welche Datenfelder die KI sehen darf. Filtern, anonymisieren oder pseudonymisieren Sie Daten vor der Übergabe.
check_circle
Kein KI-Training mit Kundendaten: Stellen Sie sicher, dass der Anbieter Ihre Daten nicht zum Training seiner Modelle verwendet. Das muss vertraglich fixiert sein.
check_circle
Eskalationswege definieren: Legen Sie fest, bei welchen Entscheidungen ein Mensch eingreifen muss (Art. 22 DSGVO). Dokumentieren Sie diese Regeln schriftlich.
check_circle
Mitarbeiter schulen: Sensibilisieren Sie Ihr Team für den Umgang mit KI und Datenschutz. Keine Kundendaten in Consumer-Tools wie ChatGPT eingeben.
check_circle
Regelmäßig auditieren: Überprüfen Sie quartalsweise, ob die Datenschutzmaßnahmen noch greifen. Technische und organisatorische Maßnahmen entwickeln sich weiter.
check_circle
DSFA prüfen: Bei umfangreicher Verarbeitung personenbezogener Daten kann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein. Klären Sie das mit Ihrem Datenschutzbeauftragten.

Die EU-KI-Verordnung (AI Act)

Seit August 2024 ist die EU-KI-Verordnung (AI Act) in Kraft. Sie verfolgt einen risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung, desto strenger die Anforderungen. Die gute Nachricht für die meisten Unternehmen: Typische Geschäftsanwendungen wie E-Mail-Klassifizierung, Datenanalyse oder Kundenservice-Bots fallen in die Kategorie minimales Risiko — hier gelten keine zusätzlichen Pflichten über die DSGVO hinaus.

Hochrisiko-Anwendungen — etwa KI in der Personalauswahl, Kreditwürdigkeitsbewertung oder im Gesundheitswesen — unterliegen erweiterten Anforderungen wie Konformitätsbewertung, Dokumentationspflichten und menschlicher Aufsicht. Die Umsetzungsfristen laufen gestaffelt bis 2027. Wir empfehlen, die Entwicklung im Auge zu behalten und bei Bedarf frühzeitig zu handeln.

Praxisbeispiel: DSGVO-konforme KI-Integration

Ein mittelständisches Dienstleistungsunternehmen mit 45 Mitarbeitern wollte seinen Kundenservice automatisieren. Täglich gingen 80 bis 120 E-Mails ein, die manuell sortiert, beantwortet und weitergeleitet werden mussten. Drei Mitarbeiter wendeten zusammen rund sechs Stunden pro Tag dafür auf.

Unsere Lösung: Ein KI-Agent, der eingehende E-Mails liest, klassifiziert und Standardanfragen automatisch beantwortet. Die Architektur:

Claude API mit EU-Endpunkten für die intelligente Verarbeitung
n8n self-hosted auf einem Hetzner-Server in Falkenstein für die Workflow-Orchestrierung
Ein MCP-Server, der den KI-Agenten sicher mit dem CRM-System verbindet
AVV mit Anthropic geschlossen, Opt-out vom Modelltraining bestätigt
Datenschutzerklärung aktualisiert, Verarbeitungsverzeichnis ergänzt

Das Ergebnis: 70 Prozent der E-Mails werden automatisch beantwortet. Alle Daten bleiben in der EU. Der Datenschutzbeauftragte hat grünes Licht gegeben. Die drei Mitarbeiter nutzen die gewonnene Zeit für komplexe Kundenanliegen und strategische Aufgaben.

Weiterführende Artikel

KI DSGVO-konform einsetzen?

In der kostenlosen Erstberatung zeigen wir Ihnen, wie Sie KI-Automatisierung nutzen können — mit 100 % EU-Hosting und klarer Datenschutzstrategie.

Erstberatung buchen arrow_forward

check_circle Kostenlos

check_circle 30 Minuten

check_circle Unverbindlich

KI & Datenschutz: AVV, EU-Hosting & Schrems II