KI-Finder
AnmeldenTool finden
Zurück zur Übersicht

DSGVO-konforme KI-Tools — eine pragmatische Checkliste

Welche KI-Tools darfst du in DACH-Unternehmen wirklich einsetzen? Checkliste für DPA, Datenresidenz, Training-Opt-Out, EU AI Act.

Christoph Awe · · 2 Min Lesezeit

Die meisten Beiträge zu KI und DSGVO sind entweder Panikmache oder Marketing. Hier ist die ehrliche Kurzversion: was du checken solltest, bevor du ein KI-Tool im Business einsetzt.

1. Auftragsverarbeitungsvertrag (AVV / DPA)

Ohne AVV mit dem Anbieter darfst du in DE keine personenbezogenen Daten verarbeiten lassen. Die meisten US-Anbieter (OpenAI, Anthropic, Google, Microsoft) bieten einen — aber nur ab bestimmten Tiers.

  • ChatGPT: ab Team-Tier
  • Claude: ab Team-Tier
  • Gemini: ab Workspace-Business
  • Mistral, DeepL, Notion: ab Pro

Free-Tier von US-Anbietern → kein AVV → kein Business-Einsatz mit Kundendaten.

2. Datenresidenz

Wo werden die Daten verarbeitet? Drei Stufen:

  • EU-Hosting: bestmöglich (Mistral, DeepL, n8n, FLUX/Black Forest Labs, Gamma)
  • EU-Boundary mit US-Mutter: Microsoft, neuerdings Google für Workspace-Enterprise. Vertraglich abgesichert, technisch in EU.
  • US-Hosting: Standard für die meisten US-Tools. Mit AVV + EU-Standardvertragsklauseln (SCC) rechtlich machbar, aber nach Schrems II ist eine Risikoabschätzung Pflicht.

3. Training-Opt-Out

Werden deine Eingaben zum Modelltraining benutzt?

  • ChatGPT Plus: ja, Opt-Out im Setting (manuell)
  • ChatGPT Team / Enterprise: nein (Default)
  • Claude Pro: nein (Default)
  • Gemini Workspace: nein (Default für Business)

Faustregel: Free-Tier = Training ja. Paid-Business = Training nein. Lies trotzdem die Privacy Policy.

4. EU AI Act — die neue Schicht

Seit Februar 2025 reguliert der EU AI Act KI-Anwendungen nach Risikoklassen. Für die meisten KI-Tools gilt:

  • Minimal: Schreibassistenten, Übersetzer, Audio-Cleanup. Keine besonderen Pflichten.
  • Limitiert: Generative KI (Text, Bild, Video, Audio). Pflicht: KI-Output kennzeichnen (Art. 52).
  • Hoch: KI in HR, Bildungs-Bewertung, Kreditvergabe. Risikomanagement + menschliche Aufsicht + Logging.
  • Untersagt: Social Scoring, manipulative Techniken, Echtzeit-Biometrie. Ganz raus.

Die Verantwortung liegt beim Betreiber, nicht beim Anbieter. Wenn du z.B. Synthesia-Avatare im Schulungsvideo nutzt, musst du den Avatar als KI-generiert kennzeichnen.

5. Konkrete Checkliste vor dem Tool-Einsatz

  • AVV unterschrieben?
  • Datenresidenz dokumentiert (EU / EU-Boundary / US+SCC)?
  • Training-Opt-Out aktiv?
  • EU-AI-Act-Risikoklasse für unseren Use-Case eingestuft?
  • Kennzeichnungspflicht im Output umgesetzt (z.B. "KI-generiert")?
  • Mitarbeitende geschult?
  • Lösch-Prozess für Anfragen mit personenbezogenen Daten definiert?

Wenn du alle sieben Punkte mit "ja" beantwortest, bist du sehr weit vorne. Das Tool darf rein.

Wo es weitergeht

Der Tool-Finder hat einen Hard-Filter "Muss DSGVO-konform sein". Aktivierst du ihn, fliegen alle Tools mit unklarer Compliance direkt aus der Empfehlung. Im Pro-Deep-Dive kommt die EU-AI-Act-Einordnung mit Begründung dazu.

Disclaimer: Dieser Artikel ist keine Rechtsberatung. Bei rechtlich kritischen Konstellationen (Healthcare, Legal, Finance, Public Sector) immer eigene juristische Prüfung.