KI ist in Unternehmen angekommen – aber der Datenschutz hinkt oft hinterher. Viele Teams nutzen ChatGPT oder andere US-Tools, ohne sich über die DSGVO-Implikationen im Klaren zu sein. Das kann teuer werden: Bußgelder von bis zu 20 Millionen Euro sind kein theoretisches Szenario.
Dieser Leitfaden erklärt, was DSGVO-konforme KI wirklich bedeutet, worauf Unternehmen achten müssen und warum eine KI aus Deutschland die sicherste Wahl ist.
Achtung
Die unkontrollierte Nutzung von US-KI-Tools im Unternehmen ist ein Datenschutzrisiko. Ohne AVV, ohne EU-Hosting und ohne klare Richtlinien verstoßen Sie möglicherweise bereits gegen die DSGVO.
DSGVO-Anforderungen an KI-Tools
Die DSGVO stellt konkrete Anforderungen an KI-Tools im geschäftlichen Einsatz:
Rechtsgrundlage für die Datenverarbeitung
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage (Art. 6 DSGVO). Bei KI-Tools ist das in der Regel das berechtigte Interesse (Art. 6 Abs. 1 lit. f) oder die Einwilligung.
Auftragsverarbeitung (Art. 28)
Sobald ein KI-Anbieter Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht. Ohne AVV ist die Nutzung rechtswidrig.
Datenminimierung und Zweckbindung
Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das bedeutet: Ein KI-Tool darf Ihre Eingaben nicht für eigene Zwecke (z.B. Modelltraining) verwenden.
Keine Drittlandübermittlung ohne Garantien
Die Übermittlung personenbezogener Daten in Drittstaaten (z.B. USA) ist nur unter strengen Bedingungen zulässig. Der CLOUD Act macht dies bei US-Anbietern besonders problematisch.
Risiken bei US-KI-Anbietern
Warum US-KI-Tools ein Datenschutzrisiko darstellen:
- CLOUD Act – US-Behörden können Zugriff auf Ihre Daten fordern
- Daten-Training – Einige Anbieter nutzen Eingaben für Modelltraining
- US-Hosting – Daten verlassen den EU-Rechtsraum
- Intransparenz – Komplexe Datenschutzerklärungen erschweren die Prüfung
- Kein AVV – Nicht alle Anbieter bieten EU-konforme Verträge
Ausführliche Details zu den DSGVO-Risiken von ChatGPT finden Sie in unserem Artikel ChatGPT im Unternehmen: DSGVO-Risiken.
Checkliste: Ist Ihr KI-Tool DSGVO-konform?
- Anbieter hat Firmensitz in der EU (Pflicht)
- Daten werden ausschließlich in der EU gehostet (Pflicht)
- Auftragsverarbeitungsvertrag (AVV) ist verfügbar (Pflicht)
- Eingaben werden NICHT für Modelltraining verwendet (Pflicht)
- Anbieter unterliegt NICHT dem US CLOUD Act (Pflicht)
- Transparente Datenschutzerklärung vorhanden
- Löschkonzepte und Aufbewahrungsfristen dokumentiert
- Audit Logs für Nachvollziehbarkeit verfügbar
- Option für lokale Speicherung vorhanden
- Technische und organisatorische Maßnahmen (TOMs) dokumentiert
Lurus: DSGVO-Konformität von Grund auf
Lurus wurde als KI aus Deutschland von Anfang an DSGVO-konform konzipiert:
- Firmensitz Deutschland – Scramble Cloud UG, Hannover
- EU-Hosting – Alle 15+ KI-Modelle in europäischen Rechenzentren
- AVV inklusive – Auftragsverarbeitungsvertrag standardmäßig verfügbar
- Kein Training – Ihre Eingaben werden nie für Modelltraining verwendet
- Kein CLOUD Act – Als deutsches Unternehmen nicht betroffen
- Lokale Speicherung – Chats und Dateien optional nur auf Ihrem Gerät
- Audit Logs – Lückenlose Protokollierung aller KI-Interaktionen
Mehr Details zur Sicherheitsarchitektur finden Sie auf unserer Sicherheits-Seite. Die Preise beginnen bei 0€ mit dem dauerhaft kostenlosen Free-Plan – alle Pakete im Überblick.
Branchen mit besonderen DSGVO-Anforderungen
Einige Branchen haben über die DSGVO hinaus zusätzliche Anforderungen:
- Gesundheitswesen – Besonders schützenswerte Gesundheitsdaten (Art. 9 DSGVO) erfordern höchste Sicherheitsstandards
- Finanzbranche – BaFin-Regulierung, MaRisk und DORA fordern zusätzliche Dokumentation und Auditierbarkeit
- Rechtsberatung – Anwaltsgeheimnis und Mandantenschutz erfordern lokale Datenhaltung
- Öffentlicher Sektor – BSI-Richtlinien und nationale Sicherheitsinteressen
Für all diese Branchen bietet Lurus mit lokaler Speicherung und Audit Logs die passende Lösung.
Fazit: DSGVO-konforme KI ist kein Luxus
DSGVO-konforme KI zu nutzen ist keine freiwillige Zusatzleistung – es ist eine rechtliche Pflicht. Die gute Nachricht: Mit einer KI-Plattform aus Deutschland wie Lurus ist Compliance kein Mehraufwand, sondern Standard.
Weiterführende Artikel:
- KI aus Deutschland: Warum der Standort zählt
- ChatGPT im Unternehmen: DSGVO-Risiken
- Lurus vs ChatGPT: Der direkte Vergleich
Häufig gestellte Fragen
Was macht KI DSGVO-konform?
DSGVO-konforme KI erfordert: EU-Hosting der Daten, einen Auftragsverarbeitungsvertrag (AVV), keine Verwendung der Eingaben für Modelltraining, transparente Datenschutzerklärung, Löschkonzepte und den Ausschluss von Datenübermittlungen in Drittstaaten. Deutsche Plattformen wie Lurus erfüllen diese Kriterien standardmäßig.
Ist ChatGPT DSGVO-konform?
ChatGPT hat erhebliche DSGVO-Herausforderungen: OpenAI sitzt in den USA und unterliegt dem CLOUD Act, Daten können für Modelltraining verwendet werden, und die Datenverarbeitung erfolgt auf US-Servern. Für den geschäftlichen Einsatz in Europa empfehlen Datenschutzexperten eine KI aus Deutschland wie Lurus.
Welche KI ist DSGVO-konform für Unternehmen?
Lurus ist eine der DSGVO-konformsten KI-Plattformen am Markt: Deutsches Unternehmen, EU-Hosting, AVV, kein Training mit Nutzerdaten und optionale lokale Speicherung. Dazu bietet Lurus Audit Logs für lückenlose Nachvollziehbarkeit aller KI-Interaktionen.
Brauche ich einen AVV für KI-Tools?
Ja. Sobald ein KI-Tool personenbezogene Daten verarbeitet (und das ist bei geschäftlicher Nutzung fast immer der Fall), ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Seriöse deutsche Anbieter wie Lurus bieten den AVV standardmäßig an.
Was passiert bei einem DSGVO-Verstoß mit KI?
DSGVO-Verstöße können Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes nach sich ziehen. Dazu kommen Reputationsschäden und mögliche Schadensersatzansprüche. Die Wahl einer DSGVO-konformen KI-Plattform ist daher eine Risikominimierung.