1. Was bedeutet DSGVO-konform bei KI wirklich?
„DSGVO-konform“ ist auf Anbieter-Websites zu einem Marketingbegriff geworden. Juristisch zerfällt die Frage in drei prüfbare Anforderungen. Wer alle drei beantworten kann, ist auf der sicheren Seite — wer nur eine davon erfüllt, hat ein Compliance-Problem, das sich nicht wegwerben lässt.
Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
Sobald ein KI-Tool personenbezogene Daten in Ihrem Auftrag verarbeitet — und das tut praktisch jeder geschäftliche Prompt, der Namen, E-Mail-Adressen, Mandanten- oder Kundendaten enthält —, sind Sie Verantwortlicher und der Anbieter Auftragsverarbeiter. Art. 28 Abs. 3 DSGVO verlangt dafür einen schriftlichen Vertrag, der Gegenstand, Dauer, Art und Zweck der Verarbeitung festlegt. Der Anbieter darf Daten ausschließlich nach Ihren dokumentierten Weisungen verarbeiten, muss Subunternehmer offenlegen und nach Vertragsende alle Daten löschen oder zurückgeben.
Daraus folgt die erste harte Konsequenz: Kostenlose Consumer-Versionen von KI-Tools bieten keinen AVV. Wer ChatGPT Free oder Plus mit personenbezogenen Geschäftsdaten füttert, verstößt gegen Art. 28 — unabhängig davon, was mit den Daten tatsächlich passiert. Die Verstöße sind bußgeldbewehrt: Art. 83 Abs. 4 DSGVO sieht bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor, bei Verletzung von Betroffenenrechten verdoppeln sich diese Obergrenzen.
Datenresidenz: Wo liegen die Daten — und wer kann darauf zugreifen?
Die zweite Anforderung betrifft den Ort der Verarbeitung. Werden Daten in ein Drittland wie die USA übermittelt, braucht es eine Rechtsgrundlage nach Kapitel V der DSGVO. Seit dem Schrems-II-Urteil des EuGH (C-311/18) ist klar, dass Standardvertragsklauseln allein nicht genügen, wenn das Recht des Empfängerlandes dem EU-Datenschutz widerspricht. Genau das ist beim US CLOUD Act der Fall: Er verpflichtet US-Unternehmen zur Herausgabe von Daten an US-Behörden — unabhängig davon, wo die Daten physisch gespeichert sind. Ein „EU-Rechenzentrum“ eines US-Konzerns verbessert die Lage, beseitigt das strukturelle Problem aber nicht vollständig.
Die Trainingsdaten-Frage
Die dritte Anforderung ist KI-spezifisch: Verwendet der Anbieter Ihre Eingaben für das Training seiner Modelle? Wenn ja, verlassen Ihre Daten dauerhaft Ihren Kontrollbereich — eine Löschung nach Art. 17 DSGVO ist aus einem trainierten Modell faktisch nicht mehr möglich. Consumer-Versionen vieler KI-Dienste nutzen Eingaben standardmäßig für das Training; Business- und API-Versionen schließen das vertraglich aus. Diese Klausel müssen Sie schriftlich vorliegen haben, nicht nur in einem Blogpost des Anbieters lesen.
Kurz gefasst: DSGVO-konforme KI = AVV nach Art. 28 + nachweisbare EU-Datenresidenz mit Blick auf den CLOUD Act + vertraglicher Ausschluss von Training auf Ihren Daten. Fehlt einer der drei Bausteine, ist „DSGVO-konform“ nur ein Werbeversprechen.
2. Die Rechtslage: DSGVO, §203 StGB und EU AI Act
DSGVO: Die Grundschicht für alle Unternehmen
Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet — vom Einzelunternehmer bis zum Konzern. Für den KI-Einsatz relevant sind neben Art. 28 vor allem Art. 5 Abs. 1 lit. c (Datenminimierung: die KI bekommt nur, was sie für die Aufgabe braucht), Art. 25 (Datenschutz durch Technikgestaltung), Art. 32 (Sicherheit der Verarbeitung) und Art. 35: Bei voraussichtlich hohem Risiko für Betroffene — was bei systematischer KI-Verarbeitung sensibler Daten regelmäßig der Fall ist — ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, bevor das Tool produktiv geht.
§203 StGB: Die Strafnorm für Berufsgeheimnisträger
Für Rechtsanwälte, Steuerberater, Ärzte, Wirtschaftsprüfer, Apotheker und weitere Berufsgruppen kommt eine zweite, schärfere Ebene hinzu: §203 StGB stellt die unbefugte Offenbarung fremder Geheimnisse unter Strafe — bis zu einem Jahr Freiheitsstrafe oder Geldstrafe. Das ist kein Datenschutzrecht mit Bußgeldern, sondern Strafrecht mit persönlicher Verantwortlichkeit.
Die Reform von 2017 erlaubt es Berufsgeheimnisträgern zwar, externe IT-Dienstleister als „sonstige mitwirkende Personen“ einzubeziehen. Die Bedingungen sind aber eng: Der Dienstleister muss vertraglich zur Geheimhaltung verpflichtet werden, die Offenbarung muss auf das Erforderliche beschränkt sein, und der Berufsträger bleibt persönlich verantwortlich. Ein Standard-SaaS-Abo eines KI-Anbieters ohne eine solche Verpflichtungserklärung erfüllt diese Anforderungen in aller Regel nicht. Was das konkret für Kanzleien bedeutet, haben wir in zwei eigenen Beiträgen vertieft: Darf meine Kanzlei ChatGPT nutzen? und ChatGPT für Steuerberater: Was §203 StGB wirklich verbietet.
EU AI Act: Die neue Regulierungsebene
Der EU AI Act (Verordnung (EU) 2024/1689) ist am 2. August 2024 in Kraft getreten und wird gestaffelt anwendbar. Für Unternehmen, die KI lediglich nutzen (in der Terminologie der Verordnung: „Betreiber“), sind vor allem drei Daten relevant:
- Seit 2. Februar 2025: Verbot von KI-Praktiken mit unannehmbarem Risiko (Art. 5) und die Pflicht zur KI-Kompetenz (Art. 4) — Unternehmen müssen sicherstellen, dass Mitarbeitende, die KI einsetzen, über ausreichendes Verständnis verfügen. Das betrifft auch kleine Teams.
- Seit 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI, Art. 53), u. a. technische Dokumentation und eine Zusammenfassung der Trainingsinhalte.
- Ab 2. August 2026: Der Großteil der übrigen Verordnung wird anwendbar, einschließlich der Transparenzpflichten und weiter Teile der Hochrisiko-Regeln.
Für die meisten Unternehmen, die KI als Assistenz für Texte, Recherche oder Dokumentenarbeit einsetzen, bedeutet der AI Act vor allem: Schulungspflicht ernst nehmen, dokumentieren, welche Systeme im Einsatz sind, und bei der Anbieterauswahl darauf achten, dass der Anbieter seine GPAI-Pflichten erfüllt. Er ersetzt die DSGVO nicht — beide gelten parallel.
3. Die vier technischen Wege im Vergleich
Wer KI DSGVO-konform einsetzen will, hat 2026 vier realistische Optionen. Keine davon ist für alle die richtige — die ehrliche Antwort hängt von Teamgröße, Budget, Datenkategorie und davon ab, ob Sie Berufsgeheimnisträger sind.
Weg 1: Öffentliche KI-Tools (Consumer-Versionen)
ChatGPT Free/Plus, Gemini, Copilot in der Privatversion. Vorteile: sofort verfügbar, günstig oder kostenlos, beste Bedienbarkeit. Nachteile: kein AVV, Eingaben können für Training verwendet werden, keine Kontrolle über Speicherort und Subunternehmer. Fazit: Für personenbezogene oder vertrauliche Geschäftsdaten nicht zulässig. Legitim bleibt der Einsatz für vollständig anonyme Aufgaben — allgemeine Recherche, Textentwürfe ohne Personenbezug. In der Praxis ist diese Trennlinie im Arbeitsalltag aber kaum durchzuhalten (siehe Abschnitt 5, Schatten-KI).
Weg 2: Enterprise-Verträge (ChatGPT Team/Enterprise, Copilot 365, Langdock & Co.)
Business-Versionen der großen Anbieter sowie deutsche Wrapper-Plattformen wie Langdock. Vorteile: AVV inklusive, Training auf Kundendaten vertraglich ausgeschlossen, SSO und Admin-Kontrollen, teils EU-Datenresidenz, vertraute Oberflächen. Nachteile: Bei US-Anbietern bleibt die CLOUD-Act-Problematik strukturell bestehen; die Infrastruktur ist geteilt, nicht dediziert; und — entscheidend für regulierte Berufe — eine §203-Verpflichtungserklärung gehört bei keinem der großen Anbieter zum Standardvertrag. Fazit: Für Unternehmen ohne Berufsgeheimnis oft eine vertretbare, pragmatische Lösung. Für Kanzleien, Steuerberater und Praxen bleibt eine Lücke. Den detaillierten Vergleich finden Sie hier: ClapNClaw vs. ChatGPT Team vs. Langdock.
Weg 3: Managed Private (z. B. ClapNClaw)
Ein dedizierter, vom Anbieter betriebener KI-Arbeitsbereich pro Unternehmen. Bei ClapNClaw heißt das konkret: Ihre Daten, Dokumente und Chatverläufe liegen in einem eigenen, isolierten Container auf Hetzner-Servern in Frankfurt (deutscher Anbieter, deutsche Jurisdiktion). Die Inferenz läuft über Claude via AWS Bedrock in eu-central-1 (Frankfurt) ohne Datenspeicherung — Prompts werden verarbeitet und verworfen, nicht gespeichert und nicht für Training verwendet. Der AVV nach Art. 28 ist ab Tag 1 Vertragsbestandteil, im Compliance-Tarif zusammen mit der §203-Verpflichtungserklärung. Preise: Team 29 €, Compliance 59 € pro Nutzer und Monat.
Der Ehrlichkeit halber auch die Grenzen: ClapNClaw ist kein On-Premise-Produkt — wer Daten ausschließlich im eigenen Haus halten muss oder will, braucht Weg 4. Die Inferenz nutzt AWS Bedrock, also die EU-Region eines US-Hyperscalers — ohne Datenspeicherung, aber wer jede US-Berührung kategorisch ausschließt, wird hier nicht glücklich. Und in der aktuellen Phase verarbeitet ClapNClaw keine Gesundheitsdaten nach Art. 9 DSGVO; für Arztpraxen heißt das: Verwaltung, Korrespondenz und Organisation ja, Patientendaten nein. Fazit: Der passende Weg für kleine und mittlere Teams in regulierten Berufen, die Compliance ohne eigene IT-Abteilung brauchen.
Weg 4: On-Premise mit Open-Source-Modellen
Llama, Mistral oder andere offene Modelle auf eigener Hardware. Vorteile: maximale Kontrolle, keine Drittlandübermittlung, keine Abhängigkeit von Anbietern, auch für Art.-9-Daten denkbar. Nachteile: erhebliche Anfangsinvestition in GPU-Hardware (realistisch fünfstellig), laufender Betriebs- und Wartungsaufwand, eigene Verantwortung für Sicherheit und Updates — und offene Modelle erreichen bei anspruchsvollen Text- und Analyseaufgaben derzeit nicht durchgängig das Niveau der führenden kommerziellen Modelle. Fazit: Die richtige Wahl für größere Organisationen mit eigener IT und höchsten Anforderungen an Datenhoheit. Für ein Team mit 5–20 Personen meist unwirtschaftlich.
| Kriterium | Öffentliche Tools | Enterprise-Vertrag | Managed Private | On-Premise |
|---|---|---|---|---|
| AVV Art. 28 | Nein | Ja | Ja, ab Tag 1 | Entfällt (intern) |
| Training auf Ihren Daten | Möglich | Ausgeschlossen | Ausgeschlossen | Ausgeschlossen |
| Datenresidenz | Unklar | Teils EU-Option | Frankfurt (dediziert) | Eigenes Haus |
| §203-Absicherung | Nein | Nicht Standard | Ja (Compliance-Tarif) | Eigene Verantwortung |
| Aufwand für Sie | Keiner | Gering | Gering | Hoch |
| Kosten/Nutzer/Monat | 0–23 € | ca. 25–60 € | 29–59 € | Hardware + Betrieb |
4. Checkliste: 10 Punkte zur Anbieterbewertung
Egal, für welchen Weg Sie sich entscheiden — diese zehn Fragen sollte jeder KI-Anbieter schriftlich beantworten können, bevor ein einziger Prompt mit echten Daten gesendet wird:
- AVV: Gibt es einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — und ist er Vertragsbestandteil, nicht Verhandlungssache?
- Trainingsausschluss: Ist vertraglich zugesichert, dass Ihre Eingaben nicht für Modelltraining verwendet werden?
- Speicherort: Wo liegen Ihre Daten dauerhaft — und ist der Hosting-Anbieter EU- oder US-Jurisdiktion?
- Inferenz-Standort: Wo läuft die Modellverarbeitung, und werden Prompts dabei gespeichert?
- Subunternehmer: Liegt eine vollständige, aktuelle Liste aller Subprozessoren vor?
- §203-Verpflichtung: Bietet der Anbieter Berufsgeheimnisträgern eine schriftliche Verpflichtungserklärung nach §203 Abs. 4 StGB?
- Löschung: Können Sie die vollständige Löschung Ihrer Daten verlangen und verifizieren (Art. 17 DSGVO)?
- Zugriffskontrolle: Wer beim Anbieter kann technisch auf Ihre Inhalte zugreifen — und wird jeder Zugriff protokolliert?
- Mandantenfähigkeit: Sind Ihre Daten von denen anderer Kunden isoliert (dedizierte Instanz) oder nur logisch getrennt?
- AI-Act-Reife: Erfüllt der Modellanbieter seine GPAI-Pflichten (Art. 53), und unterstützt der Anbieter Sie bei der Schulungspflicht nach Art. 4?
Faustregel: Ein seriöser Anbieter beantwortet alle zehn Punkte ohne Rückfrage und schriftlich. Wer bei Punkt 1, 2 oder 5 ausweicht, ist für personenbezogene Daten keine Option — bei Punkt 6 gilt das für jeden, der unter §203 StGB fällt.
5. Implementierung im Team: Richtlinie, Schulung, Schatten-KI
Schatten-KI: Das Problem, das Sie bereits haben
Die unbequeme Wahrheit zuerst: Ihre Mitarbeitenden nutzen KI bereits — mit oder ohne Freigabe. Wer kein konformes Werkzeug bereitstellt, bekommt keine KI-freie Organisation, sondern Schatten-KI: private ChatGPT-Konten, in die Mandantenschreiben, Patientennotizen und Vertragsentwürfe kopiert werden, ohne AVV, ohne Kontrolle, ohne Protokoll. Das wirksamste Gegenmittel ist nicht das Verbot, sondern ein offizielles, gleichwertig gutes Werkzeug plus klare Regeln.
Die KI-Richtlinie: Eine Seite genügt
Eine brauchbare KI-Richtlinie für ein kleines oder mittleres Team passt auf eine Seite und beantwortet vier Fragen: Welche Tools sind freigegeben? (Namentlich, mit Versionsangabe.) Welche Daten dürfen hinein? (Z. B.: freigegebenes Tool = auch personenbezogene Daten; alles andere = nur anonyme Inhalte.) Was ist tabu? (Etwa Gesundheitsdaten, sofern das Tool dafür nicht freigegeben ist.) Wer ist Ansprechperson bei Unsicherheit? Ergänzen Sie eine Prüfpflicht: KI-Ergebnisse werden vor Verwendung fachlich kontrolliert — die Verantwortung bleibt beim Menschen.
Schulung: Seit Februar 2025 Pflicht, nicht Kür
Mit Art. 4 des EU AI Act ist KI-Kompetenz seit dem 2. Februar 2025 eine rechtliche Anforderung. In der Praxis genügt für die meisten Teams eine kurze, dokumentierte Schulung: Was kann das Tool, was kann es nicht (Stichwort Halluzinationen), welche Daten dürfen hinein, wie prüft man Ergebnisse. Wiederholen Sie das jährlich und beim Onboarding — und dokumentieren Sie die Teilnahme. Branchenspezifische Einstiege finden Sie auf unseren Seiten für Kanzleien, Steuerberater und Arztpraxen sowie im Praxisbeitrag KI für Steuerberater: Use-Cases und DATEV-Integration.
6. Häufige Fragen (FAQ)
Ist ChatGPT DSGVO-konform?
Die kostenlose und die Plus-Version sind für personenbezogene Unternehmensdaten nicht geeignet: Eingaben können standardmäßig für das Training verwendet werden, und es gibt keinen AVV. ChatGPT Team und Enterprise bieten einen AVV und schließen Training auf Kundendaten aus — die CLOUD-Act-Problematik und die fehlende §203-Absicherung bleiben jedoch bestehen. Für Berufsgeheimnisträger ist das in der Regel nicht ausreichend.
Brauche ich für jedes KI-Tool einen AVV nach Art. 28 DSGVO?
Ja, sobald das Tool personenbezogene Daten in Ihrem Auftrag verarbeitet. Ohne schriftlichen AVV ist der Einsatz ein Verstoß gegen Art. 28 Abs. 3 DSGVO — unabhängig davon, wie gut der Anbieter technisch abgesichert ist. Prüfen Sie zusätzlich die Subunternehmerliste und den Ort der Verarbeitung.
Was bedeutet §203 StGB für den KI-Einsatz in Kanzleien und Praxen?
§203 StGB stellt die unbefugte Offenbarung von Berufsgeheimnissen unter Strafe. Berufsgeheimnisträger dürfen externe IT-Dienstleister nur einbeziehen, wenn diese vertraglich zur Geheimhaltung verpflichtet sind und die Offenbarung auf das Erforderliche beschränkt bleibt. Ein Standard-Cloud-KI-Abo ohne entsprechende Verpflichtungserklärung erfüllt diese Anforderung in der Regel nicht. Details: unser Kanzlei-Beitrag zu §203 StGB.
Reicht ein EU-Rechenzentrum eines US-Anbieters für die DSGVO aus?
Ein EU-Rechenzentrum verbessert die Datenresidenz, löst aber nicht jedes Problem: US-Mutterkonzerne unterliegen dem CLOUD Act und können zur Herausgabe verpflichtet werden, unabhängig vom Speicherort. Entscheidend ist die Gesamtarchitektur — wo Daten dauerhaft liegen, wer Zugriff hat und ob die Inferenz ohne Speicherung erfolgt.
Was kostet DSGVO-konforme KI für ein kleines Team?
Enterprise-Versionen großer Anbieter beginnen bei etwa 25–30 € pro Nutzer und Monat. Managed-Private-Lösungen wie ClapNClaw kosten 29 € (Team) bzw. 59 € (Compliance, inkl. §203-Absicherung) pro Nutzer und Monat. On-Premise-Open-Source ist in der Lizenz kostenlos, verursacht aber Hardware- und Betriebskosten, die für kleine Teams meist deutlich darüber liegen.
DSGVO-konforme KI für Ihr Team — ohne eigene IT-Abteilung
Claude in Ihrem eigenen Container in Frankfurt, AVV ab Tag 1, §203-Absicherung im Compliance-Tarif. In einer 30-minütigen Demo zeigen wir Ihnen Architektur und Verträge im Detail.
Compliance-Demo anfragenHinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Rechtslage zu DSGVO, §203 StGB und EU AI Act entwickelt sich laufend weiter; verbindliche Aussagen für Ihren Einzelfall kann nur eine anwaltliche Beratung treffen. Stand: Juni 2026.