Zum Inhalt springen
Alle Artikel
DSGVODatenschutzKICompliance

DSGVO-konforme KI: Was Unternehmen wissen müssen

KI und Datenschutz müssen kein Widerspruch sein. Dieser Leitfaden zeigt, wie du KI-Tools DSGVO-konform einsetzt. Mit konkreten Lösungen für den Mittelstand.

Chris Wentrup24. März 20264 Min

DSGVO-konforme KI: Was Unternehmen wissen müssen

Darf ich Kundendaten an ChatGPT schicken? Ist n8n DSGVO-konform? Brauche ich einen Auftragsverarbeitungsvertrag?

Diese Fragen hören wir in jedem zweiten Erstgespräch. Die Antwort ist meistens: "Kommt drauf an." Aber es gibt klare Regeln. Dieser Artikel erklärt sie.

Das Problem in 30 Sekunden

Die DSGVO verbietet nicht den Einsatz von KI. Sie verbietet die unkontrollierte Übertragung personenbezogener Daten an Dritte. Und genau das passiert, wenn du Kundennamen, E-Mail-Adressen oder Firmendaten in ChatGPT eintippst.

OpenAI sitzt in den USA. Daten, die du an die API sendest, werden dort verarbeitet. Ohne explizite Einwilligung des Betroffenen ist das ein DSGVO-Verstoß. Bußgelder: bis zu 20 Mio. EUR oder 4% des Jahresumsatzes.

3 Wege zur DSGVO-konformen KI

Weg 1: Selbst gehostete Modelle

Die sicherste Option. Du betreibst das KI-Modell auf deinem eigenen Server. Kein Datenfluss nach außen.

Tools: Ollama (Open Source, läuft auf Linux-Server), Modelle wie Qwen, LLaMA oder Mistral.

Vorteile: 100% Datenkontrolle. Keine API-Kosten. Keine Abhängigkeit von US-Anbietern.

Nachteile: Die Modelle sind kleiner als Claude oder GPT-4. Für einfache Aufgaben (Klassifizierung, Zusammenfassung) reichen sie. Für komplexe Analysen sind sie schwächer.

Kosten: Server mit GPU ab ca. 50 EUR/Monat. Oder CPU-only (langsamer, aber günstiger) ab 10 EUR/Monat.

Weg 2: API mit Datenvermeidung

Du nutzt leistungsstarke Modelle (Claude, GPT-4), aber sendest keine personenbezogenen Daten.

So funktioniert es: Vor jedem API-Call werden personenbezogene Daten entfernt oder pseudonymisiert. Statt "Herr Müller von Müller GmbH" wird "Kunde A von Firma B". Die KI arbeitet mit den anonymisierten Daten. Im Ergebnis werden die echten Daten wieder eingesetzt.

Tools: Ein "Strip PII" Node in n8n. Regex-basiert oder mit eigenem kleinen Modell.

Vorteile: Volle Modellqualität. DSGVO-konform, weil keine personenbezogenen Daten übertragen werden.

Nachteile: Aufwand für die Implementierung der PII-Entfernung. Nicht für alle Use Cases geeignet (z.B. wenn der Kundenname im Angebot stehen muss).

Weg 3: EU-basierte API-Anbieter

Einige KI-Anbieter bieten EU-Verarbeitung an. Du schließt einen Auftragsverarbeitungsvertrag (AVV) und die Daten bleiben in Europa.

Anbieter: Anthropic (Claude) bietet EU-Verarbeitung als Option. Azure OpenAI Service kann in EU-Rechenzentren betrieben werden. Aleph Alpha (deutsches Unternehmen) hostet komplett in Deutschland.

Vorteile: Starke Modelle, minimaler Implementierungsaufwand.

Nachteile: Teurer als Self-Hosting. Du bist weiterhin von einem externen Anbieter abhängig.

Was du konkret tun solltest

Für neue KI-Projekte:

  1. Datenkategorien definieren: Welche Daten fließen in die KI? Personenbezogen (Name, E-Mail, Firma) oder nicht (Produktdaten, Preise, Prozessbeschreibungen)?
  2. Verarbeitungsort klären: Wo wird das Modell betrieben? EU oder USA?
  3. AVV abschließen: Bei externen Anbietern immer einen Auftragsverarbeitungsvertrag verlangen.
  4. PII-Stripping einbauen: Bei jedem Workflow, der personenbezogene Daten an externe APIs sendet.
  5. Dokumentieren: Verzeichnis der Verarbeitungstätigkeiten aktualisieren.

Für bestehende Prozesse:

Prüfe jeden Workflow, in dem Mitarbeitende KI-Tools nutzen. Wer tippt Kundendaten in ChatGPT? Wer lädt Verträge in Cloud-Tools hoch? Das sind die häufigsten DSGVO-Risiken. Nicht die automatisierten Workflows, sondern die manuellen Umwege.

Unser Ansatz bei w2 Labs

Wir setzen auf Weg 1 + 2 in Kombination:

  • n8n auf eigenem Server: Alle Workflows laufen auf einem EU-VPS. Kein Datenfluss in die USA.
  • Supabase (EU): Datenbank für Kundendaten, gehostet in Frankfurt.
  • Claude API mit PII-Stripping: Für komplexe Analysen werden personenbezogene Daten vor dem API-Call entfernt.
  • Ollama für sensible Daten: Lokal gehostetes Modell für Dokumente, die das Unternehmen nicht verlassen dürfen.

Das Ergebnis: volle KI-Power bei voller DSGVO-Konformität. Ohne Kompromisse.

Checkliste: Ist dein KI-Einsatz DSGVO-konform?

  • Personenbezogene Daten werden nicht an US-Server gesendet (oder nur mit Einwilligung)
  • Auftragsverarbeitungsvertrag mit allen KI-Anbietern abgeschlossen
  • Verzeichnis der Verarbeitungstätigkeiten enthält KI-Nutzung
  • Mitarbeitende sind geschult, welche Daten sie in KI-Tools eingeben dürfen
  • PII-Stripping ist in automatisierten Workflows implementiert
  • Datenschutzerklärung erwähnt KI-Nutzung (falls relevant für Kunden)

Fazit

DSGVO und KI passen zusammen. Es erfordert Planung, aber keine Wunder. Die meisten Mittelständler können mit selbst gehosteten Tools und PII-Stripping 90% ihrer KI-Projekte DSGVO-konform umsetzen.

Der teuerste Fehler ist nicht die Technik. Es ist Unwissenheit. Wenn dein Team Kundendaten in ChatGPT tippt, hast du ein Problem. Wenn du KI-Workflows mit Datenschutz-First designst, hast du einen Wettbewerbsvorteil.

Klingt interessant?

Lass uns in einem kostenlosen Erstgespräch herausfinden, wie KI dein Unternehmen voranbringen kann.

Kostenloses Erstgespräch