← Zurück zum Blog

3. Juni 2026 · 2 Min. Lesezeit

DSGVO-konforme KI ist kein Ort, sondern ein Prozess

„Läuft in der EU, also konform“ ist zu kurz gedacht. Was KI wirklich datenschutzkonform macht — und eine einfache Matrix, welche Daten wohin dürfen.

AA
Anton Anders
IT-Berater & Entwickler

Kurz vorweg: „DSGVO-konforme KI” ist kein Produkt und kein Serverstandort, sondern ein Prozess. Konform wird eine KI-Nutzung nicht dadurch, dass sie „in Europa” läuft, sondern dadurch, dass ihr die Datenklasse bestimmt, eine Rechtsgrundlage habt, einen Auftragsverarbeitungsvertrag und ein Verarbeitungsverzeichnis führt und Zugriff wie Löschung geregelt ist. Der Hosting-Ort fällt am Ende dieses Prozesses heraus, nicht am Anfang.

Dieser Beitrag ergänzt die Frage, welche Daten überhaupt auf einen fremden Server gehören. Dort geht es um das Bauchgefühl. Hier geht es um das, was das Bauchgefühl belastbar macht.

„Konform, weil der Anbieter das sagt” reicht nicht

Der häufigste Denkfehler steckt in einem Satz: „Wir nutzen Copilot, und Microsoft sagt, das ist DSGVO-konform.” Ein Anbieter kann euch ein konformes Produkt und einen sauberen Vertrag liefern. Ob eure konkrete Nutzung konform ist, entscheidet er nicht. Das hängt daran, welche Daten ihr hineingebt, auf welcher Rechtsgrundlage, mit welchen Zugriffsrechten.

Das zeigt sich schnell in der Praxis. Ein KI-Assistent, der über zu weit gesetzte Berechtigungen plötzlich Gehaltslisten oder fremde Postfächer zusammenfasst, ist technisch „konform” eingekauft und trotzdem ein Datenschutzproblem. Die Verantwortung dafür bleibt bei euch, nicht beim Anbieter — dieselbe Logik, die auch bei Microsoft 365 und der DSGVO gilt.

Die Matrix: welche Daten wohin

Der Prozess beginnt mit einer Einordnung, die ihr für jeden Anwendungsfall einmal macht. Drei Klassen reichen für den Anfang:

DatenklasseBeispielWohin damit
Öffentlich / unkritischMarketingtexte, Recherche, öffentliche Infosjede seriöse Cloud-KI ist in Ordnung
Personenbezogen, pseudonymisierbarSupport-Anfragen, interne Notizen ohne KlarnamenEU-Cloud mit AVV, Daten vorher entschärfen
Sensibel / geheimVerträge, Personalakten, Gesundheits- und Finanzdatenlokal oder EU-souverän, nicht in eine offene API

Die Matrix ersetzt keine Prüfung, aber sie verhindert den teuersten Fehler: alles gleich zu behandeln. Die meisten Unternehmen kippen entweder alles bedenkenlos in die Cloud oder verbieten KI komplett. Beides ist bequem und beides ist falsch.

Der Rest ist Handwerk

Steht die Einordnung, ist der Rest bekannte Datenschutz-Arbeit: Rechtsgrundlage festhalten, den KI-Dienst ins Verarbeitungsverzeichnis aufnehmen, den AVV abschließen, bei hohem Risiko eine Datenschutz-Folgenabschätzung machen, Löschfristen und Zugriffe regeln. Nichts davon ist neu, nur weil „KI” draufsteht. Wer diesen Prozess nicht allein aufsetzen will, holt sich einmal Beratung statt ein weiteres Tool.

Dazu kommt seit 2025 die KI-Kompetenzpflicht aus dem AI Act (Artikel 4): Wer KI einsetzt, muss dafür sorgen, dass die Leute, die sie bedienen, sie auch verstehen. Das verlangt keinen zertifizierten Kurs und keine formale Dokumentationspflicht — es verlangt, dass eure Leute wissen, was das Werkzeug kann, was nicht, und welche Daten sie ihm geben dürfen. Womit wir wieder bei der Matrix wären.


Wollt ihr KI einführen, ohne beim Datenschutz zu raten? Schreib mir — wir sortieren eure Anwendungsfälle nach Datenklasse und klären, was wo laufen darf.

Häufige Fragen

Ist der Einsatz von KI überhaupt DSGVO-konform möglich? +

Ja, aber Konformität ist kein Produktmerkmal, sondern das Ergebnis eines Prozesses: Datenklasse bestimmen, Rechtsgrundlage festhalten, Auftragsverarbeitungsvertrag abschließen, Verarbeitungsverzeichnis führen sowie Zugriff und Löschung regeln.

Was gehört in einen KI-Datenschutz-Prozess? +

Eine Einordnung der Daten in Klassen (öffentlich, personenbezogen, sensibel), eine Rechtsgrundlage, der AVV mit dem Anbieter, der Eintrag im Verarbeitungsverzeichnis sowie geregelte Löschfristen und Zugriffsrechte.

Wann braucht es eine Datenschutz-Folgenabschätzung (DSFA) für KI? +

Bei hohem Risiko für die Betroffenen, etwa wenn sensible Daten wie Personal-, Gesundheits- oder Finanzdaten verarbeitet werden. Die DSFA ist Teil der bekannten Datenschutz-Arbeit, kein KI-Sonderrecht.

Reicht es, wenn der Anbieter DSGVO-Konformität zusichert? +

Nein. Ein Anbieter kann ein konformes Produkt und einen sauberen Vertrag liefern, aber ob eure konkrete Nutzung konform ist, hängt an euren Daten, eurer Rechtsgrundlage und euren Zugriffsrechten. Die Verantwortung bleibt bei euch.

Klingt nach deinem Thema?

Lass uns unverbindlich darüber reden — kostenlos und ohne Verpflichtung.