DSGVO-konforme KI in der Praxis — welche LLMs Sie für Kundendaten wirklich nutzen dürfen (und welche nicht)
Die meisten KI-Compliance-Diskussionen verlieren sich in Allgemeinplätzen. Hier ist die handfeste Liste: welche Modelle, welche Endpunkte, welche Vertragslage Sie 2026 brauchen, um Kundendaten verarbeiten zu können — ohne dass Ihre Datenschutzbeauftragte schwarz wird.
Ein Geschäftsführer schreibt: „Wir nutzen ChatGPT seit einem Jahr, auch mit Kundendaten — ist das eigentlich erlaubt?" Die ehrliche Antwort: vermutlich nicht. Nicht, weil ChatGPT böse ist, sondern weil die Default-Nutzung der kostenlosen oder Plus-Variante personenbezogene Daten in einer Form verarbeitet, die DSGVO Art. 28, Art. 44 und mit dem AI Act ab August 2026 auch Art. 26 verletzt.
Das Frustrierende an dieser Debatte: Sie wird oft zu allgemein geführt. „KI ist schwierig mit DSGVO" hilft niemandem. Was hilft: eine klare Liste, welches Modell unter welcher Vertragsform mit welchem Endpunkt für welche Datenkategorien tatsächlich nutzbar ist. Genau diese Liste wollen wir hier durchgehen.
Drei Risiko-Klassen von Daten
Bevor wir über Modelle reden: Sie müssen unterscheiden, was Sie verarbeiten.
Klasse A — anonyme oder pseudonyme Daten. Aggregierte Statistik, anonymisierte Texte, generische Anfragen ohne Personenbezug. Hier ist die DSGVO weitgehend gleichgültig. Sie können prinzipiell jedes Modell nutzen, müssen aber sicherstellen, dass die Anonymisierung wirklich stattfindet — und nicht erst, nachdem das Modell die Daten gesehen hat.
Klasse B — normale personenbezogene Daten. Namen, E-Mails, Telefonnummern, Adressen, Bestelldaten, Vertragsdaten. Hier greift die DSGVO voll: Verarbeitungsverzeichnis, AVV mit dem Anbieter, EU-Verarbeitung oder gleichwertiges Schutzniveau, klare Rechtsgrundlage.
Klasse C — besondere Kategorien (Art. 9 DSGVO). Gesundheitsdaten, biometrische Daten, religiöse, politische, gewerkschaftliche Daten, sexuelle Orientierung. Plus de facto: Anwalts-Mandats-Daten, Steuerinterna, sensible HR-Daten. Hier sind die Anforderungen drastisch verschärft — und viele „normale" KI-Setups sind nicht mehr ausreichend.
Welche Anbieter heute (Mai 2026) DSGVO-konform nutzbar sind
Anthropic Claude — über AWS Bedrock (EU Frankfurt). Standard. Vertragslage seit dem SAP-Deal Mai 2026 deutlich vereinfacht. Daten bleiben in der EU, kein Training auf Ihren Eingaben, AVV ist Vertragsstandard. Geeignet für Klasse A und B. Für Klasse C nur mit zusätzlichen Verträgen und Datenminimierung.
Anthropic Claude — direkter API-Zugang (Enterprise-Plan). Auch hier: EU-Hosting verfügbar (Region „eu-central-1"), kein Training, AVV. Im Privacy-Statement explizit. Geeignet für Klasse A/B. Für C wie oben.
OpenAI GPT-5.2 — über Azure OpenAI Service (EU). Microsofts Cloud-Variante. Daten verbleiben in EU-Rechenzentren, kein Training, BAA-äquivalente Verträge. Für die meisten B-Anwendungsfälle das DSGVO-praktischste Setup, da Microsoft-Verträge ohnehin in vielen Unternehmen vorliegen.
OpenAI GPT direkt API. Mittlerweile ebenfalls mit „EU Data Residency" buchbar, aber nur in Enterprise- und höher gepreisten Plänen. Wer ChatGPT Plus oder die Free-API nutzt, hat nicht denselben Schutz — die Daten können in den USA verarbeitet werden, und ohne explizites Opt-out fließen sie potenziell in Modell-Training.
Google Gemini 3.1 Pro — über Vertex AI (EU). Google Cloud, EU-Region, kein Training, AVV. Für Multimodal-Workflows mit Klasse A/B oft die ergonomischste Wahl.
Mistral Large 3 (Frankreich). EU-Anbieter, EU-Hosting nativ. Datenschutzrechtlich eines der saubersten Setups — kein Drittstaaten-Transfer überhaupt nötig. Modellqualität in 2026 nahe an Frontier-Niveau für die meisten Geschäftsanwendungen.
Lokal gehostete Modelle (Llama 4, DeepSeek V4, Mistral). Sie betreiben das Modell auf eigener Hardware oder bei einem EU-Anbieter (Hetzner, OVH, IONOS). Datenschutzrechtlich die robusteste Variante — nichts verlässt Ihre Infrastruktur. Für Klasse C oft die einzig wirklich vertretbare Lösung.
Welche Anbieter Sie für Kundendaten nicht nutzen sollten
ChatGPT Plus / Free-Account. Daten können zur Modellverbesserung verwendet werden, kein AVV in der Form, die DSGVO Art. 28 verlangt. Personenbezogene Daten hier reinzukippen ist seit der ersten Stunde ein Compliance-Fehler.
Free-Tier-API-Zugänge. Bei vielen Anbietern haben die kostenlosen Stufen eingeschränkten Datenschutz. Wenn keine explizite „No Training" und „EU Residency" zugesichert ist, ist die Antwort: Finger weg von echten Daten.
Chinesische Anbieter direkt (DeepSeek, Qwen direkt). Datentransfer in die VR China ist DSGVO-rechtlich nicht zu rechtfertigen für personenbezogene Daten. Sie können die Modelle lokal hosten — dann ist es OK. Die gehosteten Versionen sind es nicht.
„Wir nutzen die Browser-Variante." Wenn Mitarbeiter auf ChatGPT.com Kundendaten einkopieren, ist das eine DSGVO-Verletzung, unabhängig davon, was das Unternehmen offiziell mit OpenAI ausgehandelt hat. Browser-Sessions laufen oft unter Privat-Accounts. Es braucht eine klare interne Regelung — und Sie brauchen Telemetrie, dass sie eingehalten wird.
Was bei Klasse-C-Daten zusätzlich nötig ist
Für Gesundheitsdaten, Mandats-Daten, sensible HR-Daten reicht „EU-Hosting plus AVV" oft nicht. Drei zusätzliche Schichten gehören dazu.
Datenminimierung vor dem Modell-Call. Bevor Klasse-C-Daten überhaupt an ein LLM gehen, durchlaufen sie ein lokales Modul, das Pseudonymisierung, Maskierung sensibler Felder, Entfernung identifizierender Marker erledigt. Erst dann der API-Call. Das Modell sieht „Patient_X" statt „Maria Müller, 1965".
Vollständiges Audit-Log. Jeder Call, jede Anfrage, jede Antwort, jeder Nutzer wird geloggt. Bei einer Anfrage einer Aufsichtsbehörde — DSB oder bald auch AI Office — können Sie binnen Stunden vorlegen, was wann mit welchen Daten passiert ist.
On-Premise oder Sovereign Cloud. Für die sensitivsten Fälle: Modell läuft auf Hardware in Ihrem Rechenzentrum oder bei einem deutschen Anbieter wie IONOS Cloud oder Open Telekom Cloud. Die Performance-Lücke zu Frontier-Modellen ist 2026 nicht mehr signifikant — und der Compliance-Vorsprung enorm.
Was Sie in den nächsten 14 Tagen konkret tun sollten
Die meisten Unternehmen sind sich nicht bewusst, wie die KI-Nutzung in ihrem Haus tatsächlich aussieht. Vier Schritte ändern das.
Bestandsaufnahme aller KI-Nutzungen. Welche Mitarbeiter nutzen welche KI-Tools mit welchen Daten? Eine ehrliche Umfrage — keine Verteufelung — gibt Ihnen die Karte des Risikos.
Klare interne Richtlinie verabschieden. Welche Tools sind freigegeben? Mit welchen Datenklassen? Wer entscheidet im Zweifel? Diese Richtlinie ist kein 30-seitiger Wälzer, sondern eine zweiseitige verständliche Liste.
Alternative bereitstellen, bevor Sie verbieten. Wenn Sie ChatGPT untersagen, ohne eine erlaubte Alternative zu bieten, fließt die Nutzung in den Untergrund — und Sie haben Schatten-KI ohne Kontrolle. Geben Sie Claude über Bedrock oder Mistral als freigegebene Variante frei.
Vertragsstand checken. Holen Sie sich für jeden produktiven KI-Anbieter den aktuellen AVV, das Data Processing Agreement und die Sub-Processor-Liste. Wenn der Anbieter das nicht liefert, ist er ab August 2026 nicht nur DSGVO-, sondern AI-Act-untauglich.
Was 2027 anders sein wird
Die Lage ändert sich schnell, aber drei Entwicklungen sind absehbar.
Mehr deutsche und europäische Anbieter. Mistral, Aleph Alpha (Heidelberg), Anwesenheits-getriebene Provider wie Helsing oder IONOS Cloud bauen vollständige EU-souveräne KI-Stacks. Die Qualitätslücke schließt sich, die Compliance-Lücke ist von vornherein nicht da.
Strengere Behördenpraxis. Erste Bußgelder gegen Unternehmen, die ChatGPT mit Kundendaten nutzen, sind bereits 2025 in Italien gefallen. Die Welle wird breiter. Wer heute aufräumt, ist sauber. Wer wartet, läuft in die Kontrollwelle hinein.
Standardisierte AI-Vendor-Assessments. Große Kunden werden in Lieferantenbewertungen explizit nach KI-Einsatz und Compliance fragen. Wer nicht antworten kann, fliegt aus dem Pool — egal wie gut das Produkt sonst ist.
Die nächsten 12 Monate sind kein „warten und sehen". Sie sind die Zeit, in der KI-Nutzung professionalisiert werden muss — von Schatten-Nutzung zu kontrolliertem, dokumentiertem, freigegebenem Einsatz. Wer das jetzt sauber aufsetzt, hat ab August 2026 keinen Stress. Wer es vor sich herschiebt, wird ihn haben.