AI CostGuard

Blog

DSGVO & KI: Was Sie über Ihre Daten bei OpenAI, Claude & Co. wissen müssen

Von Franz Bauer · 27. Juni 2026 · 5 Min. Lesezeit

Jeder Prompt ist ein Datentransfer. Wer KI im Unternehmen nutzt, schickt potenziell personenbezogene Daten an einen Anbieter — oft in die USA. Was das für die DSGVO bedeutet und wie Sie es sauber lösen, ohne auf gute Modelle zu verzichten.

Das Grundproblem: Prompts sind Daten

Kundennamen im Support-Chat, Vertragstexte in der Zusammenfassung, E-Mail-Inhalte in der Klassifikation — sobald personenbezogene Daten im Prompt stehen, greift die DSGVO. Der Anbieter wird zum Auftragsverarbeiter.

Was Sie brauchen: der AVV

Ein Auftragsverarbeitungsvertrag (AVV) mit jedem KI-Anbieter, der Ihre Daten verarbeitet. Die großen Anbieter (OpenAI, Anthropic, Google, Azure) bieten Standard-AVVs an. Ohne AVV ist die Nutzung rechtlich angreifbar.

Datenstandort: EU statt USA

Viele Anbieter erlauben inzwischen EU-Datenresidenz: Azure OpenAI in EU-Regionen, europäische Anbieter wie Mistral, oder offene Modelle self-hosted. Für sensible Daten ist das der sauberste Weg — die Daten verlassen den EU-Raum nicht.

Drei praktische Regeln

Der schöne Nebeneffekt

DSGVO und Kostenoptimierung ziehen oft am selben Strang: Wer Workloads anbieterneutral verteilt, kann sensible Fälle auf EU-Modelle und günstige Massen-Workloads auf die kosteneffizienteste Option legen — Compliance und Kostenkontrolle in einem Schritt.

Wie viel steckt bei Ihnen drin?

Der kostenlose Rechner zeigt die Größenordnung in zwei Minuten — komplett im Browser, keine Daten an uns.

Kostenlos berechnenAudit anfragen