DSGVO und KI: Was Unternehmen in Deutschland wissen müssen

Die DSGVO und Künstliche Intelligenz scheinen auf den ersten Blick schlecht zusammenzupassen. KI braucht Daten. Die DSGVO schützt Daten. Doch der Widerspruch ist kleiner als gedacht — wenn man es richtig macht.

Das Grundproblem

Viele populäre KI-Tools (ChatGPT, Google Gemini, etc.) verarbeiten Daten auf Servern in den USA. Das ist datenschutzrechtlich problematisch, sobald personenbezogene Daten im Spiel sind. Kundennamen, E-Mail-Adressen, Bestelldaten — all das darf nicht einfach an US-Server gesendet werden.

Die Lösung: KI auf eigener Infrastruktur

Es gibt heute leistungsfähige KI-Modelle, die auf europäischen Servern laufen — oder sogar lokal. Das bedeutet: Ihre Daten verlassen nie den deutschen Rechtsraum. Keine Übertragung in Drittländer, keine komplizierte Privacy-Shield-Diskussion.

Konkret heißt das:

Hosting auf deutschen Servern (z.B. Hetzner, IONOS) statt AWS oder Azure US-Regionen. KI-Modelle, die auf Ihrer eigenen Infrastruktur laufen. Keine Weitergabe von Kundendaten an Drittanbieter. Volle Kontrolle über Datenverarbeitung und -speicherung.

Was Sie konkret beachten müssen

Verarbeitungsverzeichnis: KI-gestützte Prozesse müssen in Ihrem Verarbeitungsverzeichnis dokumentiert werden. Welche Daten werden verarbeitet? Zu welchem Zweck? Auf welcher Rechtsgrundlage?

Transparenzpflicht: Ihre Kunden müssen wissen, wenn KI an der Verarbeitung ihrer Daten beteiligt ist. Das muss nicht kompliziert sein — ein Hinweis in der Datenschutzerklärung reicht oft aus.

Datensparsamkeit: Nur die Daten an die KI übergeben, die wirklich benötigt werden. Wenn Sie Angebotstexte generieren lassen, braucht die KI keine Kundenadressen.

Auftragsverarbeitung: Wenn ein externer Dienstleister (wie wir) KI-Systeme für Sie betreibt, ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht.

Der pragmatische Weg

DSGVO-konforme KI ist keine Raketenwissenschaft. Es erfordert saubere Architektur, bewusste Entscheidungen bei der Infrastruktur und einen Entwicklungspartner, der Datenschutz von Anfang an mitdenkt — nicht als Nachgedanken.

Bei Mentis ist DSGVO-Konformität kein Extra, sondern Standard. Alle unsere Lösungen laufen auf deutschen Servern, und wir verarbeiten Kundendaten nie über Drittanbieter-APIs, ohne das explizit abzustimmen.