DSGVO und KI: Business-KI in der EU betreiben
Du willst KI nutzen, um dein Business zu betreiben. Du bist in der EU. Deine Rechtsabteilung hat Fragen. Dieser Guide beantwortet sie.
Die Kernspannung
KI-Modelle brauchen Daten zum Arbeiten. Die DSGVO schränkt ein, wie du personenbezogene Daten verarbeitest. Das ist kein Widerspruch — aber das Standard-Setup der meisten KI-Tools verletzt die DSGVO by Design.
Wenn du “Fasse bei Sarah Chen wegen des Acme-Angebots nach” in ChatGPT tippst, hast du gerade personenbezogene Daten (Sarahs Name, ihre Geschäftsbeziehung zu Acme) an OpenAIs US-Server gesendet. Das ist ein transatlantischer Datentransfer. Unter der DSGVO brauchst du dafür eine Rechtsgrundlage.
Die drei Ebenen, die stimmen müssen
Ebene 1: Wo deine KI läuft
Das ist die wichtigste Entscheidung. Deine Optionen:
| Anbieter | Region | DSGVO-Auswirkung | CLOUD Act |
|---|---|---|---|
| Anthropic Direkt | USA | Transfer in die USA. Erfordert SCCs, DSFA. | ⚠️ Ja |
| Mistral AI | Paris, Frankreich | EU-Verarbeitung. Französisches Unternehmen als Auftragsverarbeiter. | ✅ Keiner |
| Lokales Modell (LLaMA, Qwen) | Eigene Hardware | Kein Transfer. Du bist der einzige Verarbeiter. | ✅ Keiner |
Empfehlung: Für maximale KI-Qualität: Claude via die direkte Anthropic-API (US-Transfer unter SCCs). Für echte EU-Souveränität ohne US CLOUD Act: Mistral AI — ein französisches Unternehmen mit eigenen Modellen und nativem Tool Calling, Verarbeitung komplett innerhalb Frankreichs. lynox unterstützt beide nativ über das LLM-Provider-Setup.
Ebene 2: Wo deine Daten leben
Wenn du eine Cloud-KI-Plattform nutzt (Lindy, Dust etc.), leben deine Geschäftsdaten auf deren Servern. Du fügst einen weiteren Auftragsverarbeiter zur Kette hinzu — und eine weitere Compliance-Oberfläche.
Bei self-hosted Software wie lynox bleiben deine Daten auf deinem Server. Der Datenfluss ist:
- Du → Dein Server (kein Dritter)
- Dein Server → KI-Anbieter (nur Gesprächskontext)
- Dein Server → lynox.ai (nichts — keine Telemetrie, keine Analytik)
Der KI-Anbieter ist dein einziger Auftragsverarbeiter. Du unterschreibst deren AVV direkt. Kein Mittelsmann.
Ebene 3: Welche Daten die KI erreichen
Selbst mit EU-basierter Verarbeitung solltest du minimieren, was das KI-Modell erreicht. Best Practices:
- Rohe API-Keys oder Passwörter vermeiden. lynox nutzt einen verschlüsselten Vault, der Secrets aus Gesprächen heraushält.
- Bewusst mit personenbezogenen Daten umgehen. Die KI braucht keine Ausweisnummern, um eine Follow-up-Mail zu schreiben.
- Das richtige Modell für die Aufgabe nutzen. Schnelle Tasks können kleinere Modelle nutzen, die weniger Kontext verarbeiten.
Artikel-für-Artikel-Checkliste
| DSGVO-Artikel | Was es bedeutet | Wie du compliant bist |
|---|---|---|
| Art. 5 — Minimierung | Nur nötige Daten verarbeiten | Gesprächskontext senden, keine Bulk-Exporte |
| Art. 17 — Recht auf Löschung | Nutzer können Löschung verlangen | Bei Self-Hosted: SQLite-Datei löschen |
| Art. 20 — Portabilität | Nutzer können Daten exportieren | SQLite-Dateien sind standardmässig portabel |
| Art. 25 — Privacy by Design | Datenschutz ins System einbauen | Self-hosted + verschlüsselter Vault + keine Telemetrie |
| Art. 28 — Auftragsverarbeitung | AVV mit Verarbeitern nötig | AVV direkt mit KI-Anbieter unterschreiben |
| Art. 44–49 — Internationale Transfers | Einschränkungen bei Nicht-EU-Transfers | Mistral AI (EU-Verarbeitung) oder ein lokales Modell nutzen; für Anthropic (USA) auf SCCs stützen |
Was du deinem DSB sagst
Gib ihm diese Zusammenfassung:
- Software (lynox): Quelloffen, läuft auf deinem Server. Kein Service — kein AVV mit lynox nötig.
- KI-Anbieter (Anthropic oder Mistral AI): Anthropic (USA) unter SCCs oder Mistral AI mit Verarbeitung komplett innerhalb Frankreichs. AVV jeweils direkt unterschreiben. Mistral AI reduziert das CLOUD-Act-Risiko erheblich — französisches Unternehmen, EU-Infrastruktur, kein US-Mutterkonzern.
- Datenfluss: Nutzer → unser Server → EU-basierter KI-Anbieter. Keine weiteren Dritten.
- Speicherung: SQLite auf unserem Server. Verschlüsselte Backups. Keine externe Datenbank.
- Telemetrie: Null. Die Software telefoniert nicht nach Hause.
Dann zeig ihm lynox.ai/de/vertrauen/eu-konformitaet/ für die detaillierte Aufschlüsselung.
Das Fazit
KI in der EU zu betreiben ist nicht schwer. Es geht darum, die richtigen architektonischen Entscheidungen vorab zu treffen:
- Self-hosten der Software (entfernt einen Verarbeiter aus der Kette)
- Den richtigen KI-Anbieter für dein Risikoprofil wählen — Anthropic (USA, unter SCCs) für höchste Modellqualität, Mistral AI (Frankreich) für keine CLOUD-Act-Exposition, oder ein lokales Modell für null externen Transfer
- Daten an das Modell minimieren (verschlüsselter Vault für Secrets)
lynox wurde genau für dieses Setup konzipiert. Ein Befehl zum Installieren, eine Config-Änderung für deinen bevorzugten Anbieter. Wähle zwischen Claude via der direkten Anthropic-API (beste KI-Qualität, US-Transfer unter SCCs), Mistral AI (französisch, EU-Verarbeitung, kein US-Mutterkonzern) oder lokalen Modellen (kein externer Datentransfer). Konsultiere dein Rechtsteam für deine spezifischen Compliance-Anforderungen.