DSGVO und KI: Business-KI in der EU betreiben
Du willst KI nutzen, um dein Business zu betreiben. Du bist in der EU. Deine Rechtsabteilung hat Fragen. Dieser Guide beantwortet sie.
Die Kernspannung
KI-Modelle brauchen Daten zum Arbeiten. Die DSGVO schränkt ein, wie du personenbezogene Daten verarbeitest. Das ist kein Widerspruch — aber das Standard-Setup der meisten KI-Tools verletzt die DSGVO by Design.
Wenn du “Fasse bei Sarah Chen wegen des Acme-Angebots nach” in ChatGPT tippst, hast du gerade personenbezogene Daten (Sarahs Name, ihre Geschäftsbeziehung zu Acme) an OpenAIs US-Server gesendet. Das ist ein transatlantischer Datentransfer. Unter der DSGVO brauchst du dafür eine Rechtsgrundlage.
Die drei Ebenen, die stimmen müssen
Ebene 1: Wo deine KI läuft
Das ist die wichtigste Entscheidung. Deine Optionen:
| Anbieter | Region | DSGVO-Auswirkung | CLOUD Act |
|---|---|---|---|
| Anthropic Direkt | USA | Transfer in die USA. Erfordert SCCs, DSFA. | ⚠️ Ja |
| AWS Bedrock | Frankfurt (eu-central-1) | EU-Verarbeitung. AWS EU-Entität als Auftragsverarbeiter. | ⚠️ US-Mutter |
| Google Vertex AI | Belgien (europe-west1) | EU-Verarbeitung. Google EU-Entität als Auftragsverarbeiter. | ⚠️ US-Mutter |
| Mistral | Paris, Frankreich | EU-Verarbeitung. Französisches Unternehmen als Auftragsverarbeiter. | ✅ Keiner |
| Scaleway | Paris, Frankreich | EU-Verarbeitung. Französisches Unternehmen als Auftragsverarbeiter. | ✅ Keiner |
| Nebius | Finnland / Niederlande | EU-Verarbeitung. EU-Infrastruktur. | ✅ Keiner |
| Lokales Modell (LLaMA, Qwen) | Eigene Hardware | Kein Transfer. Du bist der einzige Verarbeiter. | ✅ Keiner |
Empfehlung: Für maximale KI-Qualität: AWS Bedrock in Frankfurt (Claude-Modelle, EU-Datenresidenz). Für echte EU-Souveränität ohne US CLOUD Act: EU-native Anbieter wie Mistral (eigene Modelle, natives Tool Calling) oder Scaleway/Nebius (Open-Source-Modelle, günstiger). lynox unterstützt alle über das Custom Provider Setup.
Ebene 2: Wo deine Daten leben
Wenn du eine Cloud-KI-Plattform nutzt (Lindy, Dust etc.), leben deine Geschäftsdaten auf deren Servern. Du fügst einen weiteren Auftragsverarbeiter zur Kette hinzu — und eine weitere Compliance-Oberfläche.
Bei self-hosted Software wie lynox bleiben deine Daten auf deinem Server. Der Datenfluss ist:
- Du → Dein Server (kein Dritter)
- Dein Server → KI-Anbieter (nur Gesprächskontext)
- Dein Server → lynox.ai (nichts — keine Telemetrie, keine Analytik)
Der KI-Anbieter ist dein einziger Auftragsverarbeiter. Du unterschreibst deren AVV direkt. Kein Mittelsmann.
Ebene 3: Welche Daten die KI erreichen
Selbst mit EU-basierter Verarbeitung solltest du minimieren, was das KI-Modell erreicht. Best Practices:
- Rohe API-Keys oder Passwörter vermeiden. lynox nutzt einen verschlüsselten Vault, der Secrets aus Gesprächen heraushält.
- Bewusst mit personenbezogenen Daten umgehen. Die KI braucht keine Ausweisnummern, um eine Follow-up-Mail zu schreiben.
- Das richtige Modell für die Aufgabe nutzen. Schnelle Tasks können kleinere Modelle nutzen, die weniger Kontext verarbeiten.
Artikel-für-Artikel-Checkliste
| DSGVO-Artikel | Was es bedeutet | Wie du compliant bist |
|---|---|---|
| Art. 5 — Minimierung | Nur nötige Daten verarbeiten | Gesprächskontext senden, keine Bulk-Exporte |
| Art. 17 — Recht auf Löschung | Nutzer können Löschung verlangen | Bei Self-Hosted: SQLite-Datei löschen |
| Art. 20 — Portabilität | Nutzer können Daten exportieren | SQLite-Dateien sind standardmässig portabel |
| Art. 25 — Privacy by Design | Datenschutz ins System einbauen | Self-hosted + verschlüsselter Vault + keine Telemetrie |
| Art. 28 — Auftragsverarbeitung | AVV mit Verarbeitern nötig | AVV direkt mit KI-Anbieter unterschreiben |
| Art. 44–49 — Internationale Transfers | Einschränkungen bei Nicht-EU-Transfers | Bedrock Frankfurt, Vertex Belgien oder EU-native Anbieter (Mistral, Scaleway, Nebius) nutzen |
Was du deinem DSB sagst
Gib ihm diese Zusammenfassung:
- Software (lynox): Quelloffen, läuft auf deinem Server. Kein Service — kein AVV mit lynox nötig.
- KI-Anbieter (Bedrock/Vertex/Mistral/Scaleway): EU-basierte Verarbeitung. Deren EU-Entität ist der Auftragsverarbeiter. Standard-AVV verfügbar. EU-native Anbieter (Mistral, Scaleway) eliminieren das CLOUD-Act-Risiko vollständig.
- Datenfluss: Nutzer → unser Server → EU-basierter KI-Anbieter. Keine weiteren Dritten.
- Speicherung: SQLite auf unserem Server. Verschlüsselte Backups. Keine externe Datenbank.
- Telemetrie: Null. Die Software telefoniert nicht nach Hause.
Dann zeig ihm lynox.ai/de/vertrauen/eu-konformitaet/ für die detaillierte Aufschlüsselung.
Das Fazit
KI in der EU zu betreiben ist nicht schwer. Es geht darum, die richtigen architektonischen Entscheidungen vorab zu treffen:
- Self-hosten der Software (entfernt einen Verarbeiter aus der Kette)
- EU-basierten KI-Anbieter wählen (entfernt transatlantischen Transfer)
- Für maximale Souveränität einen EU-nativen Anbieter wie Mistral wählen — kein US-Mutterkonzern, kein CLOUD Act
- Daten an das Modell minimieren (verschlüsselter Vault für Secrets)
lynox wurde genau für dieses Setup konzipiert. Ein Befehl zum Installieren, eine Config-Änderung für deinen bevorzugten EU-Anbieter. Wähle zwischen Claude auf Bedrock Frankfurt (beste KI-Qualität), Mistral (EU-nativ, reduzierte CLOUD-Act-Exposition) oder lokalen Modellen (kein externer Datentransfer). Konsultiere dein Rechtsteam für deine spezifischen Compliance-Anforderungen.