DSGVO & Regulierung

DSGVO-konforme KI-Tools — der realistische Leitfaden

Welche KI-Tools sind 2026 in Deutschland DSGVO-konform einsetzbar - und wo die Hersteller werben, ohne die Realität abzubilden.

„DSGVO-konform” ist beim KI-Einsatz kein Ja/Nein, sondern eine Kombination aus Vertragslage, technischer Maßnahmen und Datenart. Die gute Nachricht: für den typischen Business-Einsatz in Deutschland gibt es 2026 saubere Optionen. Die schlechte: Consumer-KI für Firmendaten bleibt ein Compliance-Risiko.

Was „DSGVO-konform” konkret bedeutet

Drei Kernfragen:

  1. Gibt es einen Auftragsverarbeitungsvertrag (AVV)? Ohne AVV gilt: Personenbezogene Daten dürfen nicht verarbeitet werden. Consumer-Versionen (ChatGPT Plus, Claude.ai Free, Gemini App) haben keinen AVV.
  2. Wo liegen die Daten physisch? EU-Hosting ist bevorzugt, weil es den CLOUD-Act-Konflikt entschärft.
  3. Werden Eingaben zum Training genutzt? Bei Firmenversionen („Enterprise”, „Business”, „Team”) standardmäßig nein - aber explizit bestätigen lassen.

Tools mit sauberer Business-Option

Microsoft 365 Copilot

Status: DSGVO-konform nutzbar mit Microsoft 365 Business/Enterprise Hosting: EU Data Boundary verfügbar, AVV in Standard-Lizenz enthalten. Gut für: Office-Produktivität (Outlook, Excel, Word, PowerPoint, Teams). Alles, was ohnehin in Microsoft 365 passiert.

Google Gemini Enterprise (Vertex AI)

Status: Seit April 2026 in der Region Frankfurt (europe-west3) verfügbar. AVV über Google Cloud Standard-Vertrag. Gut für: Gemini-API-Anwendungen mit Datenresidenz-Pflicht, NotebookLM Enterprise, Agent Builder.

Anthropic Claude

Status: DSGVO-konform via AWS Bedrock (Region Frankfurt) oder Google Cloud (Vertex AI). Anthropic Claude.ai-Webapp ist die Consumer-Variante - nicht Business-tauglich. Gut für: Lange Dokumente, Vertrags-Reviews, Codebasis-Arbeit mit Claude Code (API-basiert).

OpenAI ChatGPT Enterprise / Azure OpenAI

Status: DSGVO-konform via ChatGPT Enterprise (AVV) oder über Azure OpenAI (EU-Regions Sweden Central, Germany West Central). Gut für: Kunden, die ohnehin im Microsoft-Stack sind und Azure nutzen; allgemeine Chat-Anwendungen.

Mistral AI (Paris)

Status: Französischer Anbieter, EU-gehostet, DSGVO-nativ. Standard-AVV verfügbar. Gut für: Teams, die bewusst auf EU-Anbieter setzen. Modell-Performance liegt je nach Task zwischen GPT-4o und GPT-5-nano.

Aleph Alpha (Heidelberg)

Status: Deutscher Anbieter, volle Datensouveränität möglich. Gut für: Öffentlicher Sektor, kritische Infrastruktur, Kunden mit besonders strikten Datensouveränitäts-Anforderungen. Limit: Modell-Performance in allgemeinen Benchmarks nicht auf Niveau von GPT-5/Claude - aber für strukturierte Unternehmens- Aufgaben meist ausreichend.

Tools mit kritischem Status

Perplexity

Status: Für Recherche praktisch, aber Business-AVV erst in Enterprise-Tarif (Perplexity Enterprise Pro). Standard-Pro-Tarif ist nicht für Firmendaten gedacht. Empfehlung: Recherche mit anonymisierten Anfragen OK, keine Kundendaten oder Geschäftsgeheimnisse.

Gemini App / ChatGPT Plus / Claude.ai

Status: Consumer-Versionen. Kein AVV. Empfehlung: Nicht für Firmendaten. Mitarbeiter-Richtlinie: Privat- Nutzung möglich, Firmen-Nutzung über Enterprise-Tarif.

Character.AI, Grok, Copilot.Microsoft.com (Consumer)

Status: Unklar oder nicht konform. Empfehlung: In Firmen blockieren.

EU AI Act: zusätzliche Pflichten

Seit Mai 2026 greift Artikel 6 des AI Act. Wer KI in High-Risk- Bereichen einsetzt (Recruiting, Kredit-Scoring, Versicherung, kritische Infrastruktur), muss zusätzlich zum DSGVO-Schutz:

  • Risk-Assessment dokumentieren
  • Trainings-/Eingabedaten-Governance nachweisen
  • Menschliche Aufsicht sicherstellen
  • Logging 6 Monate aufbewahren

Diese Pflichten greifen zusätzlich zur DSGVO und sind nicht durch AVV allein erfüllt.

Prüf-Checkliste für neue KI-Tools im Unternehmen

  1. Gibt es einen AVV (Auftragsverarbeitungsvertrag)?
  2. Wo liegen die Daten physisch (EU / USA / sonst)?
  3. Werden Eingaben zum Modelltraining genutzt? (Schriftlich bestätigt?)
  4. Gibt es eine Datenschutz-Folgenabschätzung (DSFA) vorbereitet?
  5. Fällt die Anwendung unter AI-Act Artikel 6 (High-Risk)?
  6. Gibt es eine Betriebsvereinbarung mit dem Betriebsrat?
  7. Ist die Nutzung in der Mitarbeiter-Richtlinie geregelt?

Wenn auch nur eine Frage mit „Nein” oder „Weiß nicht” beantwortet wird: Nicht rollout-ready.

Unsere Empfehlung

Der pragmatische Stack für 2026:

  • Microsoft 365 Copilot als Office-Basis (wenn M365 vorhanden)
  • Claude via AWS Bedrock Frankfurt für API-basierte Anwendungen
  • Mistral als EU-Anbieter-Ergänzung wenn politisch gewünscht
  • Perplexity Enterprise Pro nur für Recherche mit klaren Regeln
  • Gemini Enterprise wenn Google Workspace statt M365

Kein KI-Tool ist von selbst DSGVO-konform. Konformität entsteht durch Vertrag + richtige Konfiguration + klare Mitarbeiter-Policy.

Dazu passend

Tools

News