Von Hakan Akcan · Reepa Solutions
Wenn 2024 noch die Frage lautete, ob der Mittelstand überhaupt KI einsetzen sollte, geht es 2026 nur noch um das Wie. Microsoft Copilot ist in vielen Häusern flächendeckend ausgerollt, ChatGPT-Konten gehören in Vertrieb und Marketing zur Grundausstattung, eigene RAG-Systeme auf Basis von Claude oder Llama laufen produktiv. Genau in diesem Moment fällt vielen Geschäftsleitungen auf, dass die DSGVO-Anforderungen nicht warten — und dass eine fehlende Rechtsgrundlage, ein nicht abgeschlossener Auftragsverarbeitungsvertrag oder eine versäumte Datenschutz-Folgenabschätzung im Audit teuer werden. Dieser Artikel zeigt, was für deutsche mittelständische Unternehmen 2026 konkret zu beachten ist, welche fünf Knackpunkte die DSGVO bei KI-Einsatz adressiert, was in einen AVV mit OpenAI oder Anthropic gehört, wie der Schrems-II-Effekt heute zu bewerten ist und mit welcher 10-Punkte-Checkliste Sie einen Roll-out sauber absichern. Für die Gesamteinordnung in die KI-Strategie siehe unseren KI-Guide für den Mittelstand.
Warum KI und DSGVO 2026 zusammen gedacht werden müssen
Die Datenschutzkonferenz hat 2024 ihre „Orientierungshilfe KI und Datenschutz“ veröffentlicht und 2025 zweimal aktualisiert. Die Kernaussage: die DSGVO gilt vollumfänglich auch für KI-Systeme, ergänzt seit August 2024 durch den EU AI Act — die Regelwerke überschneiden sich, ersetzen sich nicht. Wer eine KI-Anwendung produktiv setzt, ohne die DSGVO-Anforderungen sauber dokumentiert zu haben, riskiert Bußgelder bis 20 Mio. Euro oder 4 % des Jahresumsatzes, persönliche Haftung der Geschäftsleitung und Reputationsschäden in Lieferanten-Audits.
Im operativen Alltag treffen Datenschutz-Verantwortliche typischerweise auf drei Szenarien: den unkontrollierten Wildwuchs mit privaten ChatGPT-Konten, den halbformalen Einsatz mit geschäftlichem Tarif aber ohne dokumentierte Rechtsgrundlage, und den sauber geplanten Roll-out — genau dort wollen wir Sie hinbringen.
Die fünf DSGVO-Knackpunkte bei KI-Einsatz
Aus den über 99 Artikeln der DSGVO sind beim KI-Einsatz fünf Themen wirklich entscheidend. Wer diese fünf Punkte sauber dokumentiert hat, ist gegenüber Aufsicht und Audit gut aufgestellt.
1. Rechtsgrundlage nach Art. 6 DSGVO. Praktisch kommen drei Grundlagen in Frage: Einwilligung (lit. a, im Beschäftigten-Kontext problematisch — Betriebsvereinbarung nach § 26 BDSG bevorzugt), Vertrag (lit. b, solange das KI-Tool zur Leistung kausal erforderlich ist) und berechtigtes Interesse (lit. f, mit dokumentierter Interessen-Abwägung).
2. Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO. Daten dürfen nur für den ursprünglichen Erhebungs-Zweck verarbeitet werden. Kunden-Daten aus der Vertragsabwicklung ohne Weiteres in ein Fine-Tuning einzuspielen ist eine Zweckänderung — sie braucht eigene Rechtsgrundlage oder eine Kompatibilitäts-Prüfung nach Art. 6 Abs. 4.
3. Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Keine Voll-Dokumente in den Prompt, wenn ein Auszug reicht; keine Klar-Namen, wenn Pseudonyme genügen; keine echten Test-Daten, wenn synthetische den Zweck erfüllen.
4. Transparenz nach Art. 13 und 14 DSGVO. Betroffene müssen wissen, dass und wie ihre Daten in einem KI-System verarbeitet werden — das verlangt eine aktualisierte Datenschutz-Erklärung, ein Verzeichnis nach Art. 30 und Beschäftigten-Information. Art. 22 verbietet automatisierte Einzelfall-Entscheidungen mit rechtlicher Wirkung mit drei eng begrenzten Ausnahmen.
5. Betroffenenrechte nach Art. 15 bis 22 DSGVO. Auskunft, Berichtigung, Löschung, Widerspruch — diese Rechte müssen auch beim KI-Einsatz ausführbar sein. Praktische Lösungen siehe Abschnitt Betroffenenrechte.
Kostenlose KI-DSGVO-Erstberatung anfordern
Sie planen einen KI-Roll-out und wollen die DSGVO-Anforderungen sauber abdecken — von der Rechtsgrundlage über den AVV bis zur DSFA? Wir bieten ein 30-minütiges Erstgespräch ohne Kosten: wir bewerten Ihren geplanten Anwendungsfall, sichten die wichtigsten Knackpunkte und schlagen einen Fahrplan vor.
Kostenloses Erstgespräch anfragenAuftragsverarbeitung mit KI-Anbietern — was in den AVV hineingehört
Sobald ein externer KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Das gilt für ChatGPT Enterprise, Claude for Work, Microsoft Copilot, Google Gemini for Workspace, für jedes spezialisierte KI-SaaS und auch für selbst gehostete Open-Source-Modelle, sobald ein externer Cloud-Anbieter die Infrastruktur stellt. Die folgenden zehn Punkte sollten in keinem AVV fehlen:
- Konkrete Beschreibung des Verarbeitungs-ZwecksWelche Art von Daten wird verarbeitet, zu welchem Zweck, in welchem Umfang. „Bereitstellung eines KI-Dienstes“ ist zu unspezifisch — gefordert ist eine konkrete Auflistung der Datenkategorien und Verarbeitungstätigkeiten.
- Datenresidenz und SpeicherortGeografische Festlegung, in welchen Rechenzentren die Daten gespeichert und verarbeitet werden. EU-Standorte (Deutschland, Niederlande, Irland) sind die saubere Wahl. Die Klausel muss verbindlich sein, nicht nur „in der Regel“.
- Sub-Processing transparent gelistetAlle Unter-Auftragsverarbeiter mit Namen, Sitz und Funktion. OpenAI nutzt Microsoft Azure als Sub-Processor, Anthropic nutzt AWS — das gehört explizit in den AVV, mit Genehmigungs-Vorbehalt für neue Sub-Prozessoren.
- Training-Opt-out ausdrücklich geregeltKlare Zusicherung, dass Ihre Daten nicht für das Training oder die Verbesserung der Modelle verwendet werden. Diese Klausel ist bei geschäftlichen Tarifen Standard, bei Consumer-Tarifen nicht — und macht den juristischen Unterschied.
- Technische und organisatorische MaßnahmenKonkrete Auflistung der TOMs nach Art. 32 DSGVO — Verschlüsselung in Ruhe und in Übertragung, Zugriffs-Kontrollen, Mandanten-Trennung, Pen-Test-Frequenz, Zertifizierungen (ISO 27001, SOC 2 Type II).
- Lösch- und Rückgabe-Pflichten nach VertragsendeVerbindliche Frist für die Löschung aller Kunden-Daten nach Vertrags-Ende, mit Bestätigung. Typischerweise 30 bis 90 Tage. Auch Logs und Backups müssen umfasst sein.
- Unterstützung bei Betroffenen-AnfragenDer Anbieter muss bei Auskunfts-, Lösch- und sonstigen Anfragen unterstützen — mit klar dokumentiertem Prozess und Reaktionszeit. Selbst-Service-Tools im Admin-Portal sind hier ein klares Plus.
- Audit- und InspektionsrechteRecht, die Einhaltung des AVV zu prüfen — entweder durch eigene Audits oder durch unabhängige Zertifizierungen wie ISO 27018 und C5 (BSI Cloud Computing Compliance Criteria Catalogue).
- Meldepflichten bei DatenpannenVerbindliche Frist für die Meldung von Datenpannen — Standard sind 24 oder 48 Stunden, damit Sie die eigene 72-Stunden-Meldefrist nach Art. 33 DSGVO einhalten können.
- Haftung und VersicherungsschutzKlare Haftungs-Regelung mit angemessenen Höchst-Summen und Bestätigung einer Cyber-Versicherung des Anbieters. Auffallend niedrige Haftungs-Caps sind ein Verhandlungs-Ansatz.
Die großen Anbieter — Microsoft, Google, OpenAI, Anthropic, Amazon — bieten heute Standard-AVVs an, die diese Punkte größtenteils abdecken. Lesen Sie sie trotzdem vor der Unterschrift einmal vollständig durch oder lassen Sie sie von der Datenschutz-Beratung prüfen; die Standard-AVVs werden regelmäßig aktualisiert und Versionen unterscheiden sich.
Trainings-Daten — was darf rein, was nicht
Der riskanteste Bereich beim KI-Einsatz ist die Verwendung von Daten für Training und Fine-Tuning. Hier kollidieren zwei DSGVO-Prinzipien direkt: Zweckbindung und Datenminimierung. Personenbezogene Daten dürfen nur dann in ein Training fließen, wenn dafür eine eigene Rechtsgrundlage existiert und der ursprüngliche Erhebungs-Zweck die Training-Verwendung deckt — oder eine dokumentierte Kompatibilitäts-Prüfung nach Art. 6 Abs. 4 durchgeführt wurde.
Praktisch heißt das: Kunden-Daten aus dem CRM, Bewerber-Daten aus dem Recruiting, Mitarbeiter-Daten aus der Personalakte dürfen nicht ohne Weiteres in ein internes Fine-Tuning fließen. Sicher sind dagegen anonymisierte Daten, synthetische Daten, eigene Geschäfts-Dokumente ohne Personenbezug und Daten, für die eine ausdrückliche Einwilligung oder Betriebsvereinbarung vorliegt. Ein häufig übersehener Punkt: auch bei OpenAI oder Anthropic gilt für Geschäfts-Tarife ein Training-Opt-out als Vertragsgegenstand — bei der kostenlosen Consumer-Version ist das Gegenteil der Standard, was sie für jeden geschäftlichen Einsatz mit personenbezogenen Daten ungeeignet macht.
US-Anbieter und der Schrems-II-Effekt — Datenresidenz EU
Das EuGH-Urteil Schrems II vom Juli 2020 hat den Privacy Shield gekippt und Datentransfers in die USA jahrelang in eine rechtliche Grauzone gestürzt. Seit Juli 2023 gilt der Nachfolger — das EU-US Data Privacy Framework — auf Grundlage eines Angemessenheitsbeschlusses. Unter dem Framework zertifizierte US-Unternehmen können wieder als sicheres Drittland behandelt werden. OpenAI, Anthropic, Google, Microsoft und Amazon sind alle zertifiziert.
Trotzdem bleibt EU-Datenresidenz aus mehreren Gründen empfehlenswert: politische Stabilität (eine erneute Klage gegen das Framework läuft bereits), Audit-Effizienz, leichtere Betriebsrats-Verhandlungen und Branchen-Aufsichten wie BaFin, die EU-Verarbeitung empfehlen.
Praktisch bedeutet das: bei Microsoft Copilot wählen Sie EU-Datenresidenz im M365-Mandanten; bei Google Workspace die EU-Daten-Region-Option; bei OpenAI nutzen Sie ChatGPT Enterprise mit EU-Residenz oder die Azure-OpenAI-Variante (West Europe, Sweden Central); bei Anthropic die EU-Region in AWS Bedrock oder die native EU-Datenresidenz seit 2025. Vergleichende Hintergründe zur Bereitstellungs-Frage finden Sie in unserem Cluster zu LLM On-Premise vs Cloud.
Sub-Processing transparent machen
Ein in der Praxis oft unterschätzter Punkt: KI-Anbieter sind selten alleine. OpenAI verarbeitet einen Großteil seiner Workloads auf Microsoft Azure, Anthropic auf AWS, einige spezialisierte Anbieter auf Google Cloud Platform — das macht den Cloud-Hyperscaler zum Unter-Auftragsverarbeiter mit eigenem Verarbeitungs-Zugriff. Im AVV nach Art. 28 DSGVO muss dieses Sub-Processing transparent dokumentiert sein.
| KI-Anbieter | Primärer Sub-Processor | EU-Datenresidenz möglich | AVV-relevant |
|---|---|---|---|
| OpenAI (ChatGPT Enterprise / API) | Microsoft Azure | Ja (EU-Mandant, Azure-Regionen) | Beide DPAs nötig |
| Anthropic (Claude / API) | Amazon Web Services | Ja (EU-Region seit 2025) | Beide DPAs nötig |
| Microsoft Copilot (M365) | Eigene Azure-Infrastruktur | Ja (EU-Datenresidenz wählbar) | Microsoft-DPA umfasst |
| Google Gemini for Workspace | Eigene GCP-Infrastruktur | Ja (EU-Region wählbar) | Google-DPA umfasst |
| Mistral AI (La Plateforme) | Azure / GCP / eigene | Ja (Frankreich primär) | Mistral-DPA umfasst |
Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO und die Datenschutz-Erklärung gegenüber Betroffenen müssen diese Sub-Processing-Kette abbilden — sonst ist die Transparenz-Pflicht nach Art. 13 DSGVO verletzt. Ein häufiger Fehler in Audits: das Unternehmen führt OpenAI als Auftragsverarbeiter, vergisst aber Microsoft Azure als Sub-Prozessor, obwohl Azure faktisch die Server stellt.
Betroffenenrechte: Auskunft, Löschung, Widerspruch bei LLM-Outputs
Die größte operative Hürde bei KI-Systemen sind die Betroffenenrechte. Wenn ein Kunde nach Art. 15 DSGVO Auskunft verlangt, müssen Sie wissen, welche Daten in welchem KI-System über ihn vorliegen — und in welchen Konversationen er auftaucht. Drei Mechanismen helfen:
Konversations-Logging mit Such-Funktion. Enterprise-Tarife (ChatGPT Enterprise, Claude for Work, Copilot, Gemini for Workspace) bieten Admin-Konsolen mit Inhalts-Suche. Bei einer Anfrage suchen Sie nach Name, E-Mail oder Kunden-Nummer und exportieren die Treffer.
Lösch-Workflow im Admin-Portal. Bei Art.-17-Anfragen löschen Sie alle Konversationen mit Bezug zur betroffenen Person; Logs und Backups folgen den AVV-Löschfristen.
Modell-Gewicht und Trainings-Daten. Ohne eigenes Training beschränkt sich das Auskunfts- und Lösch-Recht auf die Konversations-Logs — das Modell-Gewicht selbst ist nach herrschender Auslegung kein personenbezogenes Datum. Das ist die wichtigste praktische Vereinfachung und ein starker Grund, von eigenem Fine-Tuning mit Personen-Daten abzusehen.
Art. 22 DSGVO verdient besondere Aufmerksamkeit: bei automatisierten Einzelfall-Entscheidungen mit rechtlicher Wirkung gilt ein Verbot mit drei Ausnahmen. KI-gestützte Bewerber-Vorauswahl und Bonitäts-Bewertung fallen typischerweise darunter — die Lösung ist ein menschlicher Entscheidungs-Schritt, transparent dokumentiert.
Datenschutz-Folgenabschätzung — wann verpflichtend
Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Die deutschen Aufsichtsbehörden haben Negativlisten veröffentlicht — wenn drei Kriterien zutreffen, ist eine DSFA praktisch immer Pflicht. Beim KI-Einsatz lösen typischerweise diese Konstellationen die DSFA-Pflicht aus:
- Bewerber-Screening mit KI-Vorauswahl — automatisierte Bewertung mit potenziell rechtlicher Wirkung
- Mitarbeiter-Analytics (People Analytics) — systematische Überwachung mit Profiling-Charakter
- Kunden-Profiling und Verhaltens-Vorhersage — etwa zur Churn-Prognose oder Cross-Sell-Bewertung
- Bonitäts- und Risiko-Bewertung mit KI — klassisches Profiling nach Art. 22
- Biometrische Verfahren — Gesichts-, Stimm-, Verhaltens-Erkennung
- KI in sensiblen Bereichen — Gesundheit, religiöse Überzeugungen, sexuelle Orientierung, ethnische Herkunft
- Großflächige Überwachung öffentlicher Bereiche — Kamera-Auswertung im Zugangs-Bereich
Eine DSFA dauert typischerweise zwei bis sechs Wochen und besteht aus einer systematischen Beschreibung der Verarbeitung, einer Bewertung der Notwendigkeit und Verhältnismäßigkeit, einer Risiko-Bewertung und einer Beschreibung der ergriffenen Schutzmaßnahmen. Bei Restrisiken muss die Aufsichtsbehörde nach Art. 36 konsultiert werden — das hat in den letzten Jahren mehrere bekannte KI-Anwendungen erheblich verzögert. Beziehen Sie die DSFA daher früh in die Roll-out-Planung ein, nicht erst kurz vor dem Go-live.
Checkliste vor dem Roll-out — 10 Punkte
- 1. Anwendungsfall und Datenarten dokumentiertWelche personenbezogenen Daten werden konkret in welchem Schritt verarbeitet? Diese Antwort steht ganz am Anfang und entscheidet über alle nachfolgenden Punkte.
- 2. Rechtsgrundlage nach Art. 6 DSGVO bestimmt und dokumentiertEinwilligung, Vertrag oder berechtigtes Interesse — mit dokumentierter Abwägung, wenn lit. f gewählt wird. Bei Beschäftigten-Daten Betriebsvereinbarung nach § 26 BDSG.
- 3. AVV nach Art. 28 DSGVO geschlossenMit dem KI-Anbieter und allen relevanten Sub-Prozessoren. Auf EU-Datenresidenz, Training-Opt-out und Lösch-Pflichten achten.
- 4. Verzeichnis von Verarbeitungstätigkeiten ergänztArt. 30 DSGVO — die KI-Verarbeitung wird als eigene Tätigkeit aufgeführt, mit allen Datenkategorien, Empfängern und Lösch-Fristen.
- 5. Datenschutz-Erklärung aktualisiertInformation nach Art. 13 und 14 DSGVO — Betroffene erfahren von der KI-Nutzung, von den Anbietern, von den Übermittlungen und von ihren Rechten.
- 6. Beschäftigte informiert oder Betriebsvereinbarung geschlossenBei Mitarbeiter-relevanten KI-Anwendungen ist die Mitbestimmung nach § 87 BetrVG einschlägig. Frühzeitig Betriebsrat einbinden, nicht erst zur Go-live-Ankündigung.
- 7. DSFA durchgeführt, wenn PflichtBei hohem Risiko nach Art. 35 — mit Dokumentation, Restrisiko-Bewertung und gegebenenfalls Aufsichts-Konsultation nach Art. 36.
- 8. Technisch-organisatorische Maßnahmen umgesetztArt. 32 DSGVO — Verschlüsselung, Zugriffs-Kontrolle, Lösch-Prozesse, Logging, Trainings-Opt-out aktiviert, Sensitive-Data-Filter falls vorhanden.
- 9. Prozesse für Betroffenenrechte etabliertWer beantwortet eine Auskunfts-Anfrage in 30 Tagen? Welche Such-Funktionen werden genutzt? Wer löscht in den Admin-Konsolen? Diese Verantwortlichkeiten gehören in das Datenschutz-Management-System.
- 10. Schulung und Nutzungs-Richtlinie kommuniziertMitarbeitende wissen, was sie eingeben dürfen und was nicht, welche Tarife freigegeben sind und welche Eskalations-Wege es bei Unsicherheit gibt. Eine kurze Awareness-Schulung deckt das ab. Vergleiche dazu unsere DSGVO IT-Sicherheits-Checkliste.
Wer diese zehn Punkte sauber abarbeitet, hat den DSGVO-Anteil eines KI-Roll-outs solide abgedeckt. Die Restthemen — EU AI Act, branchenspezifische Aufsicht, Cyber-Versicherung — bauen auf dieser Basis auf. Vertiefend zur AI-Act-Seite siehe unseren Cluster zum EU AI Act für den Mittelstand.
Häufige Fragen
Darf ich personenbezogene Daten in ChatGPT, Claude oder Gemini eingeben?
Grundsätzlich nur dann, wenn ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter geschlossen ist, eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt und die Betroffenen nach Art. 13 DSGVO informiert wurden. Bei kostenlosen Consumer-Versionen von ChatGPT, Claude oder Gemini ist das in aller Regel nicht der Fall — die Eingabe personenbezogener Daten ist dort daher unzulässig. Geschäftliche Tarife wie ChatGPT Enterprise, Claude for Work, Microsoft Copilot for Microsoft 365 oder Google Workspace mit Gemini bieten passende AVV-Verträge und EU-Datenresidenz an und sind die regulatorisch saubere Wahl.
Brauchen wir für jeden KI-Einsatz eine Datenschutz-Folgenabschätzung?
Nicht für jeden, aber für viele. Art. 35 DSGVO verlangt eine DSFA, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Die Aufsichtsbehörden in Deutschland haben Negativlisten veröffentlicht, die unter anderem den Einsatz neuer Technologien und das Profiling explizit benennen — beides trifft auf KI-Systeme regelmäßig zu. In der Praxis ist die DSFA Pflicht bei Bewerber-Screening, Bonitäts-Bewertung, Kunden-Profiling, KI-gestützter Personalauswahl und biometrischen Verfahren. Reine Schreibassistenz ohne personenbezogene Daten löst dagegen keine DSFA-Pflicht aus.
Wie gehen wir mit dem Auskunftsrecht nach Art. 15 DSGVO um, wenn ein LLM die Daten nicht mehr „kennt“?
Entscheidend ist die Trennung zwischen Modell und Speicherung. Ein typisches LLM speichert Ihre Prompts und Antworten in einem Konversations-Protokoll beim Anbieter — auf dieses Protokoll bezieht sich das Auskunftsrecht. Die Antwort lautet daher: Sie geben Auskunft über alle Konversationen und Logs, die der Anbieter im Auftragsverarbeitungsverhältnis für Sie speichert. Das Modell-Gewicht selbst gilt nach herrschender Aufsichts-Auslegung nicht als personenbezogenes Datum im klassischen Sinn, solange keine Trainingsdaten verwendet wurden, die Personen identifizieren. Bei Eigen-Training oder Fine-Tuning gilt diese Vereinfachung nicht — dort wird das Auskunftsrecht komplex.
Welche Daten dürfen in das Training oder Fine-Tuning eines Modells einfließen?
Personenbezogene Daten dürfen nur dann zum Training oder Fine-Tuning verwendet werden, wenn dafür eine eigene Rechtsgrundlage nach Art. 6 DSGVO existiert — Einwilligung, Vertrag oder berechtigtes Interesse mit dokumentierter Abwägung. Die ursprüngliche Erhebungs-Rechtsgrundlage für andere Zwecke trägt nicht automatisch; Art. 5 Abs. 1 lit. b DSGVO verlangt Zweckbindung. Praktisch bedeutet das: Kunden-Daten aus dem CRM dürfen nicht ohne Weiteres in ein internes Fine-Tuning fließen. Sicher sind anonymisierte oder synthetische Trainings-Daten, eigene Geschäftsdokumente ohne Personenbezug, und Daten von Mitarbeitenden nur mit ausdrücklicher Information und in der Regel mit Betriebsrats-Vereinbarung.
Ist der Einsatz US-amerikanischer KI-Anbieter nach Schrems II überhaupt zulässig?
Ja, seit dem EU-US Data Privacy Framework von Juli 2023 ist der Datentransfer in zertifizierte US-Unternehmen wieder auf Grundlage eines Angemessenheitsbeschlusses möglich. OpenAI, Anthropic, Google und Microsoft sind unter dem Framework zertifiziert. Trotzdem bleibt die EU-Datenresidenz aus zwei Gründen empfehlenswert: erstens gibt es politische Risiken — das Framework könnte erneut vor dem EuGH landen, und drittens reduzieren EU-Standorte die Diskussion in Audits, Lieferanten-Fragebögen und Betriebsrats-Verhandlungen erheblich. Microsoft, Google und Anthropic bieten heute EU-Datenresidenz-Optionen, OpenAI bietet sie über die Azure-OpenAI-Schiene und teilweise direkt über ChatGPT Enterprise.
Bereit, Ihren KI-Einsatz DSGVO-fest aufzusetzen?
Sprechen wir 30 Minuten unverbindlich. Wir bewerten Ihren geplanten oder bestehenden KI-Einsatz, sichten die wichtigsten DSGVO-Punkte — Rechtsgrundlage, AVV, DSFA, Betroffenenrechte — und liefern einen klaren Fahrplan für die nächsten 60 Tage, abgestimmt auf Ihre Aufsichts- und Branchen-Situation.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Berät mittelständische Unternehmen bei KI-Roll-outs zwischen DSGVO, EU AI Act und NIS2 — von der Rechtsgrundlage über AVV bis zur DSFA.
Geprüft am: 22. Mai 2026 · Mehr über Hakan