DSGVO-Ampel für KI-Tools – Wer ist wirklich compliant?

Die Frage stelle ich mir immer wieder und höre sie auch ständig: „Welche KI darf ich im Unternehmen nutzen, ohne DSGVO-Ärger zu bekommen?“ Die Antwort ist komplizierter, als viele denken – aber nicht unlösbar.

Hier kommt die DSGVO-Ampel für die führenden KI-Systeme. Klar, praxisnah und mit Fokus auf deutsche Compliance.

Das Wichtigste in Kürze

Die Wahrheit: Es geht nicht um „erlaubt“ oder „verboten“, sondern um die richtige Betriebsform. Mit Enterprise-Setup → 🟢. Mit Consumer-Account → 🔴 [1].

Die Gewinner: Azure OpenAI, ChatGPT Enterprise und Claude Enterprise sind bei korrekter Konfiguration DSGVO-tauglich [2].

Die Verlierer: Alle Free-Versionen sind für Unternehmensdaten kritisch. Training mit deinen Daten, kein AVV, keine Kontrolle [3].

Die Falle: 80% der Mitarbeiter nutzen nicht-genehmigte KI-Tools – sogenannte „Shadow AI“ [4]. Das Bußgeld-Risiko ist real.

🚦 Die DSGVO-Ampel (Stand 2026)

🟢 GRÜN = DSGVO-tauglich für Unternehmen

1. Microsoft – Azure OpenAI

Warum grün:

• ✔ Keine Trainingsnutzung deiner Daten
• ✔ EU-Hosting wählbar (z.B. Schweden)
• ✔ Auftragsverarbeitungsvertrag (AVV) verfügbar
• ✔ Customer Managed Keys
• ✔ Private Network Integration

👉 Derzeit der Compliance-Benchmark in der Praxis [5].

Einsatz: Kritische Unternehmensdaten ✔ | Personenbezogene Daten ✔ (mit Konzept)

2. OpenAI – ChatGPT Enterprise / Team

Warum grün:

• ✔ Kein Training mit Kundendaten
• ✔ AVV verfügbar
• ✔ SOC 2 / ISO-Zertifizierungen
• ✔ Admin-Kontrollen

⚠ Achtung: EU-Datenresidenz prüfen (abhängig vom Plan) [2].

3. Anthropic – Claude Enterprise

Warum grün:

• ✔ Zero-Training-Garantie
• ✔ AVV verfügbar
• ✔ Sehr geringe Datenspeicherung
• ✔ Starker Fokus auf Privacy

👉 Aktuell eines der datenschutzfreundlichsten KI-Modelle [6].

🟡 GELB = DSGVO-fähig mit Einschränkungen

1. Google – Gemini (Google Workspace Version)

✔ AVV vorhanden
✔ Business-Umgebung
✔ Admin-Steuerung

ABER:

• ⚠ Datenökosystem von Google schwer nachvollziehbar
• ⚠ Default-Settings oft nicht datenschutzfreundlich
• ⚠ Seit Januar 2026: Gemini nutzt standardmäßig Gmail, Docs und Suchverlauf – Opt-out erforderlich [1]

👉 Nur mit sauberer Admin-Konfiguration

2. Perplexity AI – Perplexity Pro / Enterprise

✔ Enterprise ohne Trainingsnutzung
✔ AVV möglich

ABER:

• ⚠ Fokus ist Suche → Datenfluss zu externen Quellen
• ⚠ Transparenz geringer als bei Azure / OpenAI / Claude

👉 Für Recherche gut – nicht für sensible Daten

🔴 ROT = Aus DSGVO-Sicht kritisch

1. ChatGPT Free

• ⚠ Trainingsnutzung standardmäßig möglich
• ⚠ Kein AVV
• ⚠ Keine Unternehmenssteuerung

2. Gemini mit privatem Google-Konto

• ⚠ Trainingsnutzung aktiv
• ⚠ Daten im Google-Ökosystem
• ⚠ Kein AVV

3. Perplexity Free

• ⚠ Mögliche Datennutzung zur Produktverbesserung
• ⚠ Keine Vertragsbasis

🏆 Praxis-Ranking für Deutschland

Für Unternehmen:

1. 🥇 Azure OpenAI
2. 🥈 ChatGPT Enterprise / Team
3. 🥉 Claude Enterprise
4. 🟡 Gemini Workspace
5. 🟡 Perplexity Enterprise

Für Einzelpersonen (ohne Unternehmensvertrag):

• 🟢 Claude (mit deaktiviertem Training)
• 🟢 ChatGPT (Chatverlauf AUS + temporäre Chats)
• 🟡 Gemini (mit deaktivierter Aktivität)
• 🔴 Alle Free-Such-KIs für sensible Inhalte

Die eigentliche Frage

Die DSGVO-Frage lautet nicht: „Welche KI ist erlaubt?“

Sondern: „In welcher Betriebsform nutze ich die KI?“

Mit Enterprise-Setup → 🟢 DSGVO-konform
Mit Consumer-Account → 🔴 Bußgeld-Risiko

Das ist der Kernpunkt. Azure OpenAI mit EU-Hosting ist nicht „besser“ als ChatGPT Free, weil es technisch überlegen wäre. Sondern weil es in der richtigen Betriebsform läuft: Mit AVV, ohne Training, mit Kontrolle [4].

Was Unternehmen jetzt tun müssen

1. Bestandsaufnahme

Welche KI-Tools nutzen deine Mitarbeiter? Offiziell und inoffiziell? Shadow AI ist real – 80% nutzen nicht-genehmigte Tools [4].

2. Datenschutz-Folgenabschätzung (DSFA)

Bei KI-Anwendungen ist nach Art. 35 DSGVO fast immer eine DSFA erforderlich. Die Aufsichtsbehörden betonen: KI = hohes Risiko [3].

3. Auftragsverarbeitungsvertrag (AVV)

Ohne AVV keine rechtssichere KI-Nutzung. Das gilt auch für „nur ein Tool“. Bußgeld-Risiko: Bis 20 Mio. € oder 4% des Jahresumsatzes [7].

4. Nutzungsrichtlinie

Mitarbeiter brauchen klare Regeln:

• Was darf in Prompts eingegeben werden?
• Was nicht?
• Welche Tools sind freigegeben?
• Wie geht man mit sensiblen Daten um?

5. EU-Hosting prüfen

Azure OpenAI kostet 0€ mehr mit EU-Hosting. Gleiche Modelle, gleiche Qualität, gleiche Kosten – nur der Serverstandort ist anders [7].

Die häufigsten Irrtümer

Irrtum 1: „Mit VPN ist es sicher“

❌ Falsch! Ein VPN schützt nur den Transport. Die Daten landen trotzdem auf US-Servern. Das DSGVO-Problem bleibt.

Irrtum 2: „Azure ist auch US-Unternehmen, also egal“

❌ Falsch! Es geht um den Serverstandort und die vertragliche Absicherung. Azure mit EU-Hosting + AVV ist DSGVO-konform. OpenAI direkt über USA nicht [7].

Irrtum 3: „Wir nutzen nur ein Tool, da brauchen wir keinen AVV“

❌ Falsch! AVV ist Pflicht bei Auftragsverarbeitung (Art. 28 DSGVO). Auch bei „nur einem Tool“.

Mein Fazit

DSGVO und KI schließen sich nicht aus. Aber: Du musst wissen, was du tust.

Die Technologie ist da. Die rechtlichen Lösungen sind da. Die EU-Hosting-Optionen sind da. Was fehlt, ist oft nur das Wissen über diese Optionen.

Unternehmen glauben, sie müssen wählen zwischen „beste KI“ (USA, DSGVO-kritisch) und „DSGVO-konform“ (Europa, schwächere Modelle). Das stimmt nicht mehr. Du kannst GPT-4, Claude Sonnet und Gemini nutzen – alle DSGVO-konform via EU-Hosting [7].

Gleiche Modelle, gleiche Qualität, gleiche Kosten. Nur der Serverstandort ist anders.

Und der macht den Unterschied zwischen Compliance und Bußgeld.

Deine Erfahrungen?

Nutzt du KI im Unternehmen? Welche Lösung habt ihr gewählt? Und welche Hürden musstest du überwinden?

Lass es mich in den Kommentaren wissen – ich bin gespannt auf deine Erfahrungen!

---