DSGVO-konforme KI: Was Mittelständler wissen müssen

Die meisten KI-Tools senden Ihre Daten an Server in den USA. Für allgemeine Texte mag das akzeptabel sein – für Fertigungsdaten, Qualitätsprotokolle und Mitarbeiterinformationen ist es ein rechtliches und wirtschaftliches Risiko. Dieser Leitfaden zeigt, wie DSGVO-konforme KI im Mittelstand funktioniert.

Die Ausgangslage

Warum die meisten KI-Tools nicht DSGVO-konform sind

ChatGPT, Microsoft Copilot, Google Gemini – die populärsten KI-Werkzeuge haben eines gemeinsam: Ihre Daten werden auf US-Servern verarbeitet. Für ein produzierendes Unternehmen im Mittelstand ist das gleich in mehrfacher Hinsicht problematisch.

Datenübermittlung in die USA: Jede Eingabe in ChatGPT oder Copilot wird an Server in den Vereinigten Staaten gesendet. Nach dem Schrems-II-Urteil des EuGH (Juli 2020) fehlt dafür eine belastbare Rechtsgrundlage. Das EU-US Data Privacy Framework von 2023 steht bereits wieder in der Kritik und könnte kippen – wie seine beiden Vorgänger.

Auftragsverarbeitung nach Art. 28 DSGVO unklar: Wer einen KI-Dienst nutzt, braucht einen Auftragsverarbeitungsvertrag (AVV). Die meisten Anbieter liefern zwar ein „Data Processing Addendum“ – aber ob das den Anforderungen der DSGVO tatsächlich genügt, ist rechtlich umstritten. Gerade bei KI-Modellen, die Eingaben für späteres Training nutzen können, wird es kritisch.

Fertigungsdaten sind besonders sensibel: Maschinenparameter, Toleranzen, Werkzeugkombinationen, Qualitätsdaten, Mitarbeiterkürzel – das ist kein allgemeines Firmen-Smalltalk. Das ist das Betriebskapital eines produzierenden Unternehmens. Ein Datenleck bei einem US-Cloud-Anbieter kann existenzbedrohend sein.

US-Behörden können Zugriff verlangen: Der US CLOUD Act (2018) erlaubt US-Behörden den Zugriff auf Daten, die bei US-Unternehmen gespeichert sind – unabhängig vom Serverstandort. Das bedeutet: Selbst wenn Microsoft oder OpenAI Server in Europa betreiben, können US-Behörden auf die dort gespeicherten Daten zugreifen. Für Unternehmen, die nach IATF 16949 oder ISO 9001 zertifiziert sind, ist das ein Compliance-Problem.

Das heißt nicht, dass KI im Mittelstand unmöglich ist. Es heißt, dass der Weg über die üblichen Cloud-Dienste für sensible Unternehmensdaten der falsche ist. Es gibt einen besseren.

Der Ausweg

Selbst-gehostete KI auf deutschem Server

DSGVO-konforme KI bedeutet nicht Verzicht auf Leistungsfähigkeit. Es bedeutet, die richtige Architektur zu wählen: eigene Infrastruktur, deutscher Serverstandort, volle Datensouveränität.

Serverstandort Deutschland: Alle Systeme laufen in einem deutschen Rechenzentrum (Hetzner, Falkenstein). Deutsche Jurisdiktion, deutsches Datenschutzrecht. Kein CLOUD Act, kein Schrems-III-Risiko.

Keine Daten verlassen Deutschland: Embedding-Modelle laufen lokal auf dem Server. Vektordatenbanken speichern Ihr Firmenwissen ausschließlich auf deutscher Infrastruktur. Kein API-Call mit Ihren Betriebsdaten an US-Dienste.

Open-Source-Modelle und eigene Infrastruktur: Wo möglich, setze ich auf Open-Source-KI-Modelle, die auf dem eigenen Server laufen. Kein SaaS-Abo, keine Vendor-Abhängigkeit, keine einseitige Preisänderung. Sie behalten die volle Kontrolle über Ihre KI-Systeme.

Datenschutz als Designprinzip: DSGVO-Konformität ist kein Feature, das nachträglich angeschraubt wird. Sie ist die Grundlage der Architektur. Von der ersten Zeile Code an wird mit Datensparsamkeit, Zweckbindung und technischen Schutzmaßnahmen geplant.

Das Ergebnis: KI-Systeme, die genauso leistungsfähig sind wie Cloud-Lösungen – aber rechtssicher, transparent und unter Ihrer Kontrolle. Ohne Kleingedrucktes, ohne Abhängigkeiten, ohne böse Überraschungen beim nächsten Datenschutz-Audit.

Handlungsempfehlung

DSGVO-Checkliste für KI im Mittelstand

Ob Sie eine bestehende KI-Lösung prüfen oder eine neue einführen wollen – diese sieben Punkte sollten Sie klären, bevor Sie starten.

  1. Serverstandort Deutschland

    Wo werden die Daten physisch gespeichert und verarbeitet? „EU-Server“ reicht nicht – prüfen Sie, ob der Anbieter tatsächlich ein deutsches Rechenzentrum nutzt. Zertifikate wie ISO 27001 des Rechenzentrums geben zusätzliche Sicherheit. Bei SiegAI: Hetzner Falkenstein, Deutschland.

  2. Auftragsverarbeitungsvertrag (AVV) prüfen

    Jeder externe KI-Dienst braucht einen AVV nach Art. 28 DSGVO. Lesen Sie ihn. Prüfen Sie, ob der Anbieter Daten für eigene Zwecke nutzen darf (z. B. Modelltraining). Achten Sie auf Unterauftragsverarbeiter – oft verstecken sich dort US-Dienste.

  3. Keine personenbezogenen Daten im Training

    Werden Ihre Eingaben zum Training des KI-Modells verwendet? Bei den meisten kostenlosen KI-Diensten ist das der Fall. Stellen Sie sicher, dass Ihr Anbieter eine verbindliche Opt-out-Möglichkeit bietet – oder nutzen Sie eine Lösung, bei der das Training komplett unter Ihrer Kontrolle liegt.

  4. Zugriffskontrollen und Rollen

    Nicht jeder Mitarbeiter braucht Zugriff auf alles. Definieren Sie rollenbasierte Zugriffsrechte: Der Maschinenbediener sieht Arbeitsanweisungen, die Geschäftsführung sieht Kennzahlen, der QM-Beauftragte sieht Auditdaten. Technisch umsetzbar über Benutzergruppen und API-Keys.

  5. Löschkonzept für KI-generierte Daten

    KI-Systeme erzeugen Daten: Antworten, Protokolle, generierte Berichte. Definieren Sie, wie lange diese Daten gespeichert werden und wann sie gelöscht werden. Die DSGVO verlangt Zweckbindung – Daten, die nicht mehr gebraucht werden, müssen weg. Automatisierte Löschfristen sind empfehlenswert.

  6. Transparenz: Mitarbeiter informieren

    Art. 13 DSGVO verpflichtet Sie, betroffene Personen über die Datenverarbeitung zu informieren. Das gilt auch für KI-Systeme. Informieren Sie Ihre Mitarbeiter, welche Daten das System verarbeitet, zu welchem Zweck und auf welcher Rechtsgrundlage. Ein kurzes Merkblatt oder eine Betriebsvereinbarung reicht oft aus.

  7. Regelmäßige Datenschutz-Audits

    Ein KI-System ist kein „einmal aufsetzen und vergessen“-Projekt. Prüfen Sie regelmäßig, ob die Datenschutzmaßnahmen greifen: Werden Logfiles anonymisiert? Funktionieren die Löschfristen? Sind die Zugriffsrechte noch aktuell? Ein halbjährlicher Check genügt – wenn er konsequent durchgeführt wird.

Aus der Praxis

So setzt SiegAI Datenschutz um

Theorie ist wichtig. Aber Sie wollen wissen, wie DSGVO-konforme KI in der Praxis aussieht. Hier ist der konkrete Tech-Stack, den ich für meine Kunden betreibe.

  • Server Hetzner CX43, Falkenstein (DE) – deutsches Rechenzentrum, ISO 27001 zertifiziert. Volle Datensouveränität unter deutscher Jurisdiktion.
  • Vektordaten ChromaDB (lokal auf dem Server) – das Firmenwissen wird als Vektoren gespeichert und durchsucht. Kein Cloud-Embedding-Service, keine Datenübermittlung an Dritte.
  • KI-Modell Anthropic Claude via API – Daten werden laut DPA (Data Processing Addendum) nicht für Training verwendet. Keine Speicherung von Eingaben über die Sitzung hinaus. Die sensiblen Daten (Vektoren, Dokumente) bleiben auf dem deutschen Server – an die API gehen nur anonymisierte Anfragen.
  • Logging Keine IP-Adressen in Logfiles. Alle Server-Logs werden anonymisiert und nach 90 Tagen automatisch gelöscht. Keine Weitergabe an Analysedienste.
  • Analytics Kein Google Analytics, kein Tracking. Ich verwende keine externen Analysedienste. Besuchszählung erfolgt DSGVO-konform über anonymisierte Server-Logs – ohne Cookies, ohne Fingerprinting, ohne Drittanbieter.

Das Prinzip ist einfach: Sensible Daten bleiben auf dem deutschen Server. Was den Server verlässt, ist anonymisiert. Was gespeichert wird, hat ein Löschdatum. Und was verarbeitet wird, hat eine Rechtsgrundlage. Kein Überengineering – aber konsequent umgesetzt. Wie das in der Fertigung konkret aussieht, zeige ich anhand von Praxisbeispielen.

Häufige Fragen

DSGVO und KI – konkret beantwortet

Darf ich ChatGPT mit Firmendaten nutzen?

Rechtlich ist das problematisch. ChatGPT verarbeitet Daten auf US-Servern. Seit dem Schrems-II-Urteil des EuGH (2020) gibt es keine ausreichende Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA ohne zusätzliche Schutzmaßnahmen. OpenAI bietet zwar ein Data Processing Addendum an, aber die tatsächliche Einhaltung ist schwer überprüfbar.

Für allgemeine, nicht-personenbezogene Anfragen (z. B. Formatvorlagen oder öffentlich verfügbare Informationen) ist die Nutzung vertretbar. Sobald Mitarbeiterdaten, Kundennamen, Fertigungsparameter oder interne Dokumente ins Spiel kommen: Finger weg. Die sicherere Alternative ist eine selbst-gehostete Lösung auf deutschem Server.

Was kostet eine DSGVO-konforme KI-Lösung im Vergleich zu Cloud-KI?

Eine selbst-gehostete KI-Lösung kostet in der Einrichtung mehr als ein ChatGPT-Abo. Aber der Vergleich hinkt: Ein SaaS-Abo gibt Ihnen ein Chat-Fenster. Eine dedizierte Lösung gibt Ihnen ein System, das in Ihre Prozesse integriert ist, Ihre Daten kennt und auf Ihrem Server läuft.

Die laufenden Kosten für Server und Wartung liegen typischerweise bei 200–500 € pro Monat – weniger als ein externer Berater pro Tag kostet. Dazu kommt: Keine Vendor-Abhängigkeit, keine steigenden Abo-Preise, volle Kontrolle über Ihre Daten.

Welche Daten darf eine KI verarbeiten?

Grundsätzlich darf eine KI alle Daten verarbeiten, für die eine Rechtsgrundlage nach Art. 6 DSGVO besteht. Das kann die Einwilligung der betroffenen Person sein, ein berechtigtes Interesse oder die Erfüllung eines Vertrags. Entscheidend ist: Die Verarbeitung muss zweckgebunden sein, und die Daten dürfen nicht länger gespeichert werden als nötig.

Bei besonders sensiblen Daten (Gesundheitsdaten, biometrische Daten) gelten zusätzliche Einschränkungen nach Art. 9 DSGVO. In der Praxis bedeutet das: Fertigungsdaten wie Maschinenparameter und Qualitätskennzahlen sind unproblematisch. Mitarbeiterbezogene Daten (Namen, Kürzel, Leistungsdaten) erfordern besondere Sorgfalt und eine saubere Rechtsgrundlage.

Nächster Schritt

DSGVO-konforme KI für Ihren Betrieb?

In einem kostenlosen 15-Minuten-Gespräch klären wir, wie Sie KI datenschutzkonform einsetzen können – ohne US-Cloud-Risiko. Kein Verkaufsdruck, kein Beratersprech.

Erstgespräch vereinbaren
✓ Kontakt wird heruntergeladen