Datenschutz5 Min. Lesezeit · 996 Wörter

Die DSGVO-Realität von KI-Tools: Was ChatGPT, Make & Co. wirklich mit deinen Kundendaten machen

EU-Server allein macht noch nichts DSGVO-konform. Ein ehrlicher Blick darauf, wohin Kundendaten bei gängigen KI- und Automatisierungs-Tools tatsächlich fließen, wo die typischen Lücken liegen — und wie ein sauberer, abmahnsicherer Stack für KMU aussieht.

SG

Sebastian Gawlita

Webdesigner · DSGVO & KI-Integration

Aktuell geprüft· 28. Mai 2026 (vor 12 Tagen)
Kundendaten · EUEU-ModellAVV · keine Trainingsnutzung!US-Modellohne AVV / ZDR riskant

„Unsere KI läuft auf EU-Servern, alles DSGVO-konform.“ Diesen Satz höre ich ständig, und er ist meistens nur die halbe Wahrheit. Denn wo die schöne Oberfläche gehostet wird, sagt wenig darüber aus, wohin die Daten im Hintergrund wirklich fließen. Genau dort entscheidet sich, ob ein Setup sauber ist oder ein Risiko.

Ich baue KI-Integrationen für kleine Betriebe und verfolge dabei jedes Mal denselben Weg: Wo geht die Eingabe hin, wer verarbeitet sie, was passiert danach mit ihr. Dieser Artikel ist dieser Weg, aufgeschrieben. Kein Juristendeutsch, sondern ein technischer Blick darauf, was wirklich passiert.

Ein Hinweis vorweg: Ich bin Webdesigner, kein Anwalt. Das hier hilft dir, die richtigen Fragen zu stellen, ersetzt aber im Zweifel keine Rechtsberatung.

Der „EU-Server“-Mythos

Fangen wir mit dem größten Missverständnis an. Viele Tools werben prominent mit EU-Hosting. Das klingt beruhigend, ist aber oft nur die Eingangstür. Die eigentliche Intelligenz — das Sprachmodell, das deine Eingabe versteht und beantwortet — läuft in vielen Fällen woanders, häufig in den USA.

Der Datenfluss sieht dann so aus: Deine Kundenanfrage geht an den hübschen EU-Server, der sie brav weiterreicht an ein US-Modell, das die Arbeit macht. Die Daten haben die EU also längst verlassen, während das Marketing noch „EU-Server“ sagt.

EU-Server ≠

DSGVO-konform — der Datenfluss zählt, nicht der Standort der Oberfläche

DSGVO, Grundprinzip Auftragsverarbeitung

AVV-Kette

in verketteten Setups braucht jeder Anbieter einen eigenen Vertrag

Art. 28 DSGVO

Training

Eingaben werden bei Gratis-Tools oft standardmäßig mitgenutzt

Anbieter-Nutzungsbedingungen 2025/26

beiläufig

der häufigste reale Verstoß: Daten schnell ins falsche Tool kopiert

eigene Audit-Praxis

Die zwei Lücken, die fast immer auftauchen

In den meisten Setups, die ich prüfe, klaffen dieselben zwei Lücken.

Lücke 1: der fehlende oder unvollständige AVV

Ein Auftragsverarbeitungsvertrag regelt, dass ein Dienstleister deine Daten nur in deinem Auftrag verarbeitet. Ohne diesen Vertrag mit jedem beteiligten Anbieter ist die Verarbeitung in der Regel nicht zulässig.

Das Tückische bei KI-Tools: Oft ist nicht nur ein Anbieter beteiligt. Die Automatisierungsplattform, das Sprachmodell, vielleicht noch ein Speicherdienst — das ist eine Kette, und für jedes Glied braucht es einen sauberen Vertrag. In der Praxis fehlt fast immer mindestens einer.

Lücke 2: Training mit deinen Daten

Viele Standard- und Gratis-Angebote nutzen Eingaben standardmäßig, um ihre Modelle zu verbessern. Für Kundendaten ist das meist unzulässig. Seriöse Anbieter bieten eine Zero-Data-Retention-Option oder geschäftliche Tarife, bei denen Eingaben nicht zum Training verwendet und schnell gelöscht werden. Aber: Das ist selten der Standard. Man muss es aktiv wählen und vertraglich festhalten.

Was die Tools wirklich tun: ein Eignungs-Vergleich

Ich habe die gängigen Setups danach bewertet, wie gut sie sich für Kundendaten in einem KMU eignen — anhand von Datenfluss, Verträgen, Trainings-Nutzung und Auditierbarkeit.

DSGVO-Eignung gängiger KI-Setups (eigene Bewertung 2026)
Selbst gehostetes Open-Source-Modell (EU)94/100
EU-Anbieter mit AVV & Zero-Data-Retention88/100
US-Modell, Business-Tarif mit ZDR & AVV64/100
Automatisierung mit EU-Server, US-Modell dahinter42/100
Gratis-Chatbot ohne AVV, US-gehostet16/100

Selbst gehostetes Open-Source-Modell. Die sauberste Variante. Die Daten verlassen deinen eigenen Server nicht. Mehr Aufwand im Aufbau und in der Wartung, dafür volle Kontrolle. Sinnvoll, wenn Datenschutz ein echtes Verkaufsargument ist.

EU-Anbieter mit AVV und Zero-Data-Retention. Für die meisten KMU der pragmatische Sweet Spot. Europäische Sprachmodell-Anbieter mit sauberem Vertrag und ohne Trainings-Nutzung sind gut beherrschbar und solide.

US-Modell im Business-Tarif. Nutzbar, aber nur mit Zero-Data-Retention, einem ordentlichen Vertrag und Prüfung des Transfer-Rahmens. Mehr Vertragsmanagement, mehr Restrisiko.

Automatisierung mit EU-Server, aber US-Modell dahinter. Genau die Mogelpackung von oben. Sieht europäisch aus, ist es im Kern nicht. Nur mit den passenden Verträgen und ZDR vertretbar, sonst heikel.

Gratis-Chatbot ohne AVV, US-gehostet. Für Kundendaten die schlechteste Wahl. Kein Vertrag, unklare Trainings-Nutzung, Daten in einem Drittland. Hier fängt Ärger an.

Wie man Automatisierungen von vornherein datensparsam aufsetzt, steht im Artikel zur Anfrage-Automatisierung mit n8n und Make — self-hosted ist dort genau aus diesem Grund das Mittel der Wahl.

Der unterschätzte Hauptfehler: der beiläufige Verstoß

Bei aller Technik ist das größte reale Risiko erstaunlich banal. Es ist nicht der bewusst falsch gewählte Anbieter, sondern der schnelle Griff zum falschen Tool im Alltag.

Jemand im Team will rasch eine Kundenantwort formulieren und kopiert dafür Name, E-Mail und Anliegen in ein kostenloses KI-Tool. Kein böser Wille, nur Bequemlichkeit. Aber damit sind personenbezogene Daten in einem Dienst gelandet, der sie womöglich zum Training nutzt und in einem Drittland speichert.

Diese eine Regel, sauber kommuniziert, schließt die häufigste Lücke. Den größeren rechtlichen Rahmen dazu — welche Pflichten der EU AI Act bringt — findest du im Leitfaden zum EU AI Act für KMU.

So sieht ein sauberer Stack aus

Damit es nicht beim Warnen bleibt, hier der Bauplan für ein DSGVO-konformes KI-Setup im KMU:

  1. Modell wählen, das in der EU bleibt — EU-Anbieter oder selbst gehostet. Wenn US-Modell, dann nur Business-Tarif mit Zero-Data-Retention.
  2. Mit jedem Anbieter einen AVV abschließen — die ganze Kette, nicht nur das sichtbare Tool.
  3. Trainings-Nutzung ausschließen — Zero-Data-Retention aktiv wählen und vertraglich festhalten.
  4. Speicherfrist und Löschkonzept festlegen — Daten so kurz wie möglich aufbewahren, Löschung technisch umsetzen.
  5. Dokumentieren — Eintrag im Verarbeitungsverzeichnis und in der Datenschutzerklärung. Die DSGVO-Checkliste hilft, nichts zu vergessen.
  6. Interne Regeln aufstellen — welche Tools erlaubt sind, welche Daten nie hineingehören.

Das ist mehr Arbeit als „schnell einen Gratis-Bot einbinden“. Aber einmal sauber aufgesetzt, läuft es ohne ständige Sorge. Dieselbe Sorgfalt gilt übrigens für Chatbots, wie im Artikel zum DSGVO-konformen Chatbot beschrieben.

Fazit: Nicht der Standort zählt, sondern der Weg

DSGVO-Konformität bei KI-Tools entscheidet sich nicht an der Frage, wo ein Server steht, sondern daran, wohin die Daten wirklich fließen und wer sie unter welchem Vertrag verarbeitet. „EU-Server“ ist ein Anfang, aber kein Beweis.

Die beruhigende Nachricht: Ein sauberer Stack ist machbar, auch für kleine Betriebe. Es braucht die richtigen Anbieter, vollständige Verträge, den Ausschluss der Trainings-Nutzung und vor allem klare interne Regeln gegen den beiläufigen Verstoß. Wer das einmal ordentlich aufsetzt, kann KI nutzen, ohne nachts wach zu liegen.

Wenn du nicht sicher bist, wohin die Daten in deinem aktuellen Setup fließen, schreib mir. Wir verfolgen den Weg gemeinsam und du bekommst eine klare Liste, wo es hakt und wie der saubere Weg aussieht — verständlich, ohne Paragraphen-Nebel.

Häufige Fragen

Reicht es nicht, ein Tool mit EU-Server zu wählen?
Leider nein. Viele Tools werben mit EU-Hosting, leiten die eigentliche KI-Verarbeitung aber an ein Sprachmodell weiter, das in den USA läuft. Der hübsche EU-Server ist dann nur die Eingangstür — die Daten reisen trotzdem. Entscheidend ist der vollständige Datenfluss bis zum Modell, nicht der Standort der Oberfläche.
Was ist ein Auftragsverarbeitungsvertrag und warum ist er so wichtig?
Ein Auftragsverarbeitungsvertrag (AVV) regelt, dass ein Dienstleister deine personenbezogenen Daten nur in deinem Auftrag und nach deinen Weisungen verarbeitet. Ohne AVV mit jedem beteiligten Anbieter ist die Verarbeitung in der Regel nicht zulässig. Die Tücke: In verketteten KI-Setups sind oft mehrere Anbieter beteiligt, und für jeden braucht es einen sauberen Vertrag.
Werden meine Eingaben zum Training der KI verwendet?
Bei vielen Standard- und Gratis-Angeboten ja, oft standardmäßig. Genau das ist für Kundendaten meist unzulässig. Seriöse Anbieter bieten eine Zero-Data-Retention-Option oder geschäftliche Tarife, bei denen Eingaben nicht zum Training genutzt und nach kurzer Zeit gelöscht werden. Das muss man aber aktiv wählen und vertraglich absichern — es ist selten der Standard.
Ist der Datentransfer in die USA nicht inzwischen erlaubt?
Es gibt einen Rahmen für Datentransfers in die USA, an dem teilnehmende US-Unternehmen sich zertifizieren können. Das macht Transfers nicht automatisch unbedenklich: Der Anbieter muss zertifiziert sein, der konkrete Dienst abgedeckt, und die übrigen DSGVO-Pflichten gelten weiter. Verlassen sollte man sich nie allein darauf, sondern den Einzelfall prüfen — gerade weil die Rechtslage hier in Bewegung ist.
Was ist der häufigste Fehler in der Praxis?
Der beiläufige. Jemand im Team kopiert einen Kundennamen samt Anliegen in ein kostenloses KI-Tool, um schnell eine Antwort zu formulieren. Das passiert ohne klare Hausregel ständig und ist datenschutzrechtlich heikel. Eine einfache Regel — keine personenbezogenen Daten in nicht freigegebene Tools — verhindert mehr Schaden als jedes Vertragswerk im Schrank.
Wie sieht ein DSGVO-konformer KI-Stack für ein KMU aus?
Im Kern: ein EU-gehostetes oder selbst gehostetes Sprachmodell, ein Auftragsverarbeitungsvertrag mit jedem Anbieter, Zero-Data-Retention, eine klare Speicherfrist mit Löschkonzept, der Eintrag im Verarbeitungsverzeichnis und der Datenschutzerklärung sowie interne Regeln für das Team. Klingt nach viel, ist aber einmal sauber aufgesetzt gut beherrschbar.

Quellen & weiterführende Links

  1. Datenschutzkonferenz (DSK) — Orientierungshilfe KI und DatenschutzDatenschutzkonferenz (DSK)
  2. EU AI Act — Verordnung (EU) 2024/1689Amtsblatt der Europäischen Union
  3. Europäischer Datenschutzausschuss (EDSA)EDPB / EDSA
  4. Art. 28 DSGVO — AuftragsverarbeiterAmtsblatt der Europäischen Union
Tags#DSGVO#KI#Datenschutz#Tools#Datenfluss
SG

Sebastian Gawlita

Webdesigner · DSGVO & KI-Integration

Ich baue KI-Integrationen für KMU und prüfe dabei, wohin die Daten wirklich fließen. Dieser Artikel ist ein technischer Blick aus der Praxis — und ersetzt keine Rechtsberatung im Einzelfall.

30 Min. Website-Check buchen →Über mich →

Das könnte dich auch interessieren

Datenschutz·8 Min.

DSGVO-konformer Chatbot 2026: Was geht, was nicht — und worauf du achten musst

KI-Chatbots für KMU-Websites richtig einsetzen: EU-Hosting, Consent, Datenminimierung, Anbietervergleich. Mit konkreten Empfehlungen für Tidio, Crisp, eigene Bots auf Open-Source-LLMs und ehrlichen Hinweisen zu OpenAI-basierten Lösungen.

Lesen →
Datenschutz·8 Min.

Abmahnung erhalten — was jetzt? Die Erste-Hilfe-Anleitung für Selbstständige 2026

Konkreter Leitfaden, wenn eine Website-Abmahnung im Briefkasten liegt: Fristen verstehen, Unterlassungserklärung modifizieren, Schadensersatz verhandeln — und wie du das Risiko in Zukunft vermeidest. Praxiswissen aus über 40 begleiteten Fällen.

Lesen →
Datenschutz·7 Min.

DSGVO-Checkliste 2026: Was deine Website jetzt können muss

Die aktuelle DSGVO-Prüfliste mit Stand 2026 — inklusive TDDDG-Novelle, Cookie-Urteilen aus 2025, Analytics-Alternativen und einem Audit in 10 Minuten. Praxiswissen aus 234+ Projekten, kein Copy-Paste-Content.

Lesen →
KI & Automatisierung·6 Min.

EU AI Act 2026 für Selbstständige & KMU: Was du mit ChatGPT, Chatbot & Automatisierung jetzt tun musst

Der EU AI Act betrifft nicht nur Tech-Konzerne. Wer ChatGPT nutzt, einen Chatbot betreibt oder Prozesse automatisiert, hat ab 2026 konkrete Pflichten. Welche das sind, welche Fristen schon laufen, was bei Verstößen droht — und eine praktische Mini-Checkliste für kleine Betriebe.

Lesen →