Datenschutz & Souveränität
DSGVO-konforme KI: Die 7 wichtigsten Auswahlkriterien
Nicht jede KI-Lösung, die „DSGVO-konform“ verspricht, hält es auch. Die sieben Kriterien — vom Auftragsverarbeitungsvertrag über den Trainings-Ausschluss bis zu Zertifikaten —, an denen Sie echte Datensouveränität erkennen.

„DSGVO-konform“ steht schnell auf einer Website — hält aber nicht immer, was es verspricht. Die Datenschutzkonferenz (DSK) hat 2024 eine Orientierungshilfe für Unternehmen veröffentlicht; daraus und aus den einschlägigen DSGVO-Artikeln ergeben sich sieben belastbare Auswahlkriterien.
Die 7 Kriterien im Überblick
Hosting-Standort: Werden die Daten in einem EU-, besser deutschen Rechenzentrum verarbeitet?
Rechtsträgerschaft: Unterliegt der Anbieter EU-Recht — oder als US-Konzern dem CLOUD Act?
Kein Training auf Ihren Daten: vertraglich zugesichert und technisch voreingestellt?
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO — vollständig?
Zugriffskontrolle und Mandantentrennung (TOMs nach Art. 32)?
Löschkonzept: werden Daten inkl. abgeleiteter Daten nachweislich gelöscht?
Transparenz: dokumentiert, welche Modelle wo laufen und wie Daten fließen?
Der Auftragsverarbeitungsvertrag (AVV)
Setzt ein Unternehmen eine Cloud-KI ein, liegt regelmäßig eine Auftragsverarbeitung vor. Die DSK formuliert das eindeutig:
„…besteht zwischen dem Anbieter der Anwendung und dem Verantwortlichen häufig ein Auftragsverarbeitungsverhältnis gemäß Art. 28 f. DS-GVO…“
Ein AVV nach Art. 28 Abs. 3 muss acht Punkte regeln: Weisungsbindung, Vertraulichkeit, TOMs, Subauftragsverarbeiter, Unterstützung bei Betroffenenrechten, Unterstützung bei Sicherheit/Meldepflichten, Löschung oder Rückgabe und Auditrechte. Prüfen Sie die Liste Punkt für Punkt.
Kein Training auf Kundendaten
Das wichtigste inhaltliche Kriterium. Die DSK ist deutlich:
„Datenschutzrechtlich vorzugswürdig sind daher Anwendungen, die die Ein- und Ausgabedaten nicht zu Trainingszwecken verwenden.“
Der Marketing-Claim genügt nicht — verlangen Sie eine vertragliche Zusicherung im AVV, eine technische Voreinstellung und einen Opt-out-Nachweis.
Data Residency ist nicht Data Sovereignty
Ein EU-Hosting sagt nichts über die rechtliche Kontrolle. Entscheidend ist die Rechtsträgerschaft: Ein US-Mutterkonzern unterliegt trotz EU-Rechenzentrum dem CLOUD Act. Warum das so ist, erklärt unser Beitrag „EU-Region ≠ DSGVO-sicher“: der US CLOUD Act.
Zertifikate statt Selbstauskunft
Lassen Sie sich Nachweise geben statt Versprechen: ISO/IEC 27001 (Informationssicherheit), ISO/IEC 42001 (KI-Managementsystem, seit 2023 zertifizierbar), sowie die BSI-Kataloge C5 (Cloud) und AIC4 (KI-Cloud-Dienste).
Faustregel: Fragen Sie nicht, OB ein Anbieter „DSGVO-konform“ ist, sondern WO die Daten liegen und WELCHER Rechtsordnung er unterliegt. Der Rest ergibt sich daraus.
Bußgeld-Realität: der Unterschied macht 10 Millionen
Wer die Auswahl vernachlässigt, riskiert Bußgelder — und die Höhe hängt vom Verstoß ab: Ein reiner AVV-/Auftragsverarbeitungsmangel fällt unter Art. 83 Abs. 4 (bis 10 Mio. € / 2 %). Ein unzulässiger Drittlandtransfer dagegen unter Abs. 5 (bis 20 Mio. € / 4 %). Die verbreitete Formel „AVV-Verstoß = 20 Mio.“ ist falsch.
Fazit
Datenschutz ist kein Häkchen, sondern eine Architektur-Entscheidung. Wer diese sieben Punkte prüft, erkennt schnell, ob eine KI-Plattform Datensouveränität wirklich liefert — oder nur verspricht. Den Gesamtüberblick gibt unser Leitfaden zu DSGVO-konformer KI für Unternehmen.
Quellen
DSGVO-konforme KI aus einem echten deutschen Rechenzentrum
Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.



