Sie haben einen KI-Assistenten für die Arbeit mit Unternehmensdokumenten eingeführt oder planen dies — für Verträge, Patientenakten, Mandantenmappen. Und irgendwo im Hinterkopf bleibt die Frage: Ist das eigentlich legal? Verstoßen wir gegen irgendetwas? Kurze Antwort: KI bei Dokumenten und DSGVO sind vereinbar. Aber nur, wenn Sie drei Dinge verstehen: wo die Daten gespeichert werden, wer der Auftragsverarbeiter ist und welchen Isolierungsgrad Sie wählen sollten.
⚡ Auf einen Blick
- 🏢 Für wen: Unternehmer, Rechtsanwälte, Leitungen medizinischer Einrichtungen in der EU
- ⚠️ Hauptrisiko: Die meisten Cloud-KI-Dienste speichern Ihre Dokumente auf Servern in den USA — für Unternehmen in der EU ist das ein DSGVO-Verstoß
- ✅ Lösung: Self-hosted KI auf Ihrem eigenen Server in Europa — die Daten verlassen Ihre Infrastruktur nicht
- 💰 Kosten eines Verstoßes: bis zu €20 Mio. oder 4 % des weltweiten Jahresumsatzes
- ⏱ Einführungszeit für eine DSGVO-konforme Lösung: 1–3 Werktage
- 👇 Unten — eine ausführliche Analyse: Was ist die DSGVO, welche Risiken bestehen, was ist zu prüfen und eine Checkliste mit 10 Fragen
📚 Inhalt
- Was ist die DSGVO und warum betrifft sie KI
- Welche Daten gelten im Kontext von Dokumenten als personenbezogen
- Wo werden Ihre Daten bei der Nutzung von KI-Diensten physisch gespeichert
- Was bedeutet „Auftragsverarbeiter" und wer ist das in Ihrem Fall
- Self-hosted vs. Cloud-KI: der Unterschied aus DSGVO-Sicht
- Was passiert bei einem DSGVO-Verstoß beim Einsatz von KI
- Checkliste: 10 Fragen vor der Einführung von KI im Unternehmen
- Häufig gestellte Fragen
- Fazit
- Sie möchten eine DSGVO-konforme Lösung für Ihr Unternehmen?
Was ist die DSGVO und warum betrifft sie KI
Die DSGVO — die Datenschutz-Grundverordnung der EU — ist seit 2018 in Kraft. Sie regelt jede Verarbeitung personenbezogener Daten von EU-Bürgern — unabhängig davon, wo Ihr Unternehmen ansässig ist. Wenn Sie Daten von Kunden oder Mitarbeitern aus der EU mithilfe von KI verarbeiten, betrifft Sie die DSGVO unmittelbar.
Vor 2018 wurde der Datenschutz in Europa uneinheitlich gehandhabt: Jedes Land hatte sein eigenes Gesetz, die Anforderungen unterschieden sich, und große Unternehmen konnten zwischen Rechtsordnungen lavieren. Die DSGVO hat das grundlegend verändert — einheitliche Regeln für die gesamte EU, ein einheitliches Bußgeldsystem und ein einheitlicher Ansatz dafür, was als Verstoß gilt.
Ein entscheidender Punkt für Unternehmen: Die DSGVO gilt nicht nur für Unternehmen in der EU. Wenn Ihr Kunde oder Mitarbeiter EU-Bürger ist, unterliegen Sie der Verordnung — auch wenn Ihr Büro in Kiew oder New York ist. Das ist besonders relevant für Unternehmen, die mit Kunden in Deutschland, Österreich oder Polen zusammenarbeiten.
Nun zur KI. Wenn Sie Unternehmensdokumente in ChatGPT, Notion AI oder einen anderen Cloud-Dienst hochladen, übermitteln Sie diese Daten faktisch zur Verarbeitung an Dritte. Enthalten diese Dokumente personenbezogene Daten — und das tun sie fast immer — fällt diese Verarbeitung unter die DSGVO. Die Frage ist nicht mehr „Nutzen wir KI?", sondern wo genau diese KI Ihre Daten verarbeitet.
Im Dezember 2024 veröffentlichte der Europäische Datenschutzausschuss (EDSA) eine spezielle Stellungnahme zu KI und DSGVO, in der er klar feststellte: Selbst wenn ein KI-Modell auf anonymisierten Daten trainiert wurde, schließt das die Anwendbarkeit der DSGVO nicht automatisch aus — jeder Einzelfall bedarf einer gesonderten Prüfung.
Fazit: Die DSGVO betrifft nicht nur Großkonzerne und keine abstrakten „Daten". Es geht um ein konkretes Dokument mit dem Namen eines Kunden, das Sie heute Morgen in einen KI-Dienst hochgeladen haben.
Welche Daten gelten im Kontext von Dokumenten als personenbezogen
Personenbezogene Daten sind alle Informationen, die eine natürliche Person direkt oder indirekt identifizierbar machen. In Unternehmensdokumenten kommen solche Daten weit häufiger vor, als es auf den ersten Blick scheint.
Die meisten Unternehmer denken bei personenbezogenen Daten an Ausweise und Patientenakten. Tatsächlich ist der Umfang viel weiter gefasst. Hier ist, was in typischen Unternehmensdokumenten vorkommt und unter die DSGVO fällt:
- ✔️ Verträge — Name des Kunden, Adresse, Steuernummer, Unterschrift, Kontaktdaten
- ✔️ Rechnungen und Lieferscheine — Name einer natürlichen Person oder eines Einzelunternehmers, Bankverbindung
- ✔️ HR-Dokumente — Lebensläufe, Arbeitsverträge, Gehaltsdaten, Ergebnisse von Arbeitsmedizinuntersuchungen
- ✔️ Medizinische Protokolle — Diagnosen, Verordnungen, Anamnese (besondere Kategorien personenbezogener Daten)
- ✔️ Kundenkommunikation — E-Mail, Telefon, Adresse, Inhalt der Korrespondenz
- ✔️ Rechtliche Akten — Angaben zu den Parteien, Sachverhalte, Gerichtsentscheidungen
Ein eigenes Thema sind die besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Dazu gehören Gesundheitsdaten, Angaben zur rassischen oder ethnischen Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit sowie genetische und biometrische Daten. Für diese gelten verschärfte Anforderungen: Eine Verarbeitung ist nur mit ausdrücklicher Einwilligung oder in gesetzlich klar definierten Fällen zulässig.
Für medizinische Einrichtungen bedeutet das: Nahezu jedes Dokument steht unter besonderem Schutz. Für Anwaltskanzleien enthalten die meisten Mandantenakten Daten, die unter die DSGVO fallen.
Ein wichtiger Hinweis: Daten hören nicht deshalb auf, personenbezogen zu sein, weil sie in einer PDF- oder Word-Datei vorliegen. Das Format spielt keine Rolle — entscheidend ist der Inhalt. Wenn ein KI-Dienst Ihre PDF mit dem Namen eines Kunden liest, verarbeitet er personenbezogene Daten, und die DSGVO gilt vollumfänglich.
Fazit: Wenn Ihr Dokumentenmanagement Namen, Kontaktdaten oder Gesundheitsdaten natürlicher Personen enthält — und das ist in nahezu jedem Unternehmen der Fall — fallen Ihre Dokumente bei der Übermittlung an KI-Dienste unter die DSGVO.
Wo werden Ihre Daten bei der Nutzung von KI-Diensten physisch gespeichert
Die meisten gängigen KI-Dienste speichern hochgeladene Dokumente und Anfragen auf Servern in den USA. Für Unternehmen in der EU entsteht dadurch automatisch ein Problem: Die Übermittlung von Daten außerhalb der EU wird durch Art. 44–49 DSGVO geregelt und erfordert spezifische Garantien.
Wenn Sie ein Dokument in einen Cloud-KI-Dienst hochladen, geschieht Folgendes: Die Datei wird auf die Server des Anbieters kopiert und dort zur Verarbeitung gespeichert. Je nach Nutzungsbedingungen kann sie dort von wenigen Stunden bis zu mehreren Monaten verbleiben. Hier befinden sich die Server der bekanntesten Dienste:
- ✔️ OpenAI (ChatGPT, FileSearch) — überwiegend USA, Microsoft-Azure-Rechenzentren
- ✔️ Notion AI — USA, AWS-Infrastruktur
- ✔️ Google (Gemini, NotebookLM) — USA, eigene Rechenzentren
- ✔️ Microsoft Copilot — abhängig vom Tarif; Business-Tarife können EU-Server einschließen, jedoch nicht standardmäßig
Warum ist das ein Problem? Die DSGVO regelt die Übermittlung personenbezogener Daten außerhalb der EU strikt. Nach dem wegweisenden EuGH-Urteil im Fall Schrems II im Jahr 2020 reichen Standardvertragsklauseln (SCC) allein nicht mehr aus — es ist eine Risikoabwägung für das konkrete Zielland erforderlich. Die USA gelten traditionell als problematische Jurisdiktion aufgrund ihrer Gesetze zum staatlichen Datenzugriff (CLOUD Act, FISA).
Ein eindrückliches Beispiel: Am 22. Mai 2023 verhängte die irische DPC gegen Meta eine Geldbuße von 1,2 Mrd. Euro — der Rekordbetrag in der Geschichte der DSGVO — genau wegen der systematischen Übermittlung von Daten europäischer Nutzer auf US-Server ohne angemessene Garantien. Offizielle EDSA-Entscheidung →
Die praktische Schlussfolgerung für Unternehmen: Wenn Sie in der EU ansässig sind und Dokumente mit personenbezogenen Daten in ChatGPT oder Notion AI hochladen, nehmen Sie mit hoher Wahrscheinlichkeit eine Datenübermittlung in die USA ohne die erforderliche Rechtsgrundlage vor. Selbst wenn der Anbieter SCCs unterzeichnet hat, kann das ohne eine DSFA (Datenschutz-Folgenabschätzung) unzureichend sein.
Wie AskYourDocs dieses Problem löst
AskYourDocs wird vollständig auf Ihrem eigenen Server bereitgestellt — in jeder EU-Region Ihrer Wahl: Deutschland, Österreich, Niederlande, Polen. Dokumente, die Wissensdatenbank und alle Anfragen verbleiben ausschließlich in Ihrer Infrastruktur. Keine Datei und keine Anfrage wird außerhalb der Eurozone übermittelt.
Nach der Projektübergabe habe ich als Entwickler keinen technischen Zugriff mehr auf Ihre Datenbank und Ihre Dokumente — Sie erhalten die vollständige Kontrolle samt Administratorzugängen. Das ist ein grundlegender Unterschied zu jeder SaaS-Lösung, bei der der Anbieter stets technischen Zugriff auf Ihre Daten behält.
Im vollständig geschlossenen Betrieb (mit dem lokalen Modell Ollama) verlassen selbst Anfragen an das LLM Ihren Server nicht — das System arbeitet vollständig vom Internet isoliert.
Fazit: „Wo werden die Daten gespeichert?" ist die erste und wichtigste Frage vor der Wahl eines KI-Dienstes für die Dokumentenarbeit. Für Unternehmen in der EU gibt es nur eine Antwort, die diese Frage vollständig klärt: ein Server in Europa unter Ihrer Kontrolle.
Was bedeutet „Auftragsverarbeiter" und wer ist das in Ihrem Fall
Die DSGVO unterscheidet zwischen Rollen: Der Verantwortliche (Ihr Unternehmen) entscheidet, warum und welche Daten verarbeitet werden. Der Auftragsverarbeiter (der KI-Dienst) tut dies in Ihrem Auftrag. Die Verantwortung verbleibt jedoch bei Ihnen — als Verantwortlichem.
Das ist einer der wichtigsten und am wenigsten verstandenen Aspekte der DSGVO für Unternehmen. Betrachten wir das anhand eines Beispiels.
Stellen Sie sich eine Anwaltskanzlei vor, die Mandantenverträge zur Suche in einen KI-Assistenten hochlädt. In diesem Szenario gilt:
- ✔️ Die Anwaltskanzlei = Verantwortlicher — sie hat entschieden, diese Dokumente hochzuladen, und trägt gegenüber den Mandanten die Verantwortung für deren Daten
- ✔️ Der KI-Dienst = Auftragsverarbeiter — er verarbeitet die Daten im Auftrag der Kanzlei
Gemäß Art. 28 DSGVO muss zwischen Verantwortlichem und Auftragsverarbeiter zwingend ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Ohne diesen ist die gesamte Konstruktion rechtswidrig — selbst wenn technisch alles korrekt konfiguriert ist.
Wichtig zu verstehen: Verstößt der Auftragsverarbeiter (der KI-Dienst) gegen die DSGVO, trägt auch der Verantwortliche (Ihr Unternehmen) Mitverantwortung. Sie können die Verantwortung nicht durch Unterzeichnung eines AVV auf den Anbieter abwälzen. Der AVV legt die Verarbeitungsbedingungen fest, entbindet Sie aber nicht von der Pflicht, zuverlässige Auftragsverarbeiter auszuwählen und zu überwachen.
In der Praxis: OpenAI, Notion und die meisten SaaS-Anbieter verfügen über Standard-AVV-Dokumente, die unterzeichnet werden können. Das bloße Vorhandensein eines AVV löst jedoch nicht die Fragen der Serverstandorte und der Datenübermittlung außerhalb der EU — das sind separate Anforderungen.
Bei einer Self-hosted-Lösung, bei der KI auf Ihrem eigenen Server betrieben wird, sieht das Bild grundlegend anders aus: Es gibt keinen externen Auftragsverarbeiter. Ihr Unternehmen ist sowohl Verantwortlicher als auch de facto Auftragsverarbeiter. Die Frage eines AVV mit einem Dritten stellt sich gar nicht.
Fazit: Prüfen Sie vor der Einführung eines KI-Dienstes: Gibt es einen unterzeichneten AVV, was darin zum Serverstandort steht und ob das Ihren Verpflichtungen gegenüber Ihren Kunden entspricht.
Self-hosted vs. Cloud-KI: der Unterschied aus DSGVO-Sicht
Self-hosted KI ist eine Lösung, bei der alle Komponenten (Datenbank, Dokumente, KI-Modell) auf Ihrem Server betrieben werden. Cloud-KI bedeutet, dass Sie Dokumente an einen Anbieter übermitteln. Aus DSGVO-Sicht ist der Unterschied grundlegend: Im ersten Fall verlassen die Daten Ihren Perimeter nicht; im zweiten entsteht eine vollständige Kette von Anforderungen.
Vergleichen wir beide Ansätze anhand der wichtigsten Parameter:
| Parameter | Cloud-KI (ChatGPT, Notion AI) | Self-hosted KI (AskYourDocs) |
|---|---|---|
| Wo Dokumente gespeichert werden | Server des Anbieters (USA) | Ihr Server (beliebiger Standort) |
| Datenübermittlung außerhalb der EU | Ja, automatisch | Nein, wenn der Server in der EU steht |
| AVV mit Anbieter erforderlich | Ja, zwingend | Nein (kein externer Auftragsverarbeiter) |
| Zugriff des Anbieters auf Daten | Technisch möglich | Nicht vorhanden |
| Geschlossener Betrieb (ohne Internet) | Nicht möglich | Ja (mit Ollama) |
| DSGVO-Konformität | Erfordert zusätzliche Maßnahmen | Grundsätzlich konform bei EU-Server |
Es gibt noch einen weiteren wichtigen Aspekt: den Isolierungsgrad. Eine Self-hosted-Lösung lässt sich unterschiedlich konfigurieren:
- ✔️ Hybridmodus — Dokumente und Wissensdatenbank auf Ihrem Server, zur Antwortgenerierung wird jedoch ein externes LLM (OpenAI, Mistral) genutzt. An den LLM-Anbieter werden nur Textfragmente ohne Dateinamen und Metadaten übermittelt. Eine gute Balance zwischen Antwortqualität und Sicherheit.
- ✔️ Vollständig geschlossener Betrieb — alle Komponenten auf Ihrem Server, einschließlich des KI-Modells (z. B. Ollama mit Llama oder Mistral). Keine Anfrage verlässt das Internet. Die Pflichtlösung für medizinische Einrichtungen, Anwaltskanzleien und Behörden.
Welcher Isolierungsgrad für Ihr Unternehmen geeignet ist, hängt von der Branche, den regulatorischen Anforderungen und der Art der Dokumente ab. AskYourDocs hilft dabei, die optimale Konfiguration bereits im ersten Gespräch zu ermitteln: Gemeinsam analysieren wir, welche Daten verarbeitet werden, welche rechtlichen Verpflichtungen bestehen und welches Schutzniveau alle DSGVO-Fragen in Ihrem konkreten Fall klärt — ohne unnötige Kosten für überdimensionierte Isolation.
Für Unternehmen in Deutschland und Österreich ist eine zusätzliche Ebene zu berücksichtigen: Das nationale Datenschutzrecht (BDSG in Deutschland, DSG in Österreich) kann strengere Anforderungen stellen als die DSGVO-Grundverordnung. Mehr dazu im Artikel KI und DSGVO in Deutschland und Österreich: Anforderungen an Unternehmenssysteme.
Fazit: Self-hosted KI ist nicht einfach „sicherer" — sie beseitigt eine ganze Klasse von DSGVO-Risiken, die mit der Weitergabe von Daten an Dritte verbunden sind.