DSGVO-konforme KI im Unternehmen — ohne Trial-and-Error.
Die meisten KI-Pilotprojekte in deutschen KMU scheitern nicht an Technik, sondern an einer DSGVO-Frage, die zu spät gestellt wurde. Hier sind die sechs Prüfpunkte, drei produktive Architekturen und der Weg zu einem Senior-Experten, der das Setup vorher schon gebaut hat.
Die sechs Prüfpunkte für DSGVO-konforme KI
Jeder Punkt muss vor dem ersten produktiven Prompt sitzen — sonst wird das Projekt entweder gestoppt oder später teuer zurückgebaut.
- 1
Datenstandort & Verarbeiter
Hosting ausschließlich in der EU (idealerweise DE), AVV nach Art. 28 DSGVO, kein Drittland-Transfer ohne SCCs und TIA.
- 2
Modell-Wahl
EU-gehostete Modelle (Mistral, Aleph Alpha, lokale Llama/Qwen) oder Azure-OpenAI EU mit dokumentiertem Datenfluss — kein Training auf Ihren Inhalten.
- 3
Datenminimierung & Pseudonymisierung
Personenbezogene Daten werden vor dem Prompt gefiltert oder pseudonymisiert; Audit-Log über jede Verarbeitung.
- 4
Löschkonzept
Definierte Retention für Logs, Embeddings, Vektorindex — Recht auf Löschung (Art. 17) operativ umsetzbar.
- 5
Transparenz & Mitbestimmung
Datenschutzfolgenabschätzung (DSFA), Information an Betroffene, Mitbestimmung durch Betriebsrat dokumentiert.
- 6
EU AI Act Readiness
Klassifikation des Systems (verbotene/Hoch-Risiko/begrenzt-Risiko), Risikomanagement, Logging und menschliche Aufsicht.
Drei DSGVO-konforme Architekturen, die in KMU funktionieren
Aus Projekten im Kinact-Netzwerk — alle drei sind in unter 12 Wochen produktiv geworden.
On-Premise LLM
Llama 3 / Qwen 2.5 auf eigenen GPUs (oder dedizierter DE-Cloud). Daten verlassen das Haus nie.
- Maximale Kontrolle
- Höhere CapEx, niedrige OpEx
EU-Cloud-LLM
Mistral / Aleph Alpha in EU-Regionen, AVV nach DSGVO, kein Training auf Ihren Daten.
- Best Trade-off für die meisten KMU
- Schneller produktiv
Azure-OpenAI EU
GPT-4-Klasse-Modelle in EU-Region, mit AVV, deaktiviertem Training und dokumentiertem Datenfluss.
- Top-Modell-Qualität
- DSFA + AVV zwingend
Drei DSGVO-konforme Use-Cases aus dem Mittelstand
- Versicherung
Schadenautomatisierung mit pseudonymisierten Falldaten, Modell in Azure-EU, Audit-Trail für BaFin.
- Maschinenbau
RAG auf technischer Doku (on-prem Llama), keine externen Modell-Calls, Service-Techniker bekommen sofort die richtige Anleitung.
- Buchhaltung
Eingangsrechnungs-OCR + Datev-Verbuchung, vollständig in deutscher Cloud, Belegdaten verlassen das Haus nicht.
Häufige Fragen
Ist ChatGPT DSGVO-konform nutzbar?
Die Consumer-Version nicht. Für Unternehmen geht es nur über Azure-OpenAI EU oder die OpenAI-Enterprise-Variante mit AVV, deaktiviertem Training und EU-Region — und nur, wenn ein dokumentierter Datenfluss + DSFA vorliegt.
Reicht der Standort EU aus?
Nein. EU-Hosting ist eine Mindestbedingung. Sie brauchen zusätzlich AVV, Löschkonzept, Datenminimierung im Prompt, eine DSFA und je nach Anwendungsfall eine EU-AI-Act-Klassifikation.
On-Premise oder Cloud?
On-Premise (z. B. Llama 3 / Qwen 2.5 auf eigenen GPUs) ist DSGVO-sicher, aber teuer im Betrieb. EU-Cloud (Aleph Alpha, Mistral, Azure-EU) ist meist der bessere Trade-off für KMU — mit klaren Verträgen genauso konform.
Was prüft Kinact konkret?
Jeder Experte im Netzwerk muss DSGVO-Erfahrung nachweisen (mind. ein abgeschlossenes Projekt mit DSFA und AVV-Setup). Wir matchen nur Profile, die das Setup vorher schon einmal gebaut haben — keine Trial-and-Error-Projekte auf Ihre Kosten.
Brauchen wir eine DSFA für jedes KI-Projekt?
Bei personenbezogenen oder potenziell hoch-risikoreichen Verarbeitungen ja (Art. 35 DSGVO). Unsere Experten machen die DSFA als Teil der Discovery-Phase mit, statt sie am Ende nachzureichen.
Was kostet ein DSGVO-konformes KI-Projekt mehr?
10 – 20 % gegenüber einer naiven OpenAI-API-Integration — fast nichts im Vergleich zu einem späteren Rückbau oder DSGVO-Bußgeld. Wenn früh richtig gemacht, ist es einfach Standardarchitektur.