Skip to main content
zurück zur übersicht
DSGVOKIDatenschutz

DSGVO-konforme KI: Wie Sie Claude & OpenAI rechtssicher im Unternehmen einsetzen

KI-Modelle US-amerikanischer Anbieter DSGVO-konform nutzen? Geht – mit dem richtigen Setup. Auftragsverarbeitung, Drittlandtransfer, Zero Data Retention und EU-Hosting, erklärt mit Praxis-Checkliste.

Marcel Wiskow

Marcel Wiskow

3. Juli 2026

DSGVO-konforme KI: Wie Sie Claude & OpenAI rechtssicher im Unternehmen einsetzen

„Dürfen wir das überhaupt, mit dem Datenschutz?" — diese Frage stoppt in Deutschland mehr KI-Projekte als jedes technische Problem. Die Sorge ist berechtigt, aber die pauschale Angst ist es nicht: KI von Anbietern wie Anthropic (Claude) oder OpenAI (GPT) lässt sich DSGVO-konform einsetzen — es braucht nur das richtige rechtliche und technische Setup.

Dieser Beitrag zeigt die Bausteine, die dieses Setup ausmachen. Wichtig vorab: Das ist eine technisch-organisatorische Einordnung aus der Praxis, keine Rechtsberatung. Für die verbindliche Bewertung deines konkreten Falls gehört ein:e Datenschutzjurist:in oder dein:e Datenschutzbeauftragte:r mit an den Tisch.

Das Grundproblem: personenbezogene Daten und US-Anbieter

Sobald du personenbezogene Daten (Namen, E-Mails, Kundenanfragen mit Personenbezug) an ein KI-Modell schickst, greift die DSGVO. Und weil die großen Anbieter US-Unternehmen sind, kommen zwei Themen zusammen: die Auftragsverarbeitung (der Anbieter verarbeitet Daten in deinem Auftrag) und der Drittlandtransfer (die Daten verlassen die EU). Beides ist lösbar — Baustein für Baustein.

Baustein 1: Auftragsverarbeitungsvertrag (AVV)

Wenn ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV, engl. DPA) (Gesetzestext). Er regelt, was der Anbieter mit den Daten darf und was nicht.

Die gute Nachricht: Beide großen Anbieter stellen einen AVV bereit. Bei Anthropic sind ein Data Processing Addendum inklusive Standardvertragsklauseln standardmäßig Teil der kommerziellen API-Bedingungen. OpenAI bietet API-Kunden ebenfalls einen AVV, der vor der Verarbeitung personenbezogener Daten abzuschließen ist. Der AVV muss aktiv geschlossen bzw. akzeptiert werden — das ist der erste konkrete To-do-Punkt.

Baustein 2: Der Drittlandtransfer

Daten, die in die USA fließen, brauchen eine Rechtsgrundlage. Seit dem 10. Juli 2023 gibt es dafür wieder einen soliden Weg: Die EU-Kommission hat mit dem EU-U.S. Data Privacy Framework (DPF) einen Angemessenheitsbeschluss gefasst (Durchführungsbeschluss 2023/1795, EUR-Lex). Für nach dem DPF zertifizierte US-Unternehmen dürfen Daten aus der EU fließen wie innerhalb der EU — ohne zusätzliche Schutzmaßnahmen.

Zwei Dinge dazu in der Praxis:

  • Prüfe die DPF-Zertifizierung des jeweiligen Anbieters auf der offiziellen DPF-Liste.
  • Standardvertragsklauseln (SCC) als zweite Absicherung: Anthropic und OpenAI binden SCC ohnehin in ihre AVV ein. So bist du auch dann abgesichert, wenn das DPF — wie seine Vorgänger — juristisch angegriffen werden sollte.

Baustein 3: Kein Training auf deinen Daten & Zero Data Retention

Ein häufiges Missverständnis: „Die trainieren doch ihr Modell mit unseren Daten." Über die API ist das bei beiden Anbietern standardmäßig nicht der Fall — API-Ein- und Ausgaben werden per Voreinstellung nicht zum Modelltraining verwendet. (Das unterscheidet sich von kostenlosen Consumer-Chatoberflächen — für Unternehmen ist die API oder ein Enterprise-Vertrag der richtige Weg.)

Für besonders sensible Daten geht es strenger: Zero Data Retention (ZDR) sorgt dafür, dass der Anbieter Prompts und Antworten gar nicht erst speichert. Bei Anthropic ist ZDR eine Enterprise-Option. Das ist der Baustein, der aus „geht so" ein „sauber" macht, wenn es um Gesundheits-, Finanz- oder andere sensible Daten geht.

Baustein 4: EU-Datenresidenz

Wer die Verarbeitung geografisch in Europa halten will, hat Optionen:

  • Claude über Amazon Bedrock in der Region Frankfurt (eu-central-1) hält Inferenz und zugehörige Daten innerhalb Deutschlands.
  • Claude in Microsoft Foundry / Azure bietet EU-Data-Zone-Deployments.
  • Auf der Claude API steuert der Parameter für die Inferenz-Region, wo verarbeitet wird (EU-Optionen mit möglichem Aufpreis).

EU-Datenresidenz ist nicht für jedes Projekt zwingend — aber sie ist das stärkste Argument gegenüber Datenschutzbeauftragten und ein klares Signal an deine eigenen Kunden.

Baustein 5: Deine Hausaufgaben

Ein Teil der Konformität liegt nicht beim Anbieter, sondern bei dir:

  • Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt (Gesetzestext).
  • Datenminimierung: Schick dem Modell nur, was es wirklich braucht. Personenbezug lässt sich oft vor dem API-Aufruf entfernen oder pseudonymisieren.
  • Transparenz: Betroffene müssen wissen, dass KI im Spiel ist — in Datenschutzerklärung und ggf. direkt im Interface.
  • Verzeichnis der Verarbeitungstätigkeiten & Löschkonzept: Die KI-Verarbeitung gehört dokumentiert wie jede andere.

Praxis-Checkliste

Kurzform für den Projektstart:

  1. AVV mit dem Anbieter abschließen (Art. 28 DSGVO).
  2. DPF-Zertifizierung prüfen + SCC im Vertrag sicherstellen.
  3. API/Enterprise statt kostenloser Consumer-Oberfläche nutzen (kein Training auf deinen Daten).
  4. Bei sensiblen Daten: Zero Data Retention und/oder EU-Datenresidenz aktivieren.
  5. Daten minimieren — pseudonymisieren, was nicht personenbezogen sein muss.
  6. DSFA prüfen (Art. 35), Transparenz herstellen, alles dokumentieren.
  7. Datenschutzbeauftragte:n von Anfang an einbinden.

Häufige Fehler

  • Die Consumer-App im Unternehmen nutzen. Das kostenlose ChatGPT im Browser ist etwas anderes als die API mit AVV. Für Unternehmensdaten führt kein Weg an der vertraglichen Ebene vorbei.
  • „Wir fragen den Datenschutz erst zum Schluss." Dann ist die Architektur schon gebaut — und muss teuer umgebaut werden. Datenschutz gehört in die erste Designentscheidung.
  • Alles verbieten statt gestalten. Die riskanteste Variante ist oft die Schatten-IT: Mitarbeitende, die private KI-Accounts nutzen, weil es offiziell „nicht erlaubt" ist. Ein sauberes, freigegebenes Setup ist sicherer als ein Verbot.

Fazit

DSGVO-konforme KI ist kein Widerspruch, sondern eine Frage des Setups: AVV abschließen, Drittlandtransfer über DPF und SCC absichern, die API statt der Consumer-App nutzen, bei sensiblen Daten ZDR und EU-Residenz aktivieren — und die eigenen Hausaufgaben (DSFA, Datenminimierung, Transparenz) machen. Dann ist der rechtliche Rahmen genauso solide wie bei jedem anderen Cloud-Dienstleister.

Wir bauen KI-Integrationen mit genau diesem Setup — datenschutzkonform von der ersten Architekturentscheidung an. Wenn du ein Projekt planst und wissen willst, wie der DSGVO-Weg für deinen Fall aussieht, lass uns sprechen.

Quellen

Dieser Beitrag ist eine praxisorientierte Einordnung, keine Rechtsberatung. Für die verbindliche Bewertung ziehe Datenschutzjurist:innen bzw. deine:n Datenschutzbeauftragte:n hinzu. Stand: Juli 2026.