KI DSGVO-KONFORM: LOKAL ODER EU-CLOUD?
Kundendaten in ein KI-System geben, ohne die DSGVO zu verletzen: Das geht auf zwei Wegen. Welcher zu deinem Betrieb passt, entscheiden Datenfluss, Vertragslage und Kostenprofil.
Zuletzt aktualisiert: 10. Juli 2026
Kleine und mittlere Unternehmen können KI auf zwei Wegen DSGVO-konform betreiben: mit lokalen Modellen auf eigener Hardware oder mit Diensten in zertifizierten EU-Rechenzentren. Beide Wege sind zulässig. Sie unterscheiden sich in drei Punkten: wohin die Daten fließen, welche Verträge nötig sind und wie sich die Kosten verhalten.
Was lokaler KI-Betrieb bedeutet
Lokaler KI-Betrieb heißt: Das Sprachmodell läuft auf Hardware in deinem Unternehmen. Dokumente, E-Mails und Kundendaten verlassen dein Netzwerk nicht. Es gibt keinen externen Verarbeiter, also auch keinen Auftragsverarbeitungsvertrag für die Modellnutzung und keine Frage nach Drittlandtransfers. Offene Modelle sind dafür heute leistungsfähig genug, um Aufgaben wie Dokumentenauswertung, E-Mail-Vorsortierung oder eine interne Wissensdatenbank zuverlässig zu übernehmen.
Die Verantwortung bleibt dabei vollständig bei dir: Zugriffsrechte, Updates, Backups und die Absicherung der Hardware gehören zum Betrieb dazu. Lokal ist ein Architekturvorteil, kein Freifahrtschein.
Was EU-Cloud-Betrieb bedeutet
EU-Cloud-Betrieb heißt: Ein Anbieter verarbeitet deine Daten in Rechenzentren innerhalb der EU. Rechtliche Basis ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Wichtig ist der Blick auf den Anbieter selbst: Sitzt der Mutterkonzern in den USA, kommt es zusätzlich auf die Transfergrundlage an, etwa einen Angemessenheitsbeschluss oder Standardvertragsklauseln. Rein europäische Anbieter vermeiden diese Zusatzfrage.
Die Cloud punktet beim Einstieg: keine eigene Hardware, schnelle Verfügbarkeit, Skalierung nach Bedarf. Dafür zahlst du laufend pro Nutzung, und die Kosten wachsen mit dem Volumen.
Fünf Kriterien für die Entscheidung
- Sensibilität der Daten. Gesundheitsdaten, Mandanten- oder Personalunterlagen sprechen für lokal. Unkritische Texte vertragen die EU-Cloud.
- Branchenvorgaben. Manche Branchen haben eigene Anforderungen an Datenhaltung und Nachweisbarkeit. Die geben oft die Richtung vor.
- Vorhandene IT. Gibt es einen Server-Raum und jemanden, der Betrieb übernehmen kann oder übernehmen lässt? Dann ist lokal realistisch. Ohne das ist die Cloud der schnellere Start.
- Kostenprofil. Einmalig investieren und dann ohne laufende Gebühren arbeiten, oder klein starten und pro Nutzung zahlen: beides ist legitim, es sollte nur bewusst gewählt sein.
- Volumen und Latenz. Wer täglich große Dokumentmengen verarbeitet, fährt lokal oft wirtschaftlicher. Bei gelegentlicher Nutzung rechnet sich die Cloud.
Der häufigste Fehler
Der häufigste Fehler in der Praxis ist keiner der beiden Wege, sondern der dritte: Mitarbeiter nutzen private KI-Konten im Browser und geben dort Kundendaten ein. Damit verlassen personenbezogene Daten das Unternehmen ohne Vertragsgrundlage und ohne Kontrolle. Wer diesen Zustand beendet, hat den größten DSGVO-Fortschritt schon gemacht, unabhängig davon, welche Architektur danach kommt.
Wie SEGUAI das handhabt
Wir bauen beide Varianten: komplett lokale Systeme auf Hardware bei dir im Haus und Lösungen in zertifizierten EU-Rechenzentren. Welche Architektur passt, klären wir im Erstgespräch anhand deiner Daten, deiner IT und deines Volumens. Mehr dazu unter KI-Automatisierung.
Hinweis: Dieser Artikel beschreibt die technische und organisatorische Umsetzung. Er ersetzt keine Rechtsberatung.
Häufige Fragen
Ist die Nutzung von ChatGPT im Browser für Kundendaten DSGVO-konform?
In der freien Browser-Version ohne Vertragsgrundlage ist das für personenbezogene Daten nicht sauber. Es fehlt ein Auftragsverarbeitungsvertrag, und Eingaben können je nach Einstellung zum Training verwendet werden. Für den betrieblichen Einsatz brauchst du eine Unternehmensvereinbarung mit AVV oder eine Lösung, bei der die Daten dein Haus gar nicht erst verlassen.
Ist eine lokale KI automatisch DSGVO-konform?
Nein. Lokal löst das Übermittlungsproblem, aber nicht die übrigen Pflichten: Zugriffskonzept, Löschfristen, Zweckbindung und technische Sicherheit gelten weiter. Der Vorteil ist, dass du sie vollständig selbst kontrollierst.
Was kostet der lokale Betrieb im Vergleich zur Cloud?
Lokal bedeutet einmalige Hardware- und Einrichtungskosten plus Wartung, dafür keine nutzungsabhängigen Gebühren. Cloud bedeutet geringe Einstiegskosten, dafür laufende Kosten, die mit der Nutzung wachsen. Welche Seite günstiger ist, hängt vom Volumen ab und lässt sich vorab durchrechnen.
Brauche ich für EU-Cloud-Anbieter trotzdem einen AVV?
Ja. Sobald ein Dienstleister personenbezogene Daten für dich verarbeitet, verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Das gilt unabhängig davon, ob der Anbieter in der EU sitzt.
Konkrete Frage zu deinem Betrieb?
Im Erstgespräch klären wir, was das für dein Unternehmen bedeutet. Online, ehrlich, unverbindlich.
Unverbindliches Erstgespräch