DSGVO-konforme KI-Tools für deutsche KMU
DSGVO-konforme KI-Tools für deutsche KMU
Welche KI-Werkzeuge erfüllen die Anforderungen der EU-Datenschutz-Grundverordnung, und woran erkennen Sie das? Eine Übersicht für Entscheider:innen im Mittelstand.
Künstliche Intelligenz ist 2026 in den meisten deutschen Unternehmen angekommen, laut Bitkom nutzen 42 Prozent der KMU mindestens ein KI-Werkzeug im operativen Alltag. Doch zwischen US-Anbietern, europäischen Open-Source-Modellen und lokalen Spezialisten ist die Frage „Welches Tool ist eigentlich DSGVO-konform?" für die meisten Verantwortlichen unbeantwortet. Diese Seite bündelt, worauf es ankommt, und welche Anbieter die wesentlichen Nachweise heute liefern.
Was „DSGVO-konform" bei KI-Tools konkret bedeutet
Ein KI-Tool ist nicht per Knopfdruck DSGVO-konform, die Konformität entsteht aus der Kombination von Vertrag, Datenverarbeitungspraxis und technischer Konfiguration. Für den deutschen Mittelstand sind sechs Punkte entscheidend:
1. Auftragsverarbeitungsvertrag (AVV)
Nach Art. 28 DSGVO muss der Anbieter einen AVV anbieten. Ohne unterzeichneten AVV ist eine produktive Nutzung mit personenbezogenen Daten unzulässig.
2. Datenstandort EU
EU-Datenresidenz reduziert das Drittlandtransfer-Risiko. Anbieter, die ausschließlich US-Server nutzen, benötigen Standardvertragsklauseln und eine Folgenabschätzung des Drittlandtransfers (TIA).
3. Opt-out aus Training
Der Anbieter muss in den AGB / Datenschutzbestimmungen verbindlich zusichern, dass Eingabedaten nicht für das Modelltraining verwendet werden.
4. Transparente Subauftragnehmer
Eine vollständige Liste der eingesetzten Unterauftragsverarbeiter (z. B. Cloud-Infrastruktur, Vektordatenbanken) inkl. Standort muss verfügbar sein und Änderungen müssen angekündigt werden.
5. Löschkonzept
Der Anbieter muss dokumentieren, wann und wie Daten gelöscht werden, sowohl die regulären Konversationsdaten als auch Backups und Logs.
6. Rolle nach EU AI Act
Spätestens ab August 2026 muss klar sein, ob das Tool als „Hochrisiko-KI" eingestuft wird und welche Pflichten daraus für Sie als Betreiber resultieren.
Anbieter mit starken DSGVO-Nachweisen
In unseren strukturierten Tool-Profilen prüfen wir je Anbieter, welche dieser sechs Punkte dokumentiert sind. Tools, die alle Kernpunkte mit öffentlich verlinkten Quellen abdecken, sind aktuell unter anderem ChatGPT (Enterprise/Team), Claude (Anthropic), DeepL Pro und Mistral Vibe (vormals Le Chat) Enterprise. Die genauen Konditionen, etwa ob das Opt-out automatisch greift oder aktiviert werden muss, unterscheiden sich pro Tarif. Details und Quellen finden Sie im jeweiligen Tool-Profil unter /tools/.
Worauf KMU konkret achten sollten
DSGVO-Konformität ist nicht binär, sie ist eine Pflichtenkette. Vor dem produktiven Einsatz eines KI-Tools im Mittelstand empfehlen wir folgende Prüfreihenfolge:
- AVV anfordern, unterzeichnen und im Vertragsregister ablegen, vor jedem produktiven Einsatz.
- Verarbeitungsverzeichnis (Art. 30 DSGVO) um den neuen Verarbeitungsvorgang ergänzen.
- Mitarbeitende schulen: keine Klarnamen, Gesundheits- oder Bonitätsdaten in Prompts, sofern nicht ausdrücklich abgesichert.
- Bei sensiblen Anwendungsfeldern (HR, Gesundheit, Bonität): Datenschutz-Folgenabschätzung (DSFA) durchführen.
- Anbieter-Status regelmäßig prüfen, Liste der Unterauftragsverarbeiter, Datenstandort und AGB ändern sich.
Unsere Methodik
Jedes Tool-Profil auf KI-Prüfstand beruht auf öffentlich dokumentierten Anbieterangaben. Wir tragen die DSGVO-relevanten Punkte strukturiert zusammen, verlinken die Quelle und nennen das Prüfdatum. Eigene Penetrationstests führen wir nicht durch, wir prüfen die Aussage des Anbieters, nicht die technische Umsetzung im Hintergrund. Diese Trennung steht oben in jedem Tool-Profil. Mehr dazu in unserer Methodik.
Stand: Mai 2026. Diese Seite wird laufend aktualisiert, wenn sich Anbieterangaben ändern oder neue Tools in den Vergleich aufgenommen werden.