DSGVO-konforme KI im Mittelstand — was geht 2026 wirklich?
ChatGPT-Daten landen in den USA. Das ist für DSGVO-Compliance-Teams ein Schock. Wir zeigen, welche KI-Stacks 2026 DSGVO-konform sind, was Auftragsverarbeitung kostet und wo die juristischen Stolperfallen sitzen.
Die kurze Antwort
DSGVO-konforme KI-Nutzung im Mittelstand ist 2026 möglich — aber nicht mit Default-ChatGPT. Wir empfehlen drei Architektur-Ansätze:
1. EU-Endpoints kommerzieller LLMs (Anthropic Claude EU, OpenAI EU Data Residency, Mistral) 2. Self-Hosted Open-Source-Modelle auf eigener Hardware (Llama 3.3, Mistral Large) 3. Aleph Alpha als deutscher Anbieter (auf deutschem Boden, BSI-zertifiziert)
Welche Variante passt, hängt von Daten-Sensitivität und Budget ab.
Warum Default-ChatGPT problematisch ist
Wenn du im Browser ChatGPT nutzt: - Daten gehen in die USA (OpenAI Hauptsitz) - Standard-Datenschutz-Setting: Daten werden für Training verwendet - Kein AV-Vertrag mit OpenAI für deutsche Mittelständler standardmäßig - Kein Daten-Residenz-Garantie
Das ist für personenbezogene Daten (Kunden-Mails, Mitarbeiter-Daten, Bewerber-CVs, ...) ein klares Nein unter DSGVO.
Variante 1: EU-Endpoints kommerzieller LLMs
Seit 2024 bieten alle großen Anbieter EU-Endpoints:
Anthropic Claude (uns am liebsten): Workspaces können auf EU-Region gestellt werden, Daten werden in Frankfurt verarbeitet, AVV verfügbar, kein Training auf Kunden-Daten.
OpenAI Enterprise / Team: „EU Data Residency" Option seit 2024, AVV verfügbar, kein Training auf Kunden-Daten.
Mistral (französisch): Stand der Daten-Residenz: Frankreich. Sehr gut für DSGVO. AVV standard.
Google Gemini Enterprise: EU-Residency in „europe-west" Regionen, AVV über Google Cloud.
Kosten: Bei API-Nutzung üblich 5-30 € pro Mio Tokens. Bei einem mittelgroßen Use-Case (1k Anfragen pro Tag) entspricht das 50-300 €/Monat.
Variante 2: Self-Hosted Open-Source-Modelle
Llama 3.3 70B oder Mistral Large auf eigener Hardware. Das ist 2026 production-ready für viele Use-Cases.
Hardware-Bedarf: - Llama 70B: 1-2x H100/H200 GPU (45-65k € Anschaffung) oder Cloud (5-10 €/h) - Mistral 7B (kleineres Modell, weniger Quality): einfache Hardware ab 4k €
Vorteile: 100% Datenkontrolle. Keine API-Kosten pro Anfrage. Customization: Modell auf deinen Daten fine-tunen. Air-Gapped möglich (für Geheim-Sektor).
Nachteile: Initial-Investment in Hardware oder Cloud-Setup. Du brauchst Engineering um es laufen zu halten. Open-Source-Modelle sind in Quality typischerweise 6-12 Monate hinter Frontier-Modellen.
Wann: Wenn Datensensitivität extrem hoch ist (Patientendaten, Anwaltskanzleien, Regierungs-Behörden), oder wenn API-Kosten bei sehr hohem Volumen unwirtschaftlich werden.
Variante 3: Aleph Alpha (deutscher Anbieter)
Deutsches Unternehmen aus Heidelberg, Modelle auf deutschem Boden gehostet, BSI-zertifizierte Infrastruktur. „Pharia"-Modelle sind speziell für deutsche/europäische Anwendungs-Fälle trainiert.
Vorteile: 100% deutsche Daten-Residenz. BSI-Zertifizierung verfügbar. Politisch beruhigend — keine Abhängigkeit von US-Anbietern.
Nachteile: Modelle sind in Generations-Quality nicht ganz auf Niveau Claude/GPT. Höhere Pricing als US-Anbieter. Kleinere Community/Ecosystem.
Wann: Public-Sector, kritische Infrastruktur, Banken, Versicherungen — überall wo „auf deutschem Boden" Pflicht ist.
Was juristisch wichtig ist
Auch mit DSGVO-konformem Anbieter brauchst du:
1. AV-Vertrag (Auftragsverarbeitungsvertrag): Standard-Form vom Anbieter. Bei großen Anbietern problemlos digital signierbar.
2. Verzeichnis von Verarbeitungstätigkeiten: Das KI-System muss in deinem VVT auftauchen mit Beschreibung der Datenkategorien.
3. Folgenabschätzung (DSFA): Bei sensiblen Daten (Gesundheit, Bewerber, ...) Pflicht.
4. Transparenz-Pflicht: Wenn deine Mitarbeiter oder Kunden mit KI interagieren, müssen sie das wissen.
5. EU AI Act ab 2025/2026: Klassifiziert KI-Systeme nach Risiko. „High-Risk"-Systeme (z.B. Bewerber-Screening) brauchen Risikomanagement-System, Daten-Governance, menschliche Aufsicht.
Was wir bei DAPE KI machen
Für unsere Kunden bauen wir DSGVO-konforme KI-Stacks: - Default-Anbieter: Anthropic Claude EU für Quality, Mistral als Fallback - Daten-Residenz: Frankfurt - AVV: wir kümmern uns um Vertrags-Setup - Architektur: Daten bleiben in deiner DB, LLM bekommt nur per Anfrage relevanten Kontext (RAG-Pattern) - Monitoring: Token-Verbrauch, Kosten, Antwort-Quality
Wenn du KI in deinem Unternehmen einsetzen willst — DSGVO-konform und kein Buzzword-Bingo — beschreib uns dein Vorhaben. Wir machen Discovery + Festpreis-Angebot in 2 Minuten.