KI und DSGVO: Was deutsche Unternehmen 2026 beachten müssen
Letzte Aktualisierung: Mai 2026 | Von: KI-Katalog Redaktion
"Dürfen wir ChatGPT in der Firma nutzen?" — diese Frage beschäftigt 2026 jede IT-Abteilung. Die Antwort ist komplex, aber nicht unmöglich. Dieser Leitfaden erklärt, welche KI-Tools DSGVO-konform einsetzbar sind und worauf Unternehmen achten müssen.
Hinweis: Dieser Artikel ist keine Rechtsberatung, sondern eine praxisorientierte Einordnung. Bei konkreten Fragen konsultieren Sie Ihren Datenschutzbeauftragten.
---
Die 4 entscheidenden DSGVO-Fragen
Bevor ein KI-Tool im Unternehmen eingesetzt wird, müssen vier Fragen geklärt sein:
1. Wo werden die Daten verarbeitet?
Die DSGVO erlaubt Datenverarbeitung grundsätzlich nur innerhalb des EWR (Europäischer Wirtschaftsraum). Für Drittländer (z.B. USA) braucht es eine Rechtsgrundlage.
EU-Server (unbedenklich):
- DeepL — Köln, Deutschland
- Mistral Le Chat — Paris, Frankreich
- Aleph Alpha — Heidelberg, Deutschland
- ChatGPT (Enterprise/Team) — US-Server, aber AVV mit SCCs
- Claude (Team/Enterprise) — US-Server, AVV verfügbar
- GitHub Copilot (Business) — US-Server, GitHub AVV
- Ollama — Eigener Server, keine Cloud
- LM Studio — Desktop-App, offline nutzbar
- Kostenlose Versionen aller Chatbots
- Perplexity (kein dedizierter AVV)
- Die meisten KI-Bildgeneratoren
- Claude (alle Pläne)
- ChatGPT Enterprise/Team
- GitHub Copilot Business
- DeepL Pro
- ChatGPT Free/Plus (Opt-out in Einstellungen)
- Gemini (Google-weite Datenschutzeinstellung)
- KI-Kompetenzpflicht: Mitarbeiter, die KI-Systeme bedienen, müssen geschult sein
- Transparenzpflicht: KI-generierte Inhalte müssen als solche gekennzeichnet werden
- Verbotene Praktiken: Social Scoring, biometrische Echtzeit-Überwachung am Arbeitsplatz
- Grün: Keine personenbezogenen Daten (z.B. allgemeine Textgenerierung)
- Gelb: Anonymisierte Daten (z.B. Marktanalysen mit aggregierten Daten)
- Rot: Personenbezogene Daten (z.B. Bewerbungen screenen, Kundendaten analysieren)
- Mistral Le Chat (EU-Server, kostenlos)
- DeepL (deutsches Unternehmen)
- ChatGPT Team ($25/Nutzer/Monat) oder Claude Team ($25/Nutzer/Monat)
- Beide mit AVV und deaktiviertem Training
- Lokale Lösungen: Ollama auf eigenem Server
- Enterprise-Lösungen mit dedizierter Instanz (Azure OpenAI, AWS Bedrock)
- Welche Tools erlaubt sind
- Welche Daten eingegeben werden dürfen
- Wie KI-generierte Inhalte gekennzeichnet werden
- Wer Ansprechpartner bei Fragen ist
US-Server mit EU-Standardvertragsklauseln (bedingt nutzbar):
Lokale Verarbeitung (maximale Kontrolle):
2. Gibt es einen Auftragsverarbeitungsvertrag (AVV)?
Ein AVV ist Pflicht nach Art. 28 DSGVO, wenn personenbezogene Daten verarbeitet werden. Das betrifft praktisch jeden KI-Einsatz in Unternehmen.
AVV-Verfügbarkeit unserer Top-Tools:
| Tool | AVV | Wo zu finden |
|---|---|---|
| ChatGPT (Team/Enterprise) | Ja | OpenAI DPA im Dashboard |
| Claude (Team) | Ja | Anthropic Trust Center |
| DeepL Pro | Ja | DeepL Pro Einstellungen |
| Mistral (API) | Ja | Mistral Platform |
| GitHub Copilot Business | Ja | GitHub Enterprise Agreement |
| Google Gemini (Workspace) | Ja | Google Cloud Vertrag |
Kein AVV verfügbar (Vorsicht!):
3. Werden Daten zum Training verwendet?
Entscheidend ist: Werden die Eingaben der Nutzer zum Trainieren des KI-Modells verwendet?
Training standardmäßig AUS:
Training standardmäßig AN (abschaltbar):
Empfehlung: Nutzen Sie ausschließlich Business/Enterprise-Pläne, bei denen Training standardmäßig deaktiviert ist.
4. EU AI Act — Was kommt ab August 2026?
Der EU AI Act tritt in Stufen in Kraft. Ab 2. August 2026 gelten:
---
Praxis-Leitfaden: KI-Einführung im Unternehmen
Schritt 1: Bestandsaufnahme
Erfassen Sie, welche KI-Tools bereits (inoffiziell) genutzt werden. Erfahrungsgemäß nutzen 60-70% der Mitarbeiter in Bürojobs bereits KI-Tools — oft ohne Wissen der IT.Schritt 2: Risikoklassifizierung
Teilen Sie KI-Anwendungsfälle in Kategorien:Schritt 3: Tool-Auswahl
Für grüne Anwendungsfälle empfehlen wir:
Für gelbe Anwendungsfälle:
Für rote Anwendungsfälle:
Schritt 4: Richtlinie erstellen
Jedes Unternehmen sollte eine KI-Nutzungsrichtlinie haben, die regelt:DSGVO-Ampel für die 20 beliebtesten KI-Tools
In unserem KI-Katalog bewerten wir jedes Tool mit einer DSGVO-Ampel. Hier die Kurzübersicht der 20 meistgenutzten:
| Tool | DSGVO | Server | AVV | Training-Opt-out |
|---|---|---|---|---|
| DeepL | Grün | DE | Ja | Ja |
| Mistral Le Chat | Grün | EU | Ja | Ja |
| Aleph Alpha | Grün | DE | Ja | Ja |
| ChatGPT Enterprise | Gelb | US | Ja | Standard aus |
| Claude Team | Gelb | US | Ja | Standard aus |
| GitHub Copilot Business | Gelb | US | Ja | Standard aus |
| Gemini Workspace | Gelb | US/EU wählbar | Ja | Standard aus |
| ChatGPT Free | Rot | US | Nein | Opt-out möglich |
| Midjourney | Rot | US | Nein | Nein |
| Perplexity | Rot | US | Nein | Nein |
Für die vollständige DSGVO-Bewertung jedes Tools — inklusive Server-Standort, AVV-Verfügbarkeit und Datenweitergabe — besuche die jeweilige Tool-Detailseite in unserem Katalog.
---
Fazit: KI und DSGVO schließen sich nicht aus
Deutsche Unternehmen können 2026 produktiv mit KI arbeiten und gleichzeitig DSGVO-konform bleiben. Der Schlüssel liegt in der richtigen Tool-Auswahl und klaren internen Richtlinien.
Unsere Top-3-Empfehlung für den Einstieg: 1. Mistral Le Chat für allgemeine Textarbeit (EU-Server, kostenlos) 2. DeepL Pro für Übersetzungen (deutsches Unternehmen) 3. Ollama für sensible Daten (komplett lokal)
Alle 1.700+ KI-Tools mit DSGVO-Bewertung in unserem KI-Katalog.