DSGVO-konforme KI

KI nutzen, ohne den Datenschutz zu brechen.

Wir bauen KI-Lösungen, die DSGVO, AI Act, BDSG und Berufsgeheimnisse einhalten – nicht nur auf dem Papier, sondern technisch durchgesetzt. Speziell für regulierte Branchen, Berufsgeheimnisträger und öffentliche Stellen.

  • Schrems-II- und FISA-sichere Architektur durch On-Premise-Deployment
  • Datenschutz-Folgenabschätzung und Verarbeitungsverzeichnis aus einer Hand
  • AI Act-Klassifizierung und Compliance-Implementierung
  • Audit-Trail und Logging für Aufsichtsbehörden
  • Geeignet für § 203 StGB-pflichtige Berufe

Die rechtlichen Herausforderungen

KI ohne juristisches Risiko ist möglich – aber Cloud-LLMs sind nicht der Weg dorthin. Hier die häufigsten Hürden, die wir adressieren.

OpenAI ist nicht DSGVO-konform

Die Übertragung personenbezogener Daten in die USA ohne ausreichende Garantien wurde vom EuGH (Schrems II) für unzulässig erklärt. Microsoft Copilot und ChatGPT Enterprise lösen das Problem nur teilweise.

AI Act 2024/2025/2026

Der EU AI Act stuft viele Business-Anwendungen als "Hochrisiko-KI" ein – mit Pflichten zu Transparenz, Risikomanagement, Dokumentation und menschlicher Aufsicht. Verstöße werden mit bis zu 7 % des Weltumsatzes geahndet.

Berufsgeheimnis & § 203 StGB

Anwälte, Ärzte, Steuerberater und Notare unterliegen strikten Verschwiegenheitspflichten. Die Übermittlung von Mandantendaten an Cloud-LLM-Anbieter ist faktisch ausgeschlossen – außer mit eigener Infrastruktur.

Auftragsverarbeitung & DPA

Auch mit Auftragsverarbeitungsvertrag bleiben Risiken: US-Behörden können nach FISA/CLOUD Act auf Daten zugreifen, auch wenn diese in der EU gespeichert sind. On-Premise ist der einzige verlässliche Weg.

Was wir konkret umsetzen

Compliance ist kein Kreuzchen, sondern technische und organisatorische Maßnahmen. Wir bauen sie direkt in das System ein.

On-Premise Deployment

Alle Modelle und Daten laufen ausschließlich auf Ihrer Infrastruktur. Kein Datenabfluss zu Drittanbietern, keine Subprozessor-Kette. Schrems-II- und FISA-sicher.

Datenschutz-Folgenabschätzung (DSFA)

Wir erstellen die DSFA gemäß Art. 35 DSGVO inkl. Risikobewertung, Maßnahmen und Begründung. Dokumentation, die einer Aufsichtsbehörde standhält.

Verarbeitungsverzeichnis

Erweiterung Ihres Art.-30-Verzeichnisses um die AI-Verarbeitung. Rechtsgrundlagen, Aufbewahrungsfristen, Betroffenenrechte – alles dokumentiert.

Audit-Trail & Logging

Vollständige Protokollierung aller AI-Anfragen mit Zweckbindung, Pseudonymisierung wo möglich, Aufbewahrungslogik gemäß DSGVO.

AI Act Compliance

Klassifizierung Ihres Use Cases nach AI-Act-Risikostufen, Implementierung der erforderlichen Pflichten (Transparenz, Human Oversight, Robustheit, Genauigkeit).

Sicherheitsmaßnahmen

Prompt-Injection-Schutz, Output-Filterung, Rate-Limiting, RBAC, Verschlüsselung in Transit und at Rest. Härtung nach BSI-Grundschutz.

Branchen, für die das besonders relevant ist

Berufsgeheimnisträger und stark regulierte Branchen profitieren am meisten von DSGVO-konformer lokaler KI.

Anwaltskanzleien

Mandantenakten-Analyse, Vertragsprüfung, juristische Recherche – ohne Bruch der Verschwiegenheitspflicht.

Steuerberatung

Belegerkennung, Mandanten-Kommunikation, Steuer-Recherche unter Wahrung der berufsrechtlichen Pflichten.

Arztpraxen & Kliniken

Anamnese-Dokumentation, Diktat-Transkription, Befund-Analyse – konform mit § 203 StGB und Berufsordnung.

Öffentlicher Sektor

Behörden, Kommunen und Hochschulen mit besonders hohen Anforderungen an Datensouveränität und Dokumentation.

Häufige Fragen zur DSGVO-konformen KI

Ist ChatGPT DSGVO-konform für Unternehmen nutzbar?+
Kurz: Nein, nicht ohne erheblichen Aufwand. Die kostenlose und Plus-Version von ChatGPT ist klar nicht DSGVO-konform. ChatGPT Enterprise bietet einen DPA, aber: Daten gehen weiterhin an US-Server, und nach dem CLOUD Act können US-Behörden Zugriff verlangen. Für regulierte Branchen (Anwälte, Ärzte, Steuerberater) ist das nicht akzeptabel. Microsoft Copilot mit "EU Data Boundary" verbessert die Lage, löst aber das FISA-Problem nicht vollständig.
Was schreibt der EU AI Act für Unternehmen vor?+
Der AI Act stuft KI-Systeme in vier Risikostufen ein: minimal, begrenzt, hoch und inakzeptabel. Viele Business-Anwendungen (z.B. Bewerberauswahl, Kreditbewertung, Bildung) fallen unter "Hochrisiko" und erfordern Risikomanagement-System, Daten-Governance, technische Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit/Robustheit und Konformitätsbewertung. Verstöße werden mit bis zu 35 Mio. € oder 7 % des Weltumsatzes geahndet.
Was ist eine Datenschutz-Folgenabschätzung (DSFA) und wann ist sie nötig?+
Eine DSFA gemäß Art. 35 DSGVO ist Pflicht, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat". Bei KI-Systemen, die personenbezogene Daten verarbeiten oder automatisierte Entscheidungen treffen, ist die DSFA praktisch immer erforderlich. Wir erstellen die DSFA, dokumentieren Risiken, Maßnahmen und Restrisiken.
Können Anwälte und Ärzte ChatGPT nutzen?+
Für die Bearbeitung mandanten- oder patientenbezogener Daten ist die Nutzung externer Cloud-LLMs faktisch ausgeschlossen – die Verschwiegenheitspflicht nach § 203 StGB sieht keine "Erlaubnis-Klausel" für AI-Anbieter vor. Für allgemeine Recherche-Aufgaben ohne Personenbezug ist die Nutzung mit Vorsicht möglich. Die saubere Lösung ist lokale KI: Dann gibt es keine Übermittlung an Dritte und damit keinen Verstoß.
Wie funktioniert AI Act-Compliance in der Praxis?+
Wir prüfen zunächst, in welche Risikostufe Ihr Use Case fällt. Bei Hochrisiko-KI erstellen wir Risikomanagement-System, technische Dokumentation, Daten-Governance-Prozesse und implementieren Logging/Monitoring. Bei begrenztem Risiko reichen Transparenz-Hinweise und Dokumentation. Die Compliance wird "by design" in das System eingebaut, nicht nachträglich aufgesetzt.
Was kostet DSGVO/AI-Act-Compliance-Beratung?+
Eine erste Bewertung Ihres Use Cases (Risiko-Klassifizierung, Lückenanalyse) kostet ca. 2.500–5.000 €. Eine vollständige DSFA mit Maßnahmenkatalog liegt typischerweise bei 5.000–15.000 €, abhängig von der Komplexität. Die laufende Begleitung (Quartals-Reviews, Audit-Vorbereitung) bieten wir als Wartungsvertrag an.

KI rechtssicher einführen – wir zeigen Ihnen wie.

Egal ob Anwaltskanzlei, Klinik oder öffentlicher Auftraggeber: Wir bauen KI, die juristisch sauber dokumentiert und technisch durchgesetzt ist.

Compliance-Check anfragen