Warum dieser Leitfaden existiert

Jedes Ranking der „besten KI-Tools", das Sie online finden, wurde aus San Francisco heraus geschrieben. Die Autoren erwähnen keine Datenresidenz. Sie prüfen nicht, ob eine Auftragsverarbeitungsvereinbarung (AVV) verfügbar ist. Sie behandeln die DSGVO als Fußnote, wenn sie sie überhaupt erwähnen.

Für europäische Unternehmen ist das ein Problem. Sie können sich nicht einfach bei einem KI-Tool anmelden, das Kundendaten an Server in Virginia sendet, und auf das Beste hoffen. Seit das Schrems-II-Urteil das EU-US Privacy Shield für ungültig erklärt hat, und selbst mit dem seit 2023 geltenden EU-US Data Privacy Framework, liegt die Compliance-Last bei Ihnen. Ihre AVV muss jedes Land benennen, in dem Daten verarbeitet werden. Ihre Unterauftragsverarbeiter müssen aufgelistet sein. Ihre Kunden haben das Recht zu erfahren, wohin ihre Informationen gehen.

Wir haben diesen Leitfaden erstellt, weil unsere Kunden immer wieder dieselbe Frage stellten: „Welche KI-Tools kann ich tatsächlich nutzen, ohne ein Compliance-Desaster zu verursachen?" Wir sind eine europäische KI-Beratung mit Sitz in Portugal und arbeiten mit Unternehmen in der gesamten EU. Wir lesen die Nutzungsbedingungen. Wir prüfen, wo die Server stehen. Wir verifizieren, dass die AVV mehr ist als ein Marketing-Häkchen.

Gerade für deutsche Unternehmen ist die Situation besonders anspruchsvoll. Deutschland hat mit dem BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) auf Bundesebene und 16 Landesdatenschutzbeauftragten eines der strengsten Datenschutz-Durchsetzungssysteme in der EU. Die deutschen Aufsichtsbehörden sind bekannt dafür, Bußgelder konsequent zu verhängen und Unternehmen aktiv zu prüfen. Wer in Deutschland KI-Tools einsetzt, muss nicht nur die DSGVO einhalten, sondern auch die Auslegungen der zuständigen Landesbehörde kennen.

Dies ist kein Ranking der „besten" KI-Tools insgesamt. Es ist ein Ranking, das durch einen entscheidenden Filter betrachtet wird: Kann ein europäisches Unternehmen dieses Tool nutzen und dabei DSGVO-konform bleiben?

Wie wir DSGVO-Konformität bewerten

Wir bewerten jedes Tool anhand von fünf Kriterien. Jedes Kriterium ergibt einen Punkt, was eine maximale DSGVO-Bewertung von 5/5 ergibt.

1. EU-Datenresidenz-Option. Kann das Tool Daten ausschließlich innerhalb der EU oder des EWR verarbeiten und speichern? Dies ist der wichtigste Faktor. Tools, die EU-regionales Hosting anbieten, erhalten diesen Punkt. Tools, die Daten „global" speichern, ohne geografische Kontrolle, erhalten ihn nicht.

2. AVV leicht verfügbar. Ist eine unterzeichnete Auftragsverarbeitungsvereinbarung verfügbar, bevor Sie das Tool nutzen? Wir suchen nach AVVs, die auf der Website zugänglich sind und nicht hinter einem Verkaufsgespräch versteckt werden. Die AVV sollte auf spezifische DSGVO-Artikel verweisen und das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter klar benennen.

3. Transparenz bei Unterauftragsverarbeitern. Veröffentlicht der Anbieter eine Liste der Unterauftragsverarbeiter mit deren Standorten? Artikel 28 DSGVO verlangt dies. Wir prüfen, ob die Liste aktuell ist, ob sie Cloud-Infrastrukturanbieter einschließt und ob Kunden über Änderungen informiert werden.

4. Datenlöschungsprozess. Können Sie die vollständige Löschung Ihrer Daten beantragen, und ist der Prozess dokumentiert? Wir achten auf klare Aufbewahrungsfristen, dokumentierte Löschverfahren und die Bestätigung, dass die Löschung sich innerhalb eines angemessenen Zeitraums auch auf Backups erstreckt.

5. Verschlüsselung und Sicherheitszertifizierungen. Verwendet das Tool Verschlüsselung im Ruhezustand und bei der Übertragung? Verfügt der Anbieter über relevante Zertifizierungen wie ISO 27001, SOC 2 Type II oder vergleichbare? Wir vergeben diesen Punkt für dokumentierte, aktuelle Zertifizierungen.

Eine Bewertung von 5/5 bedeutet, dass ein Tool alle fünf Kriterien mit verifizierbarer Dokumentation erfüllt. Eine Bewertung von 3/5 bedeutet, dass das Tool nutzbar ist, aber zusätzliche vertragliche Arbeit oder sorgfältige Konfiguration erfordert. Unter 3/5 empfehlen wir Vorsicht.

Allgemeine KI-Assistenten

Dies sind die Tools, die Ihr Team täglich für Textarbeit, Recherche, Zusammenfassungen und Brainstorming nutzen wird. Die Compliance hier richtig zu gestalten ist entscheidend, denn diese Tools sehen alles.

Claude von Anthropic 4/5
Starker Datenschutzansatz mit EU-API-Verfügbarkeit
Empfohlen
DSGVO-Stärken
  • Trainiert standardmäßig nicht mit Nutzerdaten
  • API-Daten werden nicht länger als 30 Tage aufbewahrt
  • AVV für Business- und API-Pläne verfügbar
  • SOC 2 Type II zertifiziert
Worauf Sie achten sollten
  • EU-spezifische Datenresidenz erfordert API-Konfiguration über AWS-EU-Regionen (Frankfurt, Irland)
  • Gespräche in der kostenlosen Version können aus Sicherheitsgründen überprüft werden
  • Liste der Unterauftragsverarbeiter verfügbar, aber auf Aktualisierungen achten
Beste Option für Unternehmen, die Datenschutz by Design priorisieren. Die API über AWS-EU-Regionen bietet Ihnen echte Datenresidenz. Die Team- und Enterprise-Pläne beinhalten vertragliche Zusagen, nicht mit Ihren Daten zu trainieren.
ChatGPT Enterprise von OpenAI 4/5
Enterprise-Compliance mit Opt-out vom Training
Enterprise
DSGVO-Stärken
  • SOC 2 Type II konform
  • Daten werden nicht für Training verwendet (Enterprise/Team)
  • AVV mit DSGVO-spezifischen Bestimmungen verfügbar
  • SSO und Admin-Kontrollen für Data Governance
Worauf Sie achten sollten
  • EU-Datenresidenz bei Enterprise verfügbar, erfordert aber explizite Konfiguration über Azure-EU-Regionen
  • Kostenlose und Plus-Tarife verwenden Daten für Training, sofern nicht abgelehnt
  • Liste der Unterauftragsverarbeiter enthält US-basierte Unternehmen
Solide Wahl für größere Organisationen. Der Enterprise-Tarif adressiert die meisten DSGVO-Bedenken, aber Sie müssen EU-Datenresidenz beim Onboarding explizit anfordern. Die AVV ist umfassend.
Google Gemini für Workspace 4/5
EU-Datenresidenz über Google-Cloud-Regionen
DSGVO-Stärken
  • EU-Datenresidenz (Rechenzentren in Belgien, Niederlande, Finnland, Deutschland)
  • Data-Regions-Richtlinie erzwingt geografische Grenzen
  • ISO 27001, ISO 27017, ISO 27018, SOC 2/3 zertifiziert
  • Umfassende AVV mit Standardvertragsklauseln
Worauf Sie achten sollten
  • Workspace-Admin muss Data-Region-Policy explizit aktivieren
  • Einige Gemini-Funktionen könnten Daten außerhalb der gewählten Region für Modellinferenz verarbeiten
  • Prüfen Sie, ob KI-Funktionen unter Ihre bestehende Google-Workspace-AVV fallen
Wenn Ihre Organisation bereits auf Google Workspace läuft, hält die Aktivierung von Gemini Ihre Daten innerhalb bestehender Compliance-Grenzen. Die Data-Regions-Funktion ist eine echte Kontrolle, kein Marketing. Bestätigen Sie nur, dass sie speziell für KI-Funktionen gilt.
Microsoft Copilot (Microsoft 365) 4/5
Azure-EU-Grenze mit umfassender Compliance
DSGVO-Stärken
  • EU Data Boundary verpflichtet zur Verarbeitung innerhalb der EU
  • Azure-Regionen in den Niederlanden, Irland, Frankreich, Deutschland, Schweden und weiteren Ländern
  • ISO 27001, SOC 1/2/3, umfangreiches Compliance-Portfolio
  • AVV in die Microsoft Product Terms integriert
Worauf Sie achten sollten
  • EU Data Boundary deckt die meisten Dienste ab, aber verifizieren Sie Copilot gezielt
  • Einige Telemetriedaten fließen möglicherweise noch für Sicherheitsoperationen in die USA
  • Lizenzierungskomplexität kann verschleiern, welche Compliance-Zusagen für Ihren Tarif gelten
Microsoft hat massiv in das EU Data Boundary Programm investiert. Für Organisationen, die bereits Microsoft 365 nutzen, erbt Copilot eine starke Compliance-Infrastruktur. Lesen Sie die produktspezifischen Bedingungen sorgfältig, da möglicherweise nicht alle Copilot-Funktionen zum Start von der EU Data Boundary abgedeckt sind.

KI für Rechtsabteilungen

Rechtsdokumente enthalten einige der sensibelsten Daten, die ein Unternehmen verarbeitet. Mandantengeheimnis, Vertragsbedingungen und Prozessstrategien erfordern die höchsten Compliance-Standards. Detaillierte Funktionsvergleiche finden Sie in unserem vollständigen Ranking der KI-Tools für Anwälte.

Luminance 5/5
Aus Großbritannien, entwickelt für regulierte Branchen
Top-Auswahl
DSGVO-Stärken
  • Hauptsitz in London mit EU-Verarbeitungsoptionen
  • ISO 27001 zertifiziert
  • Daten werden nie zum Training anderer Modelle verwendet
  • On-Premises-Deployment für maximale Kontrolle verfügbar
Worauf Sie achten sollten
  • Angemessenheitsbeschluss für das Vereinigte Königreich nach dem Brexit ist aktuell gültig, aber Änderungen beobachten
  • Enterprise-Preise, nicht geeignet für Einzelanwälte
Der Goldstandard für DSGVO-konforme Rechts-KI. Luminance wurde von Anfang an für regulierte Branchen entwickelt. Die On-Premises-Option bedeutet, dass Ihre Daten Ihre Infrastruktur nie verlassen, wenn Sie dieses Maß an Kontrolle benötigen.
CoCounsel von Thomson Reuters 4/5
Etablierter Rechtsverlag mit starkem AVV-Rahmenwerk
DSGVO-Stärken
  • Thomson Reuters hat jahrzehntelange Erfahrung im Umgang mit regulierten Daten
  • AVV mit DSGVO-spezifischen Bestimmungen leicht verfügbar
  • SOC 2 Type II Zertifizierung
  • Klare Richtlinien zur Datenspeicherung und -löschung
Worauf Sie achten sollten
  • Basiert auf GPT-4-Infrastruktur, Datenrouting verifizieren
  • Bestätigen Sie, dass die EU-Datenresidenz-Option für Ihre Jurisdiktion verfügbar ist
Thomson Reuters versteht rechtliche Compliance. Die AVV ist gründlich, und das Unternehmen hat eine starke Erfolgsbilanz mit regulierten Daten. Verifizieren Sie die spezifische Datenflussarchitektur, da CoCounsel auf KI-Modelle von Drittanbietern angewiesen ist.
Kira Systems (von Litera) 4/5
Vertragsanalyse mit EU-Deployment-Optionen
DSGVO-Stärken
  • EU-Cloud-Deployment-Option verfügbar
  • ISO 27001 und SOC 2 zertifiziert
  • AVV mit Standardvertragsklauseln
  • Gepflegte Liste der Unterauftragsverarbeiter
Worauf Sie achten sollten
  • Muttergesellschaft Litera hat Sitz in den USA
  • EU-exklusive Datenverarbeitung bei Vertragsverhandlung bestätigen
Starkes Vertragsanalyse-Tool mit echtem EU-Deployment. Die Übernahme durch Litera hat die Compliance-Haltung nicht verändert. Fragen Sie beim Vertrieb nach dem EU-spezifischen Deployment.

Buchhaltung & Finanzen

Finanzdaten unterliegen in den meisten EU-Jurisdiktionen zusätzlichen regulatorischen Anforderungen. Steuerunterlagen, Rechnungsdaten und Zahlungsinformationen erfordern eine strikte Datenhandhabung. In Deutschland gelten darüber hinaus die Vorgaben der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Vollständige Tool-Vergleiche finden Sie in unserem Leitfaden zu KI-Tools für die Buchhaltung.

DATEV 5/5
Deutsch, vollständig DSGVO-konform, der EU-Goldstandard
EU-nativ
DSGVO-Stärken
  • Hauptsitz in Nürnberg, alle Daten verbleiben in Deutschland
  • DSGVO-Konformität ist Kernbestandteil des Produkts, kein Zusatz
  • ISO 27001 zertifiziert, regelmäßig von deutschen Behörden geprüft
  • Rechenzentren ausschließlich in Deutschland
Worauf Sie achten sollten
  • Primär deutschsprachige Oberfläche und Support
  • Integrationsökosystem ist auf Deutschland ausgerichtet
Wenn Ihre Buchhaltung auf Deutschland ausgerichtet ist, ist DATEV bei der Compliance unschlagbar. Daten verlassen nie die deutschen Grenzen. Die KI-Funktionen für Steueroptimierung und Dokumentenerkennung basieren auf demselben Fundament. DATEV ist als Genossenschaft organisiert, was bedeutet, dass die Interessen der Steuerberater und Wirtschaftsprüfer im Mittelpunkt stehen. Die DSGVO-Konformität wird durch das DATEV Trust Center dokumentiert und regelmäßig durch unabhängige Prüfer bestätigt. Die Sprachbarriere ist die Haupteinschränkung für Unternehmen außerhalb des DACH-Raums.
Candis 5/5
Berliner Rechnungsautomatisierung mit DSGVO by Design
DSGVO-Stärken
  • Hauptsitz in Berlin, ausschließlich EU-Datenverarbeitung
  • KI-gestützte Rechnungserkennung, trainiert mit europäischen Dokumenten
  • AVV auf der Website verfügbar
  • DATEV-Integration für nahtlose deutsche Compliance
Worauf Sie achten sollten
  • Fokus auf den DACH-Markt, Expansion in andere EU-Länder
  • Liste der Unterauftragsverarbeiter auf nicht-EU-basierte Cloud-Anbieter prüfen
Hervorragende Wahl für europäische KMU, die KI-gestützte Rechnungsverarbeitung ohne Compliance-Kopfschmerzen benötigen. In Europa entwickelt, für Europa.
Dext (ehemals Receipt Bank) 4/5
Britische Buchhaltungsautomatisierung mit EU-Verarbeitung
DSGVO-Stärken
  • EU-Datenverarbeitung verfügbar
  • AVV mit Standardvertragsklauseln
  • ISO 27001 zertifiziert
  • Klare Richtlinien zur Datenspeicherung
Worauf Sie achten sollten
  • Hauptsitz im Vereinigten Königreich, Angemessenheitsbeschluss nach dem Brexit gilt
  • Teile der OCR-Verarbeitung könnten Drittanbieter-Dienste einbeziehen
Gut etabliert in Europa mit Millionen verarbeiteter Dokumente. Die DSGVO-Infrastruktur ist ausgereift. Bestätigen Sie die spezifischen Datenverarbeitungsstandorte beim Onboarding.

Kundenkommunikation

KI-Tools für den Kundenkontakt verarbeiten per Definition personenbezogene Daten: Namen, E-Mail-Adressen, Kaufhistorie, Supportgespräche. Hier ist DSGVO-Konformität am sichtbarsten von Bedeutung. Einen breiteren Überblick über Chatbot-Optionen finden Sie in unserem Leitfaden zu KI-Chatbots für kleine Unternehmen.

HiJiffy 5/5
Portugiesisch, DSGVO-nativ, KI für Hotelkommunikation
EU-nativ
DSGVO-Stärken
  • Hauptsitz in Lissabon, alle Daten werden innerhalb der EU verarbeitet
  • Von Anfang an für die europäische Hotellerie entwickelt
  • AVV in Standardverträgen enthalten
  • Umgang mit Gästedaten folgt den DSGVO-Richtlinien der Hotelbranche
Worauf Sie achten sollten
  • Auf Hotellerie spezialisiert, kein Allzweck-Chatbot
  • Integrationen mit US-basierten Buchungsplattformen können Datenflüsse außerhalb der EU erzeugen
Eine echte europäische Erfolgsgeschichte. HiJiffy beweist, dass man keine Silicon-Valley-Adresse braucht, um erstklassige KI zu entwickeln. DSGVO-Konformität ist keine Funktion, die nachträglich hinzugefügt wurde. Sie ist das Fundament, auf dem das Produkt gebaut wurde.
Tidio 4/5
Polnischer Kundenservice-KI mit EU-Infrastruktur
DSGVO-Stärken
  • Hauptsitz in Stettin, Polen
  • EU-Datenverarbeitung mit Servern in der EU
  • AVV auf der Website verfügbar
  • Eingebaute Kontrollen für Cookie-Einwilligung und Besucherverfolgung
Worauf Sie achten sollten
  • Einige KI-Funktionen könnten US-basierte Modelle für die Inferenz verwenden
  • Liste der Unterauftragsverarbeiter auf nicht-EU-basierte Unternehmen prüfen
Gute europäische Alternative für E-Commerce- und Dienstleistungsunternehmen. Das polnische Entwicklungsteam versteht EU-Compliance-Anforderungen von Grund auf. Die Preise sind für KMU wettbewerbsfähig.
Freshdesk von Freshworks 4/5
EU-Rechenzentrum-Option mit KI-gestützten Supportfunktionen
DSGVO-Stärken
  • EU-Rechenzentrum-Option (Frankfurt)
  • DSGVO-Compliance-Dokumentation öffentlich verfügbar
  • AVV mit Standardvertragsklauseln
  • Tools zur Datenlöschung und Exportfunktionalität
Worauf Sie achten sollten
  • US-Hauptsitz, verifizieren Sie, dass alle KI-Funktionen im EU-Rechenzentrum bleiben
  • Freddy-KI-Funktionen könnten eine andere Datenverarbeitung haben als der Kern-Helpdesk
Freshdesk hat echte Anstrengungen bei der DSGVO-Konformität unternommen. Die EU-Rechenzentrum-Option ist real. Bestätigen Sie nur, dass die Freddy-KI-Funktionen gezielt über EU-Infrastruktur geleitet werden, da KI-Funktionen manchmal separate Verarbeitungspipelines haben.
Intercom 4/5
EU-Hosting-Option mit KI-Lösungsfunktionen
DSGVO-Stärken
  • EU-regionales Hosting verfügbar (Dublin)
  • AVV und Liste der Unterauftragsverarbeiter veröffentlicht
  • SOC 2 Type II zertifiziert
  • DSGVO-spezifische Produktfunktionen (Einwilligung, Datenportabilität, Recht auf Löschung)
Worauf Sie achten sollten
  • US-Hauptsitz, stellen Sie sicher, dass EU-Hosting beim Setup ausgewählt wird
  • Fin-KI-Agent könnte Daten über zusätzliche Unterauftragsverarbeiter verarbeiten
Intercom hat erheblich in EU-Compliance investiert, teilweise getrieben durch die irischen Wurzeln. Die EU-Hosting-Option ist echt, und die DSGVO-Tools sind in das Produkt integriert. Verifizieren Sie die Datenflüsse des Fin-KI-Agenten gezielt.

Marketing & CRM

Marketing-Tools verarbeiten Kontaktlisten, Verhaltensdaten und Kommunikationspräferenzen. Unter der DSGVO ist jede E-Mail-Adresse ein personenbezogenes Datum. Jeder Tracking-Pixel erfordert eine Einwilligung. Wählen Sie sorgfältig.

HubSpot 4/5
EU-Rechenzentrum in Frankfurt mit KI-gestütztem CRM
DSGVO-Stärken
  • EU-Datenhosting verfügbar (Rechenzentrum Frankfurt)
  • DSGVO-spezifische Funktionen: Cookie-Einwilligung, Datenverarbeitungseinwilligung, Recht-auf-Vergessenwerden-Tools
  • AVV automatisch in den Nutzungsbedingungen enthalten
  • ISO 27001 und SOC 2 Type II zertifiziert
Worauf Sie achten sollten
  • EU-Hosting muss bei der Kontoerstellung ausgewählt werden, nachträgliche Migration nicht möglich
  • Einige Drittanbieter-Integrationen könnten Daten außerhalb der EU verarbeiten
  • KI-Funktionen (ChatSpot, Content Assistant) könnten separate Verarbeitung haben
HubSpots EU-Rechenzentrum ist eine echte Option, kein Marketingversprechen. Die DSGVO-Tools sind ausgezeichnet, mit eingebautem Einwilligungsmanagement und Rechtsgrundlagen-Tracking. Entscheidend: Wählen Sie EU-Hosting bei der Kontoerstellung. Eine nachträgliche Migration ist nicht unkompliziert.
Brevo (ehemals Sendinblue) 5/5
Französisch, DSGVO im Kern
EU-nativ
DSGVO-Stärken
  • Hauptsitz in Paris, alle Daten werden in der EU verarbeitet
  • KI-Funktionen für Sendezeitoptimierung und Engagement-Scoring
  • AVV standardmäßig für alle Konten enthalten
  • ISO 27001 zertifiziert, CNIL-konform
Worauf Sie achten sollten
  • Funktionsumfang ist schmaler als HubSpot für komplexe CRM-Anforderungen
  • Datenverarbeitung für SMS- und WhatsApp-Kanäle gezielt verifizieren
Die europäische Alternative zu Mailchimp. Brevo hat seinen Hauptsitz in Frankreich, verarbeitet Daten in der EU und beinhaltet DSGVO-Konformität als Standard. Die KI-Funktionen sind solide für E-Mail-Marketing. Wenn DSGVO für Sie Vorrang vor Funktionsbreite hat, ist Brevo die sicherere Wahl.
Mailchimp (Intuit) 3/5
Weit verbreitet mit DSGVO-Tools, aber US-basierte Verarbeitung
DSGVO-Stärken
  • DSGVO-freundliche Anmeldeformulare mit Einwilligungsfeldern
  • AVV verfügbar, verweist auf EU-US Data Privacy Framework
  • Tools für Datenexport und -löschung verfügbar
Worauf Sie achten sollten
  • Daten werden hauptsächlich in den USA verarbeitet
  • Keine dedizierte EU-Datenresidenz-Option
  • Stützt sich auf das EU-US Data Privacy Framework für Übermittlungen
Mailchimp hat DSGVO-Tools, aber die Daten gehen weiterhin in die USA. Für Unternehmen, die strikte EU-Datenresidenz benötigen, sind Brevo oder HubSpot mit EU-Hosting die besseren Optionen. Mailchimp funktioniert, wenn Sie Übermittlungsmechanismen unter dem EU-US Data Privacy Framework akzeptieren. Dieses Framework könnte jedoch künftigen rechtlichen Herausforderungen ausgesetzt sein.

Dokumente & Übersetzung

Dokumenten-Tools verarbeiten häufig vertrauliche Geschäftsinformationen. Übersetzungs-Tools sehen Verträge, E-Mails und interne Kommunikation. In einem mehrsprachigen europäischen Unternehmen sind diese Tools unverzichtbar, und sie müssen konform sein.

DeepL 5/5
Aus Deutschland, DSGVO by Design, der europäische Champion
EU-nativ
DSGVO-Stärken
  • Hauptsitz in Köln, Deutschland
  • Pro-Version: Texte werden sofort nach der Übersetzung gelöscht
  • ISO 27001 zertifiziert
  • AVV verfügbar, Server ausschließlich in der EU (Finnland und weitere EU-Standorte)
Worauf Sie achten sollten
  • Kostenlose Version kann Texte zur Modellverbesserung nutzen (Pro-Version für Unternehmen verwenden)
  • DeepL Write und neuere KI-Funktionen könnten eine andere Verarbeitung haben
DeepL ist der Beweis, dass europäische KI-Unternehmen weltweit führend sein können. Die Übersetzungsqualität erreicht oder übertrifft Google Translate für europäische Sprachen, und die DSGVO-Konformität ist vorbildlich. Jedes europäische Unternehmen sollte DeepL Pro anstelle kostenloser Übersetzungstools verwenden.
Notion 4/5
EU-Datenresidenz mit KI-gestützten Workspace-Funktionen
DSGVO-Stärken
  • EU-Datenresidenz-Option verfügbar (Irland)
  • SOC 2 Type II zertifiziert
  • AVV auf der Website verfügbar
  • Notion AI trainiert nicht mit Kundendaten
Worauf Sie achten sollten
  • US-Hauptsitz
  • Notion-KI-Funktionen könnten über nicht-EU-basierte Anbieter für Inferenz geleitet werden
  • Liste der Unterauftragsverarbeiter auf KI-spezifische Datenflüsse prüfen
Notion hat echte EU-Datenresidenz hinzugefügt. Der Workspace selbst ist konform. Für die KI-Funktionen bestätigen Sie die spezifische Datenverarbeitungspipeline, da Notion AI auf Sprachmodelle von Drittanbietern angewiesen ist.
Google Workspace (Docs, Drive, Sheets) 4/5
EU-Datenregionen mit integrierter KI in der gesamten Produktivitätssuite
DSGVO-Stärken
  • Data-Regions-Funktion beschränkt die Speicherung auf die EU
  • Umfangreiche Compliance-Zertifizierungen (ISO 27001, SOC 2/3)
  • Umfassende AVV mit Standardvertragsklauseln
  • Admin-Kontrollen für Datenzugriff und -freigabe
Worauf Sie achten sollten
  • Data Regions gilt für primäre ruhende Daten, nicht für jede Verarbeitung
  • Gemini-KI-Funktionen könnten über andere Infrastruktur verarbeitet werden
  • Erfordert Business Standard oder höher für Datenregionen
Google Workspace Data Regions bieten echte geografische Kontrolle. Für die KI-Funktionen (Gemini-Integration) verifizieren Sie separat, dass die Verarbeitung innerhalb der EU-Grenzen bleibt. Die Compliance-Dokumentation ist gründlich, aber umfangreich.

Branchenspezifische DSGVO-konforme KI-Tools

Verschiedene Branchen haben zusätzliche Compliance-Anforderungen neben der DSGVO. Hier sind Tools, die wir für spezifische Sektoren verifiziert haben. Jeder Eintrag verlinkt auf unseren detaillierten Branchenleitfaden.

Zahnarztpraxen: Patientendaten fallen sowohl unter die DSGVO als auch unter die Gesundheitsdatenregulierung (Artikel 9 DSGVO). In Deutschland gelten zusätzlich die Anforderungen der Kassenärztlichen Bundesvereinigung und der Landesdatenschutzbeauftragten für den Umgang mit Gesundheitsdaten. Tools wie Dentally (UK-basiert, EU-Verarbeitung) und Dental Monitoring (Frankreich) behandeln Gesundheitsdaten mit angemessenen Schutzmaßnahmen. Vollständiger Leitfaden für Zahnarzt-KI.

Immobilien: Immobilientransaktionen umfassen Ausweisdokumente, Finanzinformationen und Adressdaten. EU-basierte CRM-Tools wie Propstack (Deutschland) handhaben dies nativ. In Deutschland müssen zusätzlich die Anforderungen des Geldwäschegesetzes (GwG) bei der Datenverarbeitung beachtet werden. Vollständiger Leitfaden für Immobilien-KI.

Restaurants: Reservierungsdaten, Ernährungspräferenzen und Zahlungsinformationen erfordern DSGVO-konforme Handhabung. Tools wie Formitable (Niederlande) und TheFork (Frankreich/TripAdvisor) verarbeiten Daten innerhalb der EU. Vollständiger Leitfaden für Restaurant-KI.

Hotels: Gästedaten, Passkopien und Buchungsinformationen erfordern strikte Compliance. HiJiffy (Portugal) und SiteMinder (mit EU-Verarbeitung) sind starke Optionen. Vollständiger Leitfaden für Hotel-KI.

Warnzeichen, auf die Sie achten sollten

Bei der Bewertung eines KI-Tools für Ihr europäisches Unternehmen sollten diese Warnsignale Sie innehalten und weitere Nachforschungen anstellen lassen, bevor Sie sich anmelden.

Keine AVV auf der Website verfügbar. Wenn Sie eine Auftragsverarbeitungsvereinbarung über ein Verkaufsgespräch anfordern müssen, nimmt der Anbieter die DSGVO nicht ernst. Konforme Anbieter veröffentlichen ihre AVV oder stellen sie bei der Registrierung zur Verfügung. Ein Unternehmen, das seine AVV versteckt, hat wahrscheinlich etwas darin, das Sie nicht lesen sollen, bevor Sie sich binden.

Daten „global" gespeichert ohne EU-Option. „Wir nutzen erstklassige Cloud-Infrastruktur" ist keine Compliance-Aussage. Sie müssen konkret wissen, durch welche Länder Ihre Daten fließen. Wenn der Anbieter Ihnen das nicht sagen kann, weiß er es wahrscheinlich selbst nicht.

„DSGVO-konform" ohne Dokumentation. Die Behauptung der DSGVO-Konformität auf einer Marketingseite ist ohne unterstützende Dokumentation bedeutungslos. Achten Sie auf spezifische Zertifizierungen (ISO 27001, SOC 2), benannte Datenschutzbeauftragte und veröffentlichte Datenschutz-Folgenabschätzungen. Der Begriff „DSGVO-konform" ist nicht reguliert. Jeder kann ihn verwenden.

Keine Liste der Unterauftragsverarbeiter. Artikel 28 Absatz 2 DSGVO verlangt, dass Auftragsverarbeiter Verantwortliche über Unterauftragsverarbeiter informieren. Wenn ein Anbieter Ihnen nicht mitteilen will, wer Ihre Daten noch anfasst, ist das ein Verstoß, der darauf wartet, zu passieren. Konforme Anbieter veröffentlichen diese Liste und benachrichtigen Sie bei Änderungen.

Vage Löschrichtlinien. „Wir löschen Ihre Daten, wenn Sie Ihr Konto kündigen" ist nicht spezifisch genug. Sie müssen wissen: Wie lange bis zur Löschung? Umfasst sie Backups? Wird die Löschung bestätigt? Was ist mit Daten, die bereits mit Unterauftragsverarbeitern geteilt wurden? Achten Sie auf konkrete Zeitrahmen, typischerweise 30 bis 90 Tage für Produktionsdaten und 6 bis 12 Monate für die Backup-Rotation.

„Wir trainieren nicht mit Ihren Daten" ohne vertragliche Absicherung. Ein Blogbeitrag mit der Aussage „Wir trainieren nicht mit Ihren Daten" ist keine rechtliche Verpflichtung. Dieses Versprechen muss in der AVV oder den Nutzungsbedingungen erscheinen. Blogbeiträge können bearbeitet werden. Verträge nicht (so einfach).

Der 5-Minuten-DSGVO-Check

Bevor Sie sich bei einem KI-Tool anmelden, gehen Sie diese Checkliste durch. Es dauert fünf Minuten und kann Ihnen Monate an Compliance-Problemen ersparen.

  • AVV finden. Suchen Sie auf der Website des Anbieters nach „Auftragsverarbeitungsvereinbarung", „Data Processing Agreement" oder „AVV". Wenn sie öffentlich verfügbar ist, laden Sie sie herunter und lesen Sie sie. Wenn sie nicht verfügbar ist, schreiben Sie an das Datenschutz-Team und fordern Sie sie an. Keine Antwort innerhalb einer Woche? Ziehen Sie weiter.
  • Datenresidenz prüfen. Suchen Sie in der Dokumentation nach „Rechenzentrumsstandorte" oder „Datenresidenz". Sie benötigen mindestens eine EU/EWR-Option. Wenn die einzige Option USA oder „global" ist, erfordert dieses Tool zusätzliche rechtliche Arbeit für eine konforme Nutzung.
  • Liste der Unterauftragsverarbeiter finden. Suchen Sie nach „Unterauftragsverarbeiter" oder „sub-processors" auf der Trust-Seite oder Sicherheitsdokumentation des Anbieters. Die Liste sollte Firmennamen, Standorte und Zwecke enthalten. Wenn sie nicht existiert, fordern Sie sie an.
  • Löschprozess testen. Erstellen Sie ein Testkonto, fügen Sie Testdaten hinzu und beantragen Sie dann die Löschung. Wie einfach war es? Haben Sie eine Bestätigung erhalten? Wie lange wurde Ihnen als Zeitrahmen genannt? Das sagt Ihnen mehr über echte Compliance als jede Marketingseite.
  • Zertifizierungen prüfen. Suchen Sie nach ISO 27001, SOC 2 oder gleichwertigen Zertifizierungen. Diese sollten aktuell (nicht abgelaufen) und von anerkannten Prüfern ausgestellt sein. Eine Zertifizierung aus dem Jahr 2022 deckt möglicherweise nicht die aktuellen KI-Funktionen ab, die 2025 hinzugefügt wurden.
  • KI-spezifische Bedingungen lesen. Viele Anbieter haben separate Bedingungen für KI-Funktionen. Die Haupt-AVV deckt möglicherweise das Kernprodukt ab, aber KI-Funktionen könnten Daten anders verarbeiten. Achten Sie auf ergänzende Bedingungen, KI-Nachträge oder separate Datenschutzhinweise für KI-Funktionen.

Wenn ein Tool alle sechs Prüfungen besteht, können Sie mit angemessener Zuversicht fortfahren. Wenn es bei der Datenresidenz oder der AVV durchfällt, konsultieren Sie einen Datenschutzexperten, bevor Sie weitermachen.

Deutsche Datenschutzaufsichtsbehörden

Deutschland verfügt über ein einzigartiges duales System der Datenschutzaufsicht, das für Unternehmen besonders relevant ist, die KI-Tools einsetzen möchten.

BfDI: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Der BfDI ist für die Datenschutzaufsicht auf Bundesebene zuständig. Er überwacht Bundesbehörden und Telekommunikationsunternehmen. Für privatwirtschaftliche Unternehmen ist der BfDI vor allem als richtungsweisende Instanz wichtig, da seine Stellungnahmen und Leitlinien zu KI-Themen die Auslegung durch die Landesbehörden beeinflussen.

Landesdatenschutzbeauftragte

Jedes der 16 Bundesländer hat eine eigene Datenschutzaufsichtsbehörde. Für privatwirtschaftliche Unternehmen ist die Landesbehörde des Bundeslandes zuständig, in dem das Unternehmen seinen Sitz hat. Das bedeutet konkret: Ein Unternehmen in München unterliegt dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), ein Unternehmen in Hamburg der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.

Diese dezentrale Struktur hat Konsequenzen für den Einsatz von KI-Tools. Die Landesbehörden können unterschiedliche Schwerpunkte setzen und teilweise voneinander abweichende Auslegungen der DSGVO vertreten. Beispielsweise hat das BayLDA in der Vergangenheit Bußgelder wegen unzureichender Auftragsverarbeitungsverträge verhängt. Die Berliner Beauftragte für Datenschutz war bei der Bewertung von Cloud-Diensten mit US-Bezug besonders streng.

Konkrete Anforderungen für den deutschen Markt

Beim Einsatz von KI-Tools in Deutschland sollten Sie zusätzlich zu den allgemeinen DSGVO-Anforderungen Folgendes beachten:

Datenschutz-Folgenabschätzung (DSFA). Der Einsatz von KI-Systemen, die personenbezogene Daten verarbeiten, erfordert in vielen Fällen eine DSFA gemäß Artikel 35 DSGVO. Die deutschen Aufsichtsbehörden haben eine gemeinsame „Blacklist" veröffentlicht, die Verarbeitungstätigkeiten aufzählt, bei denen eine DSFA verpflichtend ist. KI-gestützte Profiling-Systeme stehen auf dieser Liste.

Betriebsrat-Beteiligung. In Unternehmen mit Betriebsrat hat dieser gemäß Betriebsverfassungsgesetz (BetrVG) ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die zur Überwachung von Arbeitnehmerverhalten geeignet sind. KI-Tools fallen häufig darunter. Die Einführung ohne Betriebsratsbeteiligung kann angefochten werden.

Technische und organisatorische Maßnahmen (TOM). Deutsche Aufsichtsbehörden legen besonderen Wert auf dokumentierte TOM. Beim Einsatz von KI-Tools müssen Sie nachweisen können, welche Schutzmaßnahmen implementiert sind. Dies umfasst Verschlüsselung, Zugriffskontrollen, Protokollierung und regelmäßige Überprüfungen.

Deutsches Hosting bevorzugt. Obwohl die DSGVO EU-weite Datenverarbeitung erlaubt, bevorzugen viele deutsche Aufsichtsbehörden und Branchenverbände Hosting in Deutschland. DATEV, die Deutsche Telekom (Open Telekom Cloud) und IONOS bieten Rechenzentren in Deutschland an. Für besonders sensible Daten oder regulierte Branchen kann deutsches Hosting eine Voraussetzung sein.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlicht regelmäßig gemeinsame Beschlüsse und Orientierungshilfen. Für den Einsatz von KI-Tools empfehlen wir, die aktuellen DSK-Beschlüsse zu konsultieren und die Positionierung der zuständigen Landesbehörde zu prüfen.

Hilfe bei der Auswahl DSGVO-konformer KI-Tools?

Wir unterstützen europäische Unternehmen bei der KI-Compliance. Unsere Bewertung analysiert Ihre spezifischen Datenverarbeitungsanforderungen und empfiehlt Tools, die Ihre regulatorischen Anforderungen erfüllen.

KI-Bewertung anfordern

Oder schreiben Sie uns direkt an irene@letaido.it

Quellen & weiterführende Literatur

Verwandte Artikel

Beste KI-Tools für Anwälte · Beste KI-Tools für Buchhaltung · Beste KI-Chatbots für kleine Unternehmen · Beste KI-Tools für Hotels · Beste KI-Tools für Zahnarztpraxen · Beste KI-Tools für Restaurants · Beste KI-Tools für Immobilien · KI-Beratungsdienstleistungen