Was ist Digital Natives?

Digital Natives baut produktive KI-Agenten für den deutschen Mittelstand. Wir starten bei euren Daten: Wo liegen wichtige Informationen, welche Prozesse kosten Zeit, und welcher Agent kann zuerst echte Arbeit übernehmen? Daraus entstehen Audit, Build und bei Bedarf laufende KI-Steuerung als Fractional Chief of AI.

Für wen ist Digital Natives geeignet?

Für mittelständische Unternehmen mit ca. 50–500 Mitarbeitern, die KI nicht nur testen, sondern produktiv einsetzen wollen. Besonders passend, wenn Informationen in mehreren Systemen liegen, Prozesse manuell zusammengehalten werden und keine eigene KI-Abteilung aufgebaut werden soll.

Was kostet der Einstieg?

Der AI Native Audit kostet 4.900€ einmalig. Darin kartieren wir eure wichtigsten Datenquellen, priorisieren die besten Use Cases und erstellen eine 12-Monats-Roadmap. AI Native Builds starten typischerweise ab 15.000€ pro Agent. Der Fractional Chief of AI Retainer startet ab 9.500€/Monat.

Sind meine Daten sicher?

Wir bauen auf eurer bestehenden oder gewählten Infrastruktur: AWS Bedrock, Azure OpenAI oder eigene Server. Ziel ist, dass Daten kontrolliert verarbeitet werden, nicht unkontrolliert in Tools verschwinden. Jedes Projekt wird mit DSGVO-/EU-AI-Act-Einschätzung, AV-Vertrag, TOMs und technischer Dokumentation abgesichert.

Was ist das AI Native Programm?

Das AI Native Programm bringt euer Unternehmen von verstreuten Informationen zu produktiven Agenten. Die drei Schritte sind: Daten verstehen, ersten Agenten bauen, Team unabhängig machen. Nach außen nennen wir das: Daten → Agenten → Freiheit.

Was unterscheidet Digital Natives von Beratungen oder Freelancern?

Wir liefern keine reine Strategie und keine isolierte Tool-Lösung. Wir finden zuerst heraus, wo eure Informationen liegen, bauen darauf produktive Agenten und dokumentieren alles so, dass euer Team ohne uns weiterarbeiten kann. Das ist Exit by Design.

Wie schnell sehe ich Ergebnisse?

Nach 10 Werktagen habt ihr im Audit eine klare Quellenlandkarte, priorisierte Use Cases und eine Roadmap. Der erste produktive Agent ist je nach Integrationen typischerweise innerhalb von 6–8 Wochen möglich. Wichtig ist nicht die Demo, sondern ein Agent, der im Alltag zuverlässig arbeitet.

Startseite BlogKI DSGVO-konform einsetzen

DSGVO & KI

KI DSGVO-konform einsetzen: Der komplette Leitfaden für Unternehmen

Fabian Exner 10. April 2026 12 Min. Lesezeit

Der Einsatz von KI ist in deutschen Unternehmen angekommen – die rechtliche Absicherung oft nicht. Wer KI-Tools wie ChatGPT, Copilot oder selbst entwickelte KI-Agenten im Unternehmen nutzt, muss die Anforderungen der DSGVO und des EU AI Act erfüllen. Dieser Leitfaden zeigt konkret, worauf es ankommt, welche KI-Tools DSGVO-konform sind und wie Unternehmen KI datenschutzsicher implementieren.

Die kurze Antwort: Ja, KI lässt sich DSGVO-konform einsetzen – aber nicht mit jedem Tool und nicht ohne Vorbereitung. Entscheidend sind drei Faktoren: Wo werden die Daten verarbeitet? Wer hat Zugriff? Und gibt es eine gültige Rechtsgrundlage nach Art. 6 DSGVO?

📑 Inhaltsverzeichnis

Warum ist ChatGPT nicht DSGVO-konform?

Diese Frage stellen sich viele Unternehmen – und die Antwort ist differenzierter als ein einfaches Ja oder Nein.

ChatGPT in der kostenlosen Version und im Plus-Abo hat mehrere Datenschutz-Probleme, die für Unternehmen relevant sind:

Datenverarbeitung in den USA

OpenAI verarbeitet Daten auf Servern in den USA. Seit dem Wegfall des Privacy Shield und trotz des EU-US Data Privacy Framework bestehen weiterhin Bedenken bezüglich des Zugriffs durch US-Behörden. Für sensible Unternehmensdaten ist das ein Risiko.

Training mit Nutzerdaten

In der Standardeinstellung werden Eingaben für das Training zukünftiger Modelle verwendet. Gibt ein Mitarbeiter Kundendaten, interne Zahlen oder personenbezogene Daten ein, können diese in das Modell einfließen – und sind nicht mehr löschbar.

Fehlende Auftragsverarbeitungsvereinbarung (AVV)

Für den Einsatz im Unternehmen verlangt die DSGVO eine AVV mit dem Anbieter. Bei der Consumer-Version von ChatGPT gibt es diese nicht.

Transparenz und Nachvollziehbarkeit

Die DSGVO verlangt, dass Betroffene wissen, wie ihre Daten verarbeitet werden. Bei einem LLM wie ChatGPT ist die Verarbeitung eine Blackbox – es lässt sich nicht nachvollziehen, was mit eingegebenen Daten passiert.

Das bedeutet nicht, dass ChatGPT grundsätzlich verboten ist. Aber für den Unternehmenseinsatz mit personenbezogenen Daten ist die Consumer-Version nicht geeignet.

Kann man ChatGPT DSGVO-konform nutzen?

Ja, unter bestimmten Bedingungen. OpenAI bietet mit ChatGPT Enterprise und ChatGPT Team Versionen an, die für den Unternehmenseinsatz konzipiert sind:

Daten werden nicht für das Modelltraining verwendet
Eine AVV (Data Processing Agreement) ist verfügbar
Verschlüsselung der Daten in Transit und at Rest
SOC 2 Compliance

Allerdings bleiben die Daten auf OpenAI-Servern – und damit außerhalb eurer direkten Kontrolle. Für viele deutsche Unternehmen, besonders in regulierten Branchen wie Finanzdienstleistung, Gesundheitswesen oder öffentlicher Verwaltung, reicht das nicht aus.

Die sicherere Alternative

KI-Systeme auf eigener Infrastruktur betreiben. Open-Source-Modelle wie Llama, Mistral oder Command R lassen sich auf EU-hosted Servern oder On-Premise installieren. Damit verlassen die Daten nie eure Umgebung. Es gibt kein Training durch Dritte, volle Kontrolle über Zugriffsrechte und vollständige Löschbarkeit – also echte DSGVO-Konformität by Design.

Welche KI-Alternativen zu ChatGPT sind DSGVO-konform?

Nicht jedes KI-Tool ist automatisch ein Datenschutz-Problem. Es kommt darauf an, wie und wo die Daten verarbeitet werden. Hier eine Einordnung:

Warum wir auf Open Source und eigene Infrastruktur setzen

Viele Anbieter werben mit "EU-Hosting" oder "DSGVO-konform" – aber die Daten landen trotzdem auf Servern die ihr nicht kontrolliert, bei Unternehmen die ihre Bedingungen jederzeit ändern können. Azure OpenAI in der EU-Region klingt gut, aber am Ende baut ihr eine Abhängigkeit von Microsoft auf – und die Daten liegen auf deren Infrastruktur, nicht auf eurer.

Unser Ansatz ist ein anderer: Das LLM läuft auf eurer Infrastruktur. Kein Zwischenhändler, kein Vendor Lock-in, keine Überraschungen bei den nächsten AGB-Änderungen.

Unser Stack in der Praxis

🧠 Gemma 4.0 als Default-LLM

Googles Open-Source-Modell läuft lokal oder auf EU-hosted Servern. Für 90% aller Unternehmensaufgaben – Analyse, Clustering, Scoring, Zusammenfassungen, Content-Generierung – ist Gemma mehr als ausreichend. Und weil es lokal läuft, verlassen keine Daten eure Umgebung. Keine AVV nötig, kein Datenabfluss, DSGVO-konform by Design.

🔄 Claude API als Fallback

Für komplexe Multi-Step-Reasoning-Aufgaben, wo Gemma an seine Grenzen stößt, nutzen wir Anthropics Claude API. Aber mit einer klaren Regel: Keine personenbezogenen Daten über die API. Claude bekommt nur anonymisierte oder synthetische Daten. Die Grenze ist hart – kein PII, keine Ausnahmen.

🗄️ PostgreSQL + pgvector als Datenschicht

Alle Daten liegen in einer PostgreSQL-Datenbank mit pgvector-Extension. Die Datenbank ist euer Eigentum, auf eurer Infrastruktur, unter eurer Kontrolle. Embeddings für RAG-Anwendungen (damit Agenten auf euer Firmenwissen zugreifen können) laufen über pgvector – kein externer Vektordatenbank-Dienst nötig.

Dieses Setup läuft auf EU-Cloud-Servern (Hetzner, OVH) oder On-Premise. Kompilierte Go-Binaries, keine externen Runtime-Dependencies. Wenn wir gehen, läuft euer System weiter – das ist unser Prinzip "Exit by Design".

Warum nicht einfach ChatGPT Enterprise?

ChatGPT Enterprise ist eine Option – aber keine die wir empfehlen. Ja, die Daten werden nicht für Training genutzt und es gibt eine AVV. Aber ihr baut eine Abhängigkeit auf: OpenAIs Preise, OpenAIs Verfügbarkeit, OpenAIs Entscheidungen. Wenn OpenAI morgen die Enterprise-Preise verdoppelt oder die Bedingungen ändert, sitzt ihr in der Falle.

Mit Open Source und eigener Infrastruktur passiert das nicht. Wenn Gemma morgen nicht mehr das beste Modell ist, tauschen wir es aus – gegen Llama, Mistral oder was auch immer dann State of the Art ist. Die Infrastruktur bleibt, nur das Modell wechselt. Das ist der Unterschied zwischen Mieten und Besitzen.

Worauf bei der Tool-Auswahl achten?

Bevor ein KI-Tool im Unternehmen eingesetzt wird, sollten diese Fragen geklärt sein:

1Wo stehen die Server? EU-Hosting ist Mindestanforderung.
2Gibt es eine AVV? Ohne Auftragsverarbeitungsvereinbarung ist der Einsatz mit personenbezogenen Daten rechtswidrig.
3Werden Daten für Training verwendet? Muss ausgeschlossen oder zumindest deaktivierbar sein.
4Wie werden Daten gelöscht? Es muss einen klaren Prozess geben, um Daten auf Anfrage vollständig zu löschen.
5Gibt es Zugriffskontrollen? Wer im Unternehmen darf was eingeben und sehen?

KI Datenschutz-Probleme: Die 5 häufigsten Fehler

In der Praxis sehen wir bei Unternehmen immer wieder dieselben Fehler beim KI-Einsatz:

Mitarbeiter nutzen ChatGPT ohne Freigabe

Das größte Risiko ist Schatten-KI. Mitarbeiter nutzen die kostenlose ChatGPT-Version und geben Kundendaten, interne Dokumente oder Geschäftsgeheimnisse ein – ohne dass die IT oder Geschäftsführung davon weiß. Laut aktuellen Studien nutzen über 60% der Wissensarbeiter KI-Tools ohne offizielle Freigabe.

Lösung: Klare KI-Richtlinie im Unternehmen. Definiert welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und welche nicht. Und vor allem: Stellt eine freigegebene Alternative bereit. Wenn Mitarbeiter ein lokales LLM wie Gemma zur Verfügung haben das DSGVO-konform auf der Firmeninfrastruktur läuft, gibt es keinen Grund mehr für Schatten-KI.

Keine Rechtsgrundlage definiert

Jede Verarbeitung personenbezogener Daten durch KI braucht eine Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen meistens in Frage: Einwilligung (Art. 6 Abs. 1 lit. a), Vertragserfüllung (lit. b) oder berechtigtes Interesse (lit. f). Ohne dokumentierte Rechtsgrundlage ist der Einsatz rechtswidrig – unabhängig davon wie sicher das Tool ist.

Keine Datenschutz-Folgenabschätzung (DSFA)

Beim Einsatz von KI-Systemen die personenbezogene Daten verarbeiten, ist eine DSFA nach Art. 35 DSGVO in vielen Fällen Pflicht – insbesondere bei automatisierter Entscheidungsfindung, Profiling oder der Verarbeitung sensibler Daten. Viele Unternehmen überspringen diesen Schritt.

Kein Verzeichnis der Verarbeitungstätigkeiten

KI-Systeme müssen im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert sein. Welche Daten fließen rein, wer hat Zugriff, wie lange werden sie gespeichert, an wen werden sie weitergegeben? In der Praxis fehlt diese Dokumentation fast immer.

Informationspflichten vergessen

Wenn ein KI-Agent mit Kunden interagiert – z.B. als Chatbot oder Voice Agent – muss der Kunde darüber informiert werden, dass er mit einer KI spricht. Das ist sowohl nach DSGVO als auch nach dem EU AI Act Pflicht. Zusätzlich müssen Betroffene über die automatisierte Verarbeitung ihrer Daten informiert werden.

EU AI Act: Was kommt zusätzlich zur DSGVO?

Seit 2024 ist der EU AI Act in Kraft – die weltweit erste umfassende KI-Regulierung. Er ergänzt die DSGVO um spezifische Anforderungen an KI-Systeme:

Risikoklassifizierung

KI-Systeme werden in Risikoklassen eingeteilt. Die meisten Unternehmens-KI-Systeme fallen in die Kategorie "begrenztes Risiko" oder "hohes Risiko". Hochrisiko-Systeme (z.B. KI in HR für Bewerberbewertung oder in der Kreditvergabe) unterliegen strengen Anforderungen an Transparenz, Dokumentation und menschliche Aufsicht.

Transparenzpflicht

Nutzer müssen informiert werden, wenn sie mit einem KI-System interagieren. KI-generierte Inhalte müssen als solche gekennzeichnet sein.

Dokumentationspflicht

Unternehmen die Hochrisiko-KI einsetzen, müssen technische Dokumentation führen, ein Qualitätsmanagementsystem implementieren und Logs aufbewahren.

Die DSGVO und der EU AI Act greifen ineinander. Wer ein KI-System implementiert, muss beide Regelwerke zusammen denken – nicht getrennt voneinander.

Checkliste: KI DSGVO-konform einsetzen in 7 Schritten

Für Unternehmen die KI einführen oder bestehende KI-Nutzung absichern wollen:

Bestandsaufnahme

Welche KI-Tools werden bereits genutzt – offiziell und inoffiziell? Schatten-KI identifizieren.

Rechtsgrundlage klären

Für jedes KI-System festlegen auf welcher Rechtsgrundlage nach Art. 6 DSGVO die Verarbeitung erfolgt.

Risikoklassifizierung nach EU AI Act

Ist das System minimales, begrenztes oder hohes Risiko? Daraus ergeben sich die Pflichten.

Datenschutz-Folgenabschätzung durchführen

Bei Hochrisiko-Systemen oder bei Verarbeitung sensibler Daten zwingend erforderlich.

Technische Maßnahmen umsetzen

Datenverarbeitung in der EU sicherstellen, AVV mit allen Anbietern abschließen, Zugriffskontrollen einrichten, Verschlüsselung implementieren.

Dokumentation und Prozesse

Verarbeitungsverzeichnis aktualisieren, KI-Richtlinie für Mitarbeiter erstellen, Informationspflichten umsetzen. Entscheidend ist ein lückenloses Logging: Wer hat wann welchen Prompt an welches LLM geschickt, welche Daten flossen ein, was kam zurück? Tools wie Langfuse machen das automatisch – jeder LLM-Call wird mit Prompt, Token-Verbrauch und Ergebnis protokolliert. Das ist nicht nur Best Practice, sondern bei Hochrisiko-Systemen nach EU AI Act Pflicht.

Schulung

Alle Mitarbeiter die mit KI arbeiten müssen wissen, was sie eingeben dürfen und was nicht. Führungskräfte müssen die rechtlichen Rahmenbedingungen verstehen.

Unser Ansatz: Daten zuerst, KI danach

Bei Digital Natives beginnt jedes KI-Projekt mit einer Frage: Wo liegen eure Daten und was passiert damit?

Bevor wir einen einzigen KI-Agenten implementieren, analysieren wir eure Datenflüsse, identifizieren Datenschutz-Risiken und bringen die Infrastruktur in Ordnung. Erst dann bauen wir KI-Systeme – mit Gemma 4.0 als Default-LLM auf eurer eigenen Infrastruktur, PostgreSQL + pgvector als Datenschicht und Go + Temporal als Agent-Runtime. EU-hosted, Open-Source-basiert und DSGVO-konform by Design.

Das Ergebnis

Kompilierte Binaries auf eurer Infrastruktur, keine externen Dependencies, kein Vendor Lock-in. Eure Daten bleiben bei euch – und wenn wir gehen, läuft euer System weiter.

Nach außen nennen wir das heute Daten → Agenten → UNABHÄNGIGKEIT: erst die Datenlage verstehen, dann die Agenten bauen, am Ende übergeben. Jedes Projekt endet damit, dass euer Team eigenständig weiterarbeiten kann.

→ Mehr erfahren über unsere Leistungen

Häufige Fragen (FAQ)

Ist der Einsatz von KI DSGVO-konform?

Grundsätzlich ja – aber nur wenn die richtigen Maßnahmen getroffen werden. Entscheidend sind die Rechtsgrundlage, der Ort der Datenverarbeitung, die Transparenz gegenüber Betroffenen und die technischen Schutzmaßnahmen. Ohne diese Voraussetzungen ist der Einsatz rechtswidrig.

Welche KI hat den besten Datenschutz?

KI-Systeme die auf eigener Infrastruktur laufen. Wir setzen auf Gemma 4.0 als Default-LLM – das Modell läuft lokal oder auf EU-hosted Servern und es verlassen keine Daten eure Umgebung. Für komplexe Aufgaben nutzen wir Claude API als Fallback, aber strikt ohne personenbezogene Daten. Open-Source-Modelle auf eigener Infrastruktur sind kommerziellen Cloud-LLMs datenschutztechnisch immer überlegen – weil ihr die volle Kontrolle behaltet.

Welche KI ist die sicherste?

Sicherheit hängt weniger vom Modell als von der Infrastruktur ab. Ein Open-Source-Modell wie Gemma auf einem abgesicherten EU-Server mit PostgreSQL als Datenschicht, klaren Zugriffskontrollen und Logging über Langfuse ist sicherer als das leistungsstärkste Cloud-Modell ohne Governance. Entscheidend sind: Wo laufen die Daten? Wer hat Zugriff? Und was passiert wenn etwas schiefgeht?

Kann man ChatGPT DSGVO-konform nutzen?

In der Enterprise- oder Team-Version mit Einschränkungen ja. Die Daten werden nicht für Training verwendet und eine AVV ist verfügbar. Aber ihr baut eine Abhängigkeit auf: OpenAIs Preise, OpenAIs Verfügbarkeit, OpenAIs Entscheidungen. Wir empfehlen stattdessen Open-Source-Modelle auf eigener Infrastruktur – damit behaltet ihr die Kontrolle und könnt das Modell jederzeit austauschen ohne an einen Anbieter gebunden zu sein.

Ist es DSGVO-konform, KI-Protokolle zu erstellen?

Ja, wenn die allgemeinen DSGVO-Grundsätze eingehalten werden: Zweckbindung, Datenminimierung, Transparenz, Speicherbegrenzung und Sicherheit der Verarbeitung. Es muss dokumentiert sein, welche Daten das KI-System protokolliert, wie lange die Protokolle gespeichert werden und wer Zugriff hat.

Brauche ich eine Datenschutz-Folgenabschätzung für KI?

In den meisten Fällen ja. Eine DSFA ist nach Art. 35 DSGVO erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt. Bei KI-Systemen die personenbezogene Daten verarbeiten, automatisierte Entscheidungen treffen oder Profiling durchführen, ist das regelmäßig der Fall.

Bereit für den nächsten Schritt?

Ihr wollt KI in eurem Unternehmen einsetzen – rechtssicher, DSGVO-konform und auf eigener Infrastruktur? In einem kostenlosen Erstgespräch schauen wir gemeinsam, wo bei euch der größte Hebel liegt und welche Schritte als nächstes sinnvoll sind.

Dieser Artikel wird regelmäßig aktualisiert um aktuelle Entwicklungen bei DSGVO und EU AI Act zu berücksichtigen. Letztes Update: April 2026.

Zurück zum Blog