KI Compliance & Souveränität - 4 Optionen für Unternehmen

KI-Tools DSGVO-konform und souverän nutzen. Vier Wege für Unternehmen in der EU und Österreich, vom AVV über Anonymisierung bis zur lokalen KI.

KI-Assistenten wie Claude, ChatGPT oder Gemini sind in vielen Unternehmen längst Alltag. Sie fassen Dokumente zusammen, beantworten Kundenanfragen und schreiben Code. Was dabei oft übersehen wird: Mit jedem Prompt verlassen potenziell sensible oder personenbezogene Daten das Unternehmen. Wer das ohne vertragliche und technische Absicherung tut, verstößt in der Regel gegen die DSGVO oder gibt schützenswerte Firmendaten an Dritte weiter.


Gleichzeitig hat der Juni 2026 gezeigt, dass Compliance nur die halbe Frage ist. Die andere Hälfte heißt Souveränität. Wie abhängig darf ein Unternehmen von einem einzelnen Anbieter sein, auf dessen Verfügbarkeit es keinen Einfluss hat?


Dieser Artikel zeigt vier Wege, KI-Tools rechtskonform einzusetzen, und ordnet ein, wie viel Unabhängigkeit jeder Weg tatsächlich bringt.

Der Juni 2026 als Weckruf

Am 12. Juni 2026 wies das US-Handelsministerium Anthropic per Exportkontroll-Direktive an, den Zugang zu seinen leistungsfähigsten Modellen Claude Fable 5 und Mythos 5 für alle Nicht-US-Bürger zu sperren. Weil Anthropic die Staatsangehörigkeit seiner Nutzer technisch nicht prüfen konnte, schaltete das Unternehmen beide Modelle kurzerhand weltweit ab. Auch für US-Kunden. 19 Tage später wurde die Anordnung aufgehoben, seit 1. Juli ist Fable 5 wieder global verfügbar.


Der Vorfall ist überstanden, aber die Lektion bleibt. Eine einzelne Direktive einer ausländischen Regierung kann ein Werkzeug, das tief in Geschäftsprozessen steckt, über Nacht abschalten. Die EU-Kommission nahm den Fall zum Anlass, ihre wenige Tage zuvor vorgestellten Pläne zur technologischen Souveränität zu bekräftigen. Wer heute eine KI-Strategie plant, sollte beide Dimensionen mitdenken: Datenschutz und Verfügbarkeit.


Das Problem beginnt beim Consumer-Account

Der häufigste Compliance-Verstoß in der Praxis ist unspektakulär. Mitarbeitende nutzen private oder Pro-Accounts von ChatGPT oder Claude für Firmendaten.


Consumer-Pläne sind dafür nicht gemacht. Es gibt keinen Auftragsverarbeitungsvertrag, und die Anbieter nutzen Eingaben standardmäßig für das Training ihrer Modelle. Anthropic hat im August 2025 genau diesen Schritt vollzogen: Chats von Free-, Pro- und Max-Nutzern fließen seither ins Training ein, sofern nicht aktiv widersprochen wird. Bei Zustimmung mit einer Aufbewahrungsfrist von fünf Jahren. OpenAI handhabt es bei Free und Plus ähnlich.


Seit Juli 2026 kommt ein weiterer Punkt dazu. Anthropic hat seine Consumer-Datenschutzrichtlinie um die Kategorie „Verification Data" erweitert, das heißt, das Unternehmen kann anlassbezogen eine Alters- oder Identitätsprüfung verlangen, inklusive Ausweisfoto und Gesichtsaufnahme. Eine gesetzliche Pflicht zur Gesichtserkennung existiert nicht, und Business-, Enterprise- und API-Kunden sind ausgenommen. Die Richtung ist trotzdem bemerkenswert, denn der Zugang zu Consumer-KI wird zunehmend an Identität geknüpft. Biometrische Daten sind nach Art. 9 DSGVO eine besondere Kategorie und die Verarbeitung dieser Daten für die geplante Identitätsprüfung läuft über US-Dienstleister.


Für Unternehmen heißt das: Die private Nutzung von KI-Accounts mit Firmendaten gehört per interner Richtlinie unterbunden. Alles Weitere ist eine Frage des richtigen Setups.


Der rechtliche Rahmen: DSGVO und AI Act

Zwei Regelwerke greifen parallel. Die DSGVO gilt für jede Verarbeitung personenbezogener Daten, unabhängig davon, ob eine KI beteiligt ist. Die österreichische Datenschutzbehörde stellt in ihren FAQ klar, dass wer ein fremdes KI-System einsetzt, selbst Verantwortlicher ist und muss prüfen, ob Daten an den Hersteller abfließen.


Der AI Act ergänzt das um KI-spezifische Pflichten. Für Unternehmen, die KI-Tools lediglich nutzen, sind vor allem zwei Punkte relevant. Seit Februar 2025 gilt die KI-Kompetenzpflicht und Mitarbeitende, die mit KI arbeiten, müssen ausreichend geschult sein. Ab 2. August 2026 greifen die Transparenzpflichten des Art. 50. Ab dann müssen KI-generierte Inhalte wie Deepfakes und öffentliche Texte gekennzeichnet werden. Die strengen Hochrisiko-Pflichten wurden mit dem Ende Juni 2026 beschlossenen Digital Omnibus auf Ende 2027 bzw. 2028 verschoben.


Dass die Behörden das Thema ernst nehmen, zeigen die laufenden Verfahren. Die italienische Datenschutzbehörde verhängte gegen OpenAI 15 Millionen Euro Bußgeld, wobei das Urteil im März 2026 zwar aus Zuständigkeitsgründen aufgehoben wurde. Das Verfahren liegt nun bei der irischen Behörde. Der Chatbot-Anbieter hinter Replika zahlte 5 Millionen Euro, gegen X/Grok laufen gleich zwei Untersuchungen. Die Stoßrichtung ist klar: Rechtsgrundlagen, Transparenz und Trainingsdaten stehen im Fokus.


In Österreich informiert die KI-Servicestelle der RTR, die WKO stellt KMU-Guidelines samt Mustern für interne KI-Richtlinien bereit. Eine eigene Marktüberwachungsbehörde für den AI-Act hat Österreich übrigens noch nicht benannt, die Frist dafür ist seit August 2025 verstrichen.

Vier Optionen zu datenschutzkonformer und souveräner künstlicher Intelligenz

Für den datenschutzkonformen Einsatz von KI gibt es nicht den einen richtigen Weg, sondern vier – von der vertraglichen Absicherung beim Anbieter über Anonymisierung und selbst betriebene Modelle bis zur vollständig lokalen Verarbeitung, jeweils mit steigendem Aufwand und steigender Souveränität.

  • Auftragsverarbeitung mit dem KI-Anbieter

  • Anonymisierung und Pseudonymisierung

  • Self-Hosted KI

  • Lokale KI

Option 1: Auftragsverarbeitung mit dem KI-Anbieter

Der direkteste Weg zur DSGVO-Konformität führt über die Business- und API-Angebote der Anbieter. Claude Team und Enterprise, ChatGPT Business und Enterprise sowie die APIs von Anthropic, OpenAI, Google und Mistral beinhalten einen Auftragsverarbeitungsvertrag (AVV) mit Standardvertragsklauseln. Kundendaten werden standardmäßig nicht für das Training verwendet. Für API-Kunden gibt es darüber hinaus Zero-Data-Retention-Optionen, bei denen Eingaben gar nicht erst gespeichert werden.


Auch bei der Datenresidenz hat sich viel getan. OpenAI bietet seit Februar 2025 EU-Datenresidenz für API und Enterprise-Workspaces. Microsoft verarbeitet Prompts in der „EU Data Zone" ausschließlich innerhalb der EU. Claude-Modelle laufen über AWS Bedrock in Frankfurt oder Google Vertex AI in EU-Regionen. Bei direkter Nutzung über Anthropic werden Daten dagegen weiterhin in den USA gespeichert. Der französische Anbieter Mistral hostet standardmäßig in der EU.


Worauf es beim Vertrag konkret ankommt: Ausschluss des Trainings mit Kundendaten, klare Speicherfristen, EU-Datenresidenz für Verarbeitung und Speicherung, eine nachvollziehbare Liste der Subunternehmer und geregelte Löschprozesse. Diese Punkte lassen sich bei allen großen Anbietern prüfen, bevor ein einziger Prompt gesendet wird.


Das klingt nach einem gelösten Problem aber Einschränkungen, wie der US CLOUD Act bleiben. US-Behörden können von US-Unternehmen die Herausgabe von Daten verlangen, unabhängig davon, wo diese gespeichert sind. Eine EU-Region eines US-Hyperscalers schützt davor nicht.


Für die meisten Unternehmen ist Option 1 trotzdem der pragmatische Einstieg. Geringer Aufwand, Zugang zu den besten Modellen, solide Vertragslage. Die Abhängigkeit von US-Anbietern und US-Politik bleibt bestehen.

Option 2: Anonymisierung und Pseudonymisierung

Der zweite Ansatz setzt vor der Übermittlung an. Personenbezogene oder andere schützenswerte Daten werden entfernt oder ersetzt, bevor ein Prompt den Anbieter erreicht. Technisch übernehmen das KI-Gateways. Das sind Systeme, die zwischen Nutzer und KI-Anbieter sitzen und unter anderem Namen, Adressen oder Kundennummern automatisch erkennen und maskieren.


Rechtlich ist Präzision gefragt. Anonyme Daten fallen nicht unter die DSGVO, aber echte Anonymisierung ist schwer zu erreichen. Werden Namen nur durch Platzhalter ersetzt, liegt Pseudonymisierung vor, und pseudonymisierte Daten bleiben personenbezogen. Der EuGH hat im September 2025 immerhin klargestellt, dass dieselben Daten für einen Empfänger ohne Zuordnungsmöglichkeit nicht personenbezogen sein können. Das stärkt die Gateway-Architekturen, entbindet das übermittelnde Unternehmen aber nicht von seinen Pflichten.


Die praktische Grenze liegt im Freitext. Ein Erkennungssystem findet Namen und Telefonnummern zuverlässig. Dass „der Geschäftsführer unseres Betriebs in Wien" auch ohne Namen identifizierbar ist, erkennt es nicht. Und ein Punkt wird gerne übersehen: Die Anonymisierung selbst muss lokal oder auf eigener Infrastruktur laufen. Wer ein Cloud-LLM bittet, Daten zu anonymisieren, hat sie bereits übermittelt.


MCP Server sind ein klares Beispiel, bei dem es funktioniert. Beim MCP geht es unter anderem darum, strukturierte Daten für ein LLM zugänglich zu machen. Es kann also genau entschieden werden, welche Daten über den MCP an ein LLM weitergegeben und welche zuvor anonymisiert, pseudonymisiert oder gänzlich herausgefiltert werden.


Auch die Aufsichtsbehörden arbeiten noch an der Präzisierung: Der europäische Datenschutzausschuss hat eigene Anonymisierungs-Guidelines für Sommer 2026 angekündigt. Wer heute auf diesen Ansatz setzt, sollte die Entwicklung beobachten.


Anonymisierung ist damit eine sinnvolle, zusätzliche Schutzschicht. Als alleinige Compliance-Strategie ist sie aber nur für strukturierte und gut kontrollierbare Daten geeignet.

Option 3: Self-Hosted KI

Wer Daten gar nicht erst an Dritte geben will, betreibt die Modelle selbst. Möglich machen das Open-Weight-Modelle, deren Gewichte frei verfügbar sind. Das Angebot ist 2026 so gut wie nie. Mistral 3 unter Apache-2.0-Lizenz, OpenAIs gpt-oss-Modelle, Qwen oder Llama 3.3. Der Qualitätsabstand großer Open-Weight-Modelle zu den Frontier-Modellen liegt bei geschätzt drei bis sechs Monaten. Für die meisten Geschäftsanwendungen mehr als ausreichend.


Ein Detail am Rande zeigt, wie schnell die Lizenzpolitik zur Souveränitätsfrage wird. Metas multimodale Llama-4-Modelle schließen EU-Unternehmen per Lizenz explizit aus. Europäische und offene Alternativen sind hier die verlässlichere Basis.


Self-Hosting heißt nicht zwingend eigener Serverraum. Europäische Cloud-Anbieter wie IONOS, StackIT, OVHcloud oder T-Systems bieten Open-Weight-Modelle als Managed Service in deutschen und europäischen Rechenzentren. DSGVO-konform, ohne Training mit Kundendaten und außerhalb der Reichweite des US CLOUD Act. Wer maximale Kontrolle braucht, betreibt Modelle auf eigener Hardware, eine einzelne 80-GB-GPU reicht bereits für ein Modell der 120-Milliarden-Parameter-Klasse.


Der Preis ist Aufwand. Betrieb, Skalierung und Modell-Updates brauchen Know-how, eine dedizierte High-End-GPU in der Cloud kostet im Dauerbetrieb schnell mehrere tausend Euro pro Monat und rechnet sich erst bei konstanter Auslastung. Managed Services mit Abrechnung pro Token senken diese Einstiegshürde erheblich. Sie kombinieren europäisches Hosting mit dem Kostenmodell der großen API-Anbieter. Dafür bekommt das Unternehmen etwas, das keine der anderen Optionen bietet, vollständige Datenhoheit und Unabhängigkeit von den Entscheidungen einzelner Anbieter und Regierungen.

Option 4: Lokale KI

Die konsequenteste Variante läuft direkt auf dem Endgerät. Werkzeuge wie Ollama oder LM Studio installieren Open-Weight-Modelle auf Laptop oder Workstation, so verlassen die Daten das Gerät nie. Die Hardware-Hürde fällt bereits, OpenAIs gpt-oss-20b läuft auf jedem besseren Business-Laptop mit 16 GB Speicher, auf Apple-Geräten mit viel Unified Memory laufen auch deutlich größere Modelle.


Für Zusammenfassungen, Klassifikation, Textextraktion oder die Suche in Firmendokumenten liefern lokale Modelle heute Ergebnisse, die sich kaum von der Cloud unterscheiden. Bei komplexen, mehrstufigen Aufgaben, anspruchsvollem Code oder juristischer Analyse bleiben die Frontier-Modelle klar vorn.


Interessant ist lokale KI vor allem in zwei Szenarien. Für hochsensible Daten, die das Haus unter keinen Umständen verlassen dürfen, wie etwa in Kanzleien, Arztpraxen oder der Personalabteilung. Oder als Vorverarbeitungsstufe, die Daten lokal anonymisiert und filtert, bevor ein Cloud-Modell ins Spiel kommt. Genau diese Kombination löst das Anonymisierungs-Paradoxon aus Option 2.

Mehr als das Modell: der Client entscheidet mit

Bei Self-Hosted und lokaler KI wird ein Punkt regelmäßig unterschätzt. Die Qualität der Ergebnisse hängt nicht nur vom Modell ab, sondern auch vom Client, der es bedient, ab.


Kommerzielle KI-Clients wie Claude oder ChatGPT sind längst mehr als Chatfenster. Sie recherchieren live im Web, führen Code aus, analysieren Tabellen, erstellen Visualisierungen und Dokumente, binden über Schnittstellen Firmensysteme an und arbeiten Aufgaben in mehreren Schritten selbstständig ab. Ein erheblicher Teil der Antwortqualität entsteht genau dort. Ein schwächeres Modell, ergänzt mit Websuche und Werkzeugzugriff, schlägt bei vielen Aufgaben ein stärkeres Modell ohne beides.


Wer selbst hostet, muss diese Ebene mitdenken. Open-Source-Clients wie Open WebUI oder LibreChat decken Chat, Dokumenten-Upload und Websuche ab, an die Agenten-Fähigkeiten und den Funktionsumfang der kommerziellen Clients reichen sie aber nicht heran. Der faire Vergleich lautet deshalb nicht „Open-Weight-Modell gegen Frontier-Modell", sondern „selbst betriebener Gesamt-Stack gegen integriertes Produkt". Für fokussierte Anwendungsfälle ist der eigene Stack schnell gut genug. Als universeller Assistent für alle Mitarbeitenden ist das integrierte Produkt meist deutlich voraus.

US-Anbieter oder EU-Anbieter?

Die vier Optionen unterscheiden sich nicht nur im Datenschutzniveau, sondern auch darin, wessen Entscheidungen ein Unternehmen ausgesetzt bleibt.


Bei US-Anbietern (auch mit AVV und EU-Datenresidenz) bleiben strukturelle Abhängigkeiten wie der CLOUD Act und die Möglichkeit politischer Eingriffe, wie sie der Fable-Vorfall demonstriert hat. Das ist kein Grund zur Panik, aber ein Risiko, das in keiner Risikobewertung fehlen sollte.


Die europäische Alternative ist 2026 näher gerückt. Mistral liefert konkurrenzfähige Modelle und baut mit eigener Rechenzentrumsinfrastruktur souveräne KI-Kapazität in Europa auf. IONOS, StackIT, OVHcloud und T-Systems betreiben Open-Weight-Modelle in europäischen Rechenzentren unter europäischem Recht. Ein vollständiger EU-Stack, mit Modell, Infrastruktur, Vertragspartner, ist damit mit wenigen Kompromissen möglich.


Realistisch ist für die meisten Unternehmen keine Entweder-oder-Entscheidung, sondern eine bewusste Portfolio-Entscheidung. US-Frontier-Modelle dort, wo die maximale Fähigkeit zählt und die Datenlage es erlaubt. Europäische oder selbst betriebene Alternativen dort, wo sensible Daten verarbeitet werden oder Abhängigkeit zum Risiko wird.

Welche Option passt zu wem?

Ein AVV mit dem Anbieter (Option 1) ist der richtige Start für Unternehmen, die schnell und mit geringem Aufwand rechtskonform arbeiten wollen und mit der US-Abhängigkeit leben können. Anonymisierung (Option 2) ergänzt das sinnvoll überall dort, wo personenbezogene Daten in Prompts nichts verloren haben oder mittels MCP strukturierte Daten abgerufen werden. Self-Hosting in der EU-Cloud (Option 3) passt, wenn sensible Daten im Spiel sind oder Souveränität strategisch zählt. Lokale KI (Option 4) eignet sich für klar umrissene Aufgaben mit hochsensiblen Daten und als Baustein in hybriden Architekturen.


In der Praxis setzt sich genau dieses hybride Muster durch. Standardaufgaben laufen auf lokalen oder selbst gehosteten Modellen, für anspruchsvolle Fälle wird gezielt ein Frontier-Modell mit sauberer Vertragsgrundlage angebunden.


Option

Kern-Ansatz

Souveränität

Ideal für

  1. Auftragsverarbeitung mit dem Anbieter


Geringer Aufwand

Business- und Schnittstellen-Angebote mit Auftragsverarbeitungsvertrag und Standardvertragsklauseln; keine Trainingsnutzung, teils europäische Datenhaltung

Niedrig – US-Abhängigkeit und CLOUD Act bleiben trotz europäischer Region

Schneller, rechtskonformer Einstieg, wenn die US-Abhängigkeit tragbar ist

  1. Anonymisierung und Pseudonymisierung


Mittlerer Aufwand

Ein Gateway auf eigener Infrastruktur maskiert personenbezogene Daten vor der Übermittlung; gezielte Freigabe strukturierter Daten

Ergänzend – keine Alleinstrategie; Schwäche im Freitext, Maskierung muss lokal laufen

Strukturierte, kontrollierbare Daten; überall, wo Personendaten nichts in der Anfrage verloren haben

  1. Selbst betriebene künstliche Intelligenz


Hoher Aufwand

Open-Weight-Modelle in europäischer Cloud (u. a. IONOS, StackIT, OVHcloud, T-Systems) oder auf eigener Hardware

Hoch – volle Datenhoheit, außerhalb der Reichweite des CLOUD Act

Sensible Daten oder wenn Souveränität strategisch zählt

  1. Lokale künstliche Intelligenz


Mittlerer bis hoher Aufwand (Hardware)

Open-Weight-Modelle laufen direkt auf Laptop oder Arbeitsplatzrechner; die Daten verlassen das Gerät nie

Maximal – vollständig lokal

Hochsensible Daten (Kanzlei, Arztpraxis, Personalabteilung) und als Baustein hybrider Architekturen


Fazit

DSGVO-konforme KI-Nutzung ist 2026 kein Hindernis mehr, sondern eine Auswahlentscheidung. Business-Verträge mit AVV, EU-Datenresidenz, ausgereifte Open-Weight-Modelle und europäische Anbieter decken praktisch jedes Anforderungsprofil ab. Nicht mehr zeitgemäß ist es, Firmendaten in Consumer-Accounts zu verwenden oder die Verfügbarkeit und Abhängigkeit in der KI-Strategie auszublenden. Wer Compliance und Souveränität zusammen denkt, ist für beides gerüstet.