← Zurück zum Blog
Datenschutz von Falco Naumann

Europäische KI-Anbieter: DSGVO-konforme Alternativen zu US-Tools

ChatGPT und Co. sind datenschutzrechtlich heikel. Wir zeigen, welche EU-KI-Anbieter es gibt und wann Self-Hosting die bessere Wahl ist.

KI-Tools sind produktiv. Das steht außer Frage. Aber wer im deutschen Unternehmensumfeld damit arbeitet, stößt früher oder später auf eine Frage, die sich nicht wegdiskutieren lässt: Wohin gehen die Daten, und was passiert damit?

Das ist keine theoretische Debatte. Wenn Kundendaten, Verträge oder interne Unterlagen in ein US-amerikanisches KI-System fließen, haben Sie möglicherweise ein ernstes Problem, nicht nur mit der DSGVO, sondern auch gegenüber Ihren Kunden.

Warum DSGVO und KI ein heikles Paar sind

Drei Kernprobleme:

Datentransfer in die USA. Die meisten großen Sprachmodelle, GPT-4 (OpenAI), Gemini (Google), Meta Llama (wenn über US-Infrastruktur genutzt), werden in den USA verarbeitet. Nach dem Schrems-II-Urteil und dem aktuellen EU-US Data Privacy Framework gibt es zwar einen rechtlichen Rahmen, aber der ist umstritten. Wer auf Nummer sicher gehen will, behält Daten in der EU.

Daten als Trainingsdaten. In der kostenlosen Version vieler Tools fließen Ihre Eingaben potenziell in das Modell-Training ein. Das bedeutet: was Sie eingeben, könnte irgendwann einem anderen Nutzer angezeigt werden, in anderer Form, aber aus Ihren Daten destilliert. Enterprise-Tarife schließen das in der Regel vertraglich aus.

Auftragsverarbeitung. Wenn Sie personenbezogene Daten von Kunden in KI-Tools eingeben, sind Sie Verantwortlicher, der Anbieter Auftragsverarbeiter. Das erfordert einen Auftragsverarbeitungsvertrag (AVV). Viele Nutzer schließen diesen nicht ab, was datenschutzrechtlich ein Verstoß ist.

Die Alternativen im Überblick

Mistral AI (Frankreich)

Mistral ist das derzeit interessanteste europäische Sprachmodell-Unternehmen. Das Unternehmen sitzt in Paris, bietet sowohl Open-Source-Modelle als auch Enterprise-Zugänge an. Das Flaggschiffmodell Mistral Large konkurriert in der Qualität mit GPT-4-Klasse-Modellen.

Was Mistral interessant macht:

  • API-Zugang über die Mistral-Plattform, Datenverarbeitung in der EU
  • Offizielle Bestätigung der DSGVO-Konformität, AVV verfügbar
  • Le Chat ist die webbasierte Chat-Oberfläche, eine direkte Alternative zu ChatGPT
  • Hosting in Deutschland möglich, wenn Sie die Modelle selbst betreiben (Open-Source-Varianten)

Für welche Fälle geeignet: Unternehmen, die einen europäischen API-Anbieter suchen, ohne eigene Infrastruktur betreiben zu wollen.

Aleph Alpha (Deutschland)

Aleph Alpha aus Heidelberg ist der bekannteste deutsche Anbieter in diesem Bereich. Die Luminous-Modelle sind auf Enterprise-Anwendungen und souveräne Cloud-Infrastrukturen ausgerichtet, besonders stark im deutschsprachigen Raum und im öffentlichen Sektor.

Was Aleph Alpha auszeichnet:

  • Hosting ausschließlich in Deutschland
  • Besonders für Behörden, Banken und regulierte Unternehmen konzipiert
  • Starker Fokus auf Erklärbarkeit und Kontrollierbarkeit des Modells
  • Preise im Enterprise-Segment, weniger für kleinere KMU geeignet

Für welche Fälle geeignet: Öffentlicher Sektor, Unternehmen mit hohen Souveränitäts- und Compliance-Anforderungen, wenn Budget vorhanden.

Azure OpenAI mit EU-Hosting

Microsoft bietet GPT-4 und andere OpenAI-Modelle über Azure an, mit dem entscheidenden Unterschied, dass Sie das Rechenzentrum wählen können, inklusive europäischer Standorte (Amsterdam, Dublin, Paris, Frankfurt).

Was das in der Praxis bedeutet:

  • Datenverarbeitung findet im EU-Rechenzentrum statt
  • Microsoft schließt einen AVV im Rahmen der Azure-Vertragsbedingungen ab
  • Wichtig: In den Azure-Einstellungen muss die Option „EU Data Boundary” explizit aktiviert werden. Ohne diese Einstellung können Daten trotzdem in andere Regionen fließen.
  • Enterprise-Tiere schließen Modell-Training mit Ihren Daten vertraglich aus

Für welche Fälle geeignet: Unternehmen, die bereits Microsoft 365 / Azure nutzen und eine KI-Lösung mit bewährtem Vertragsrahmen wollen. Praktisch der pragmatischste Einstieg für viele KMU.

Anthropic Claude über AWS Bedrock (Frankfurt)

Claude (das Modell, das hinter dieser Website steckt) ist über Amazon Web Services Bedrock verfügbar. Der AWS-Standort Frankfurt ermöglicht EU-seitiges Hosting.

Konkret:

  • Datenverarbeitung in Frankfurt, kein ungewollter Transfer in die USA
  • AWS fungiert als Auftragsverarbeiter, entsprechende Verträge sind verfügbar
  • Zugang über die Bedrock-API, nicht über Claude.ai direkt
  • Qualität der Claude-Modelle (insbesondere Claude Sonnet und Opus) ist auf GPT-4-Niveau

Für welche Fälle geeignet: Unternehmen, die AWS nutzen oder aufbauen wollen, und eine hochwertige KI-Lösung mit EU-Hosting suchen.

Self-Hosting mit Ollama oder vLLM

Wer die maximale Kontrolle will, betreibt das Modell selbst, entweder lokal auf einem Rechner oder auf einem eigenen Server (on-premise oder bei einem deutschen Hosting-Anbieter).

Tools wie Ollama machen das Ausführen von Open-Source-Modellen (Llama 3, Mistral, Qwen, Gemma) auf einem normalen Rechner überraschend einfach. Für anspruchsvollere Anwendungen und multi-user-Szenarien ist vLLM eine serverseitige Option.

Vorteile:

  • Maximale Datenkontrolle: keine Daten verlassen Ihr Haus
  • Keine laufenden API-Kosten (nur Strom und Hardware)
  • Auch für sehr sensible Daten geeignet (Patientendaten, Staatsgeheimnisse, etc.)

Nachteile:

  • Modelle auf lokalem Level erreichen oft nicht die Qualität von GPT-4 oder Claude Opus
  • Infrastruktur- und Betriebsaufwand (Updates, Monitoring, Kapazitätsplanung)
  • Lokale Modelle brauchen eine GPU-fähige Hardware für akzeptable Geschwindigkeit

Für welche Fälle geeignet: Hochsensible Daten, hohe Verarbeitungsvolumen, oder wenn interne IT-Kompetenz für Betrieb vorhanden ist.

Auswahlmatrix: Wer sollte was nehmen?

AnforderungEmpfehlung
Einfacher Einstieg, EU-Daten, kein eigenes HostingAzure OpenAI (EU-Region)
Europäischer Anbieter, gute APIMistral AI
Höchste Compliance / öffentlicher SektorAleph Alpha
AWS-Nutzer, gute ModellqualitätClaude via AWS Bedrock Frankfurt
Maximale DatensouveränitätSelf-Hosting (Ollama / vLLM)

Praktische Schritte für den Start

Unabhängig davon, für welchen Anbieter Sie sich entscheiden, gelten diese Mindestanforderungen:

  1. AVV abschließen. Fordern Sie beim Anbieter einen Auftragsverarbeitungsvertrag an. Ohne AVV dürfen keine personenbezogenen Daten verarbeitet werden.

  2. Datenflüsse dokumentieren. Welche Datenarten gehen in welches System? Das gehört ins Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO).

  3. Risikobewertung durchführen. Bei sensiblen Daten oder großen Mengen ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Das klingt aufwändiger als es ist: letztlich ist es eine strukturierte Risikoanalyse.

  4. Mitarbeitende einweisen. Wer was mit welchen Daten in welches Tool eingeben darf, muss klar geregelt und kommuniziert werden. Eine kurze interne Richtlinie reicht oft aus.

Fazit

Der Datenschutz ist kein Grund, auf KI zu verzichten. Er ist ein Grund, sorgfältig zu wählen. Für die meisten KMU ist Azure OpenAI mit EU-Hosting oder Mistral AI ein pragmatischer, rechtskonformer Einstieg. Wer strengere Anforderungen hat, schaut sich Aleph Alpha oder Self-Hosting-Optionen an.

Das Wichtigste: Fangen Sie nicht an, mit Kundendaten oder vertraulichen Unterlagen in US-Tools zu arbeiten, ohne vorher den rechtlichen Rahmen zu klären. Das Risiko ist real, gegenüber Kunden wie gegenüber Behörden.

Wenn Sie wissen wollen, welche Lösung für Ihre spezifische Situation passt, sprechen wir das gerne durch. Unser Angebot rund um KI & Automatisierung umfasst auch die Beratung zur datenschutzkonformen Umsetzung. Oder schreiben Sie uns direkt über die Kontaktseite.

#DSGVO#KI#Datenschutz#EU#LLM

Bereit, Ihre IT in den Takt zu bringen?

Kostenloses Erstgespräch, unverbindlich und konkret.

Jetzt Kontakt aufnehmen