Wenn ein Unternehmen Verträge an eine KI übergibt, vertraut es dem System seine wertvollsten Daten an: Kaufpreise, Gehaltsstrukturen, Verhandlungspositionen, strategische Partnerschaften. Dass diese Daten bei US-amerikanischen Anbietern landen, ist für viele deutsche Unternehmen und Kanzleien inakzeptabel. EU-Hosting und DSGVO-Konformität sind deshalb keine Marketing-Claims, sondern fundamentale Architekturentscheidungen.
Das Problem mit US-basierten KI-Diensten
Die meisten generischen KI-Tools hosten ihre Daten in den USA oder verwenden Subprozessoren weltweit. Das führt zu mehreren Problemen: Das CLOUD Act ermöglicht US-Behörden den Zugriff auf Daten, auch wenn sie in der EU gespeichert sind. Das Privacy Shield wurde durch den EuGH für ungültig erklärt. Selbst Standardvertragsklauseln (SCCs) reichen bei besonders sensiblen Daten nicht aus. Für Kanzleien mit anwaltlicher Berufsverschwiegenheit (§ 43a BRAO) und Unternehmen mit Betriebsgeheimnissen ist das ein No-Go.
Was bedeutet echtes EU-Hosting?
- Server ausschließlich in der EU — idealerweise Deutschland
- Keine Datenübertragung in Drittländer, auch nicht für Verarbeitung
- Alle Subprozessoren ebenfalls EU-basiert
- DSGVO-konforme Auftragsverarbeitung nach Art. 28
- Keine Nutzung von Kundendaten für Modelltraining
- Löschung nach definiertem Zeitraum garantiert
Art. 28 DSGVO: Auftragsverarbeitung richtig gestalten
Wenn ein Unternehmen KI-Vertragsanalyse als Dienstleistung in Anspruch nimmt, liegt nach Art. 28 DSGVO eine Auftragsverarbeitung vor. Das bedeutet: Es muss ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden, der die Rechte und Pflichten beider Seiten regelt. Der Auftragsverarbeiter darf Daten nur nach Weisung des Auftraggebers verarbeiten und muss angemessene technische und organisatorische Maßnahmen (TOMs) gewährleisten.
BDSG: Besondere Anforderungen für Personaldaten
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO mit spezifischen Regelungen für Deutschland. Besonders relevant sind die §§ 26 und 32 BDSG, die den Umgang mit Beschäftigtendaten regeln. Arbeitsverträge enthalten hochsensible Informationen: Gehalt, Krankheitsdaten, Leistungsbewertungen. Die Verarbeitung dieser Daten durch KI-Systeme erfordert besondere Sorgfalt und ein Höchstmaß an Sicherheit.
Praxistipp: So prüfen Sie den Datenschutz Ihres KI-Tools
- Fragen Sie nach dem genauen Serverstandort (nicht nur 'EU', sondern konkretes Land und Stadt)
- Verlangen Sie eine Liste aller Subprozessoren mit Standorten
- Prüfen Sie, ob ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO angeboten wird
- Kontrollieren Sie die AGB auf Klauseln zur Datenverwendung für KI-Training
- Testen Sie den Export und die Löschung Ihrer Daten
- Prüfen Sie Zertifizierungen (ISO 27001, SOC 2 Type II)
Datenschutz bei KI-Vertragsanalyse ist keine Funktion, die man später hinzufügt — sie muss in der Architektur von Tag eins verankert sein.