Unternehmensweite KI-Nutzung ist 2026 kein Pilotprojekt mehr. Die Frage ist nicht mehr ob KI eingesetzt wird, sondern welche Plattform das rechtssicher ermöglicht. Der DACH-Markt bietet mittlerweile über 19 spezialisierte Anbieter. Die meisten Unternehmen wählen nach Preis oder Bekanntheit. Wer nach DSGVO und EU AI Act wählt, stellt andere Fragen.

Dieser Beitrag erklärt die vier datenschutzrechtlichen Grundanforderungen an KI-Plattformen, die drei Hosting-Modelle mit ihren Konsequenzen für die Compliance sowie die wichtigsten Auswahlkriterien aus der Beratungspraxis.

Wichtig ab August 2026: Mit dem EU AI Act gelten neben der DSGVO zusätzliche Pflichten für Unternehmen, die KI einsetzen. Klassifizierung von KI-Systemen, Schulungspflichten und Audit-Logs sind keine optionalen Extras mehr, sondern gesetzliche Anforderungen. Wer DSGVO und AI Act gemeinsam umsetzt, hat den Aufwand einmal.

Was eine DSGVO-konforme KI-Plattform leisten muss

Die DSGVO stellt keine spezifischen Anforderungen an KI-Plattformen als Kategorie. Sie stellt Anforderungen an jede Verarbeitung personenbezogener Daten. Daraus ergeben sich vier konkrete Prüfpunkte für jede KI-Lösung im Unternehmen.

  • Hosting in der EU: Die Datenverarbeitung muss auf Servern innerhalb der EU oder des EWR stattfinden. Cloudanbieter wie Azure West Europe, AWS Frankfurt oder STACKIT Berlin gelten als datenschutzrechtlich sauber. US-amerikanische Server ohne zusätzliche Absicherung sind problematisch.
  • Zero-Data-Retention: Die Eingaben der Nutzer dürfen nicht für das Training künftiger Modelle verwendet werden. Diese Zusicherung muss vertraglich dokumentiert sein. Free-Versionen kommerzieller KI-Anbieter schließen dies üblicherweise ausdrücklich aus.
  • Auftragsverarbeitung nach Art. 28 DSGVO: Jede geschäftliche Nutzung einer KI-Plattform erfordert einen Auftragsverarbeitungsvertrag. Ohne AVV ist jede Eingabe personenbezogener Daten ein Datenschutzverstoß, unabhängig davon, wie bekannt oder verbreitet der Anbieter ist.
  • Datensouveränität: Das Spektrum reicht von Multi-Tenant-SaaS über Self-Hosting in der eigenen Cloud bis zu On-Premise-Lösungen. Je sensibler die verarbeiteten Daten, desto mehr Kontrolle braucht das Unternehmen über die Infrastruktur.

Die drei Hosting-Modelle im Überblick

Modell 01

Multi-Tenant SaaS

Schneller Einstieg, keine eigene Infrastruktur. Geeignet für unkritische Daten. Bei personenbezogenen Daten auf AVV und EU-Hosting achten. Lineare Kosten pro Nutzer.

Modell 02

Self-Hosted in der eigenen Cloud

Daten bleiben in der Kundenumgebung. Kein Datenzugriff durch den Anbieter. Flexible Modellwahl. Empfohlen für KMU mit regelmäßiger Verarbeitung sensibler Daten.

Modell 03

On-Premise

Vollständige Isolation im eigenen Rechenzentrum. Höchste Schutzanforderungen für Banken, Gesundheit und kritische Infrastruktur. Höchster Betriebsaufwand.

Für den österreichischen und deutschen Mittelstand trifft Self-Hosting in der eigenen Cloud meist die beste Schnittmenge: volle Datensouveränität ohne eigenes Rechenzentrum, planbare Kosten unabhängig von der Nutzerzahl und echte Modellfreiheit zwischen GPT, Claude, Gemini und Open-Source-Modellen wie Llama oder Mistral.

Schritt 01 · Hosting-Architektur

Wo werden Ihre Daten tatsächlich verarbeitet?

Die erste Frage bei jeder KI-Plattform lautet: In welcher Region läuft die Inferenz? Ein Anbieter mit Sitz in Deutschland kann technisch auf US-Servern betreiben. Die Angabe „DSGVO-konform" im Marketing ersetzt keine Prüfung der tatsächlichen Datenverarbeitungsstandorte.

Datenverarbeitungsstandort im Anbietervertrag schriftlich bestätigen lassen
Unterauftragsverarbeiter prüfen: Welche Cloud-Infrastruktur nutzt der Anbieter?
CLOUD Act Risiko bei US-Anbietern prüfen, auch wenn Server in der EU stehen

Schritt 02 · AVV abschließen

Auftragsverarbeitungsvertrag vor der ersten Eingabe

Ohne AVV ist jede Eingabe personenbezogener Daten in eine KI-Plattform eine Datenschutzverletzung nach Art. 4 DSGVO. Das gilt unabhängig davon, wie bekannt der Anbieter ist oder wie unkritisch die Daten erscheinen.

Praktische Konsequenz: Free-Versionen von ChatGPT, Gemini oder Claude schließen einen AVV ausdrücklich aus. Für die berufliche Nutzung mit Personenbezug sind ausschließlich Business- oder Enterprise-Tarife geeignet. Wer mit der Free-Version arbeitet, muss sicherstellen, dass niemals personenbezogene Daten eingegeben werden.

Schritt 03 · Zero-Data-Retention

Eingaben dürfen das Unternehmen nicht verlassen

Zero-Data-Retention bedeutet: Der Anbieter speichert keine Prompts, nutzt sie nicht für Modelltraining und gibt sie nicht an Dritte weiter. Diese Zusicherung muss im AVV oder in einer separaten Data-Processing-Addendum stehen. Eine Datenschutzerklärung auf der Website reicht nicht.

Zero-Data-Retention schriftlich im AVV oder DPA dokumentiert?
Audit-Recht vereinbart, um die Zusicherung überprüfen zu können?
Löschfristen für Chat-Logs und Konversationshistorien definiert?

Schritt 04 · EU AI Act Compliance

EU AI Act und DSGVO: Was 2026 gilt

Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Wesentliche Pflichten greifen ab dem 2. August 2026. Für Unternehmen bedeutet das vier konkrete Aufgaben.

Erstens: Die Klassifizierung der eingesetzten KI-Systeme. Verbotene Praktiken (etwa Social Scoring) sind ausgeschlossen, Hochrisiko-Systeme (HR-Auswahl, Kreditvergabe, kritische Infrastruktur) unterliegen besonders strengen Anforderungen, Transparenzpflichten gelten für generative Chatbots, niedriges Risiko ist weitgehend frei. Eine Inventur der eigenen KI-Anwendungsfälle ist die erste Pflicht.

Zweitens: Die KI-Kompetenz-Schulungspflicht. Unternehmen müssen sicherstellen, dass Mitarbeitende, die mit KI arbeiten, ausreichend geschult sind. Was „ausreichend" heißt, ist nicht abschließend geklärt. In der Praxis hat sich ein zweistufiger Ansatz etabliert: eine kurze Grundschulung für alle Nutzenden plus eine vertiefte Schulung für KI-Beauftragte. Manche Plattformen liefern beide Schulungsbausteine im Setup mit, andere bieten dies optional an oder gar nicht.

Drittens: Eine KI-Leitlinie für das Unternehmen. Sie regelt zulässige und unzulässige Nutzungsszenarien, beschreibt Datenklassen, Verantwortlichkeiten, Eskalationswege und Dokumentationspflichten. Eine externe Erstellung mit einem Fachanwalt für IT-Recht ist üblich und in vielen Branchen praktisch unverzichtbar.

Viertens: Dokumentation und Auditierbarkeit. Welche Prompts hat welche Mitarbeiterin an welches Modell geschickt? Wer hat welche Datei in die Wissensdatenbank geladen? Welche Antworten wurden gegeben? Plattformen mit zentralem Audit-Log und feingranularen Zugriffsrechten erleichtern diesen Nachweis erheblich.

Die DSGVO bleibt parallel gültig und wird durch den AI Act nicht abgelöst. Eine saubere Auftragsverarbeitung mit dem Plattformanbieter, eine dokumentierte Cloud-Region und Zero-Data-Retention-Vereinbarungen mit Modellanbietern sind weiterhin Pflicht.

DSGVO-konform ist nicht modellabhängig, sondern Hosting-abhängig. GPT auf Azure Frankfurt, Claude auf AWS Frankfurt, Gemini auf Google Cloud Frankfurt und Llama auf STACKIT Berlin sind alle rechtssicher betreibbar. Die Frage ist nicht welches Modell, sondern wo und wie. Aus der Beratungspraxis

Welche Plattformen für welches Unternehmen geeignet sind

Der DACH-Markt ist 2026 reif. Die Wahl hängt von drei Faktoren ab: Datensouveränitätsanforderung, Kostenmodell und Compliance-Reifegrad des Unternehmens.

Multi-Tenant SaaS

DeutschlandGPT, Langdock, Omnifact

Schneller Einstieg mit ISO 27001 oder BSI C5 Zertifizierung. Lineare Kosten pro Nutzer (18 bis 30 Euro pro Monat). Geeignet für Unternehmen, die Multi-Tenant-Architektur akzeptieren und schnell starten wollen.

Self-Hosted Cloud

CompanyGPT, DSGPT, kamium

Daten bleiben in der Kundenumgebung auf STACKIT, Azure, AWS oder Google Cloud. Pauschale statt Pro-Nutzer-Abrechnung. Bei mehr als 50 Nutzern wirtschaftlich überlegen, ab 200 Nutzern deutlich günstiger als SaaS-Alternativen.

On-Premise

WilmaGPT, PhariaAI, Omnifact Enterprise

Vollständige Isolation im eigenen Rechenzentrum. Für Banken, Gesundheitseinrichtungen und Unternehmen mit besonders schützenswerten Daten nach §203 StGB. Höchster Betriebsaufwand und GPU-Investitionsbedarf.

Spezialisiert

amber, basebox.ai, neuland.ai, Telekom Business GPT

Klarer Anwendungsfall entscheidet: amber für Enterprise Search, basebox.ai für Healthcare mit App Store, neuland.ai für KI-App-Verwaltung, Telekom Business GPT für Unternehmen, die einen einzigen deutschen Ansprechpartner bevorzugen.

Microsoft 365 Copilot: Copilot ist als Ergänzung für bestehende M365-Umgebungen geeignet, nicht als eigenständige KI-Hauptplattform. US-Jurisdiktion und CLOUD Act-Risiko bleiben auch bei EU-Serverstandort bestehen. Keine Modellwahl, kein Self-Hosting, lineare Kosten ab ca. 28 Euro pro Nutzer und Monat. Bei 200 Nutzern entstehen Jahreskosten von rund 67.000 Euro ohne die obligatorische M365-Basislizenz.

Was österreichische KMU jetzt konkret tun sollten

Die meisten KMU stehen vor drei offenen Punkten: kein AVV mit dem aktuell genutzten KI-Anbieter, keine schriftliche KI-Richtlinie und keine Schulungsdokumentation für den EU AI Act. Diese drei Punkte sind in vier bis sechs Wochen schließbar.

Der erste Schritt ist eine ehrliche Inventur: Welche KI-Tools werden tatsächlich im Unternehmen genutzt, auch als Schatten-IT? Welche Datenkategorien werden eingegeben? Liegen AVVs vor? Danach zeigt sich, ob die bestehende Plattform mit einem Tarifwechsel ausreicht oder ob ein Wechsel auf eine souveränere Architektur sinnvoll ist.

Im kostenlosen Erstgespräch klären wir, welche KI-Tools bei Ihnen im Einsatz sind, ob die rechtliche Grundlage stimmt und welche zwei oder drei Schritte den größten Hebeleffekt haben.