"DSGVO-konform" steht inzwischen auf fast jedem KI-Tool, das sich an Firmen richtet. Ich verstehe, warum. Die Frage ist wichtig. Das Versprechen beruhigt. Aber wenn man genauer hinsieht, ist die Antwort auf "Sind Sie DSGVO-konform?" meistens: "Wir speichern keine Daten." Und das ist keine Antwort auf die Frage.
Denn sobald ein KI-Agent Daten verarbeitet, sind Sie als Auftraggeber und ich als Anbieter in der Pflicht. Unabhängig davon, ob etwas dauerhaft gespeichert wird oder nicht. Das Datenschutzrecht schaut nicht auf Festplatten, es schaut auf Verarbeitung. "Keine Speicherung" ist keine Ausrede, es ist schlicht am Thema vorbei.
Dieser Artikel richtet sich an Geschäftsführung und Operations-Verantwortliche, die kein Datenschutzrecht studiert haben, aber gute Fragen stellen wollen, bevor sie einen KI-Agenten einführen. Ich versuche zu erklären, was wirklich gilt, was Anbieter Ihnen konkret schulden, und wo ich selbst keine vollständige Antwort habe. Wer sauber erklärt, was er nicht kann, ist vertrauenswürdiger als wer bei jeder Frage lächelt und nickt.
"DSGVO-konform" ist kein Siegel
Es gibt kein Zertifikat, das bescheinigt: Dieser KI-Anbieter ist datenschutzkonform, alle Pflichten erfüllt, fertig. Was es gibt, sind konkrete rechtliche Anforderungen, und die Frage, ob ein Anbieter sie tatsächlich erfüllt oder nur so tut, als ob.
Artikel 28 DSGVO ist der Kern davon. Er regelt, was passiert, wenn jemand im Auftrag einer anderen Partei Daten verarbeitet. Das nennt sich Auftragsverarbeitung, und sie liegt vor, sobald ein externer Dienstleister Zugang zu personenbezogenen Daten hat und in deren Auftrag damit umgeht. Ein KI-Agent, der E-Mails liest und beantwortet, tut das. Einer, der CRM-Daten abfragt und qualifiziert, tut das. Einer, der Verträge analysiert, tut das. Ob diese Daten auf einem Server gespeichert werden oder nur "durchlaufen" spielt für diese Pflicht keine Rolle.
Ich erlebe in Gesprächen regelmäßig, dass Unternehmen das als neue Frage behandeln, die durch KI aufgeworfen wird. Sie ist es nicht. Die Auftragsverarbeiterpflicht gilt seit 2018. Was sich ändert, ist die Zahl der Dienste, die in diese Kategorie fallen. Ein Steuerberater, der Ihre Buchhaltungsdaten verarbeitet, war schon immer ein Auftragsverarbeiter. Ein SaaS-Tool, das Ihre Kundendaten verarbeitet, war es auch. Ein KI-Agent ist das nächste in dieser Reihe. Die Grundlage ist dieselbe, die Komplexität steigt durch mehr beteiligte Systeme.
Sobald ein Agent Ihre Daten verarbeitet, brauchen Sie einen AVV
Das ist die erste und wichtigste Pflicht. Ohne einen schriftlichen Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen und dem Anbieter ist jede Datenverarbeitung durch diesen Agenten nicht rechtskonform. Der AVV muss vor dem Einsatz geschlossen sein, nicht irgendwann, nicht "wenn wir in den Vollbetrieb gehen".
Was muss darin stehen? Der Gegenstand der Verarbeitung, Art und Zweck, die Kategorien betroffener Personen, die technischen und organisatorischen Maßnahmen, das Weisungsrecht des Verantwortlichen, Regelungen zu Subunternehmern und zu Löschung oder Rückgabe nach Vertragsende. Das klingt nach Checkliste. Ist es auch, aber eine, die vor dem Start vollständig ausgefüllt sein muss.
Ein Anbieter, der auf die Frage nach dem AVV antwortet "den schicken wir dann bei Bedarf" oder "das läuft über unsere Nutzungsbedingungen", hat das Problem noch nicht durchdrungen. Nutzungsbedingungen sind kein AVV. Sie regeln das Verhältnis zwischen Ihnen und dem Anbieter als Verbraucher, nicht als gemeinsame Verantwortliche für fremde Personendaten. Beides ist nicht dasselbe.
Bei Agentenkollege liefere ich den AVV ab Tag 1, unterschriftsbereit, bevor der erste Agent in Betrieb geht. Das ist keine besondere Serviceleistung, das ist eine rechtliche Pflicht. Ich weise darauf hin, weil ich weiß, dass viele Anbieter das nicht so handhaben.
In der Schweiz gilt das revDSG. Der Vertrag heißt dort Auftragsbearbeitungsvertrag (ABV), inhaltlich vergleichbar, aber nach Schweizer Recht. Wer Kunden in der Schweiz hat und einen KI-Agenten einführt, sollte sichergehen, dass der Anbieter das kennt, nicht nur die europäische DSGVO-Variante.
Wenn Sie wissen wollen, worauf Sie in einem AVV konkret achten sollten, habe ich dafür eine Checkliste zusammengestellt.
Die ehrliche Unterscheidung: Hosting ist nicht KI-Berechnung
Hier weiche ich gern von dem ab, was Anbieter normalerweise sagen. Denn ich denke, dass Klarheit hier wichtiger ist als ein gutes Gefühl.
Hosting und KI-Inferenz sind zwei verschiedene Dinge, und sie können an zwei sehr verschiedenen Orten liegen.
Das Hosting, also der Server, auf dem der Agent läuft, seine Konfiguration, sein Gedächtnis, seine Arbeitsumgebung, kann komplett in Deutschland liegen. Bei Agentenkollege liegt es dort. Jeder Agent läuft auf einer eigenen, dedizierten Linux-VM bei Hetzner Cloud, Rechenzentren in Nürnberg und Falkenstein. Hetzner ist ein deutsches Unternehmen. Damit gibt es für das Hosting keinen Drittland-Transfer. Kein SCC erforderlich, ein Standard-AVV reicht. Das ist ein echter Vorteil gegenüber Anbietern, die auf AWS in Irland oder Azure in den Niederlanden setzen, und es ist ein Vorteil, der sich klar belegen lässt.
Aber wenn der Agent dann tatsächlich denkt, wenn er eine E-Mail liest und entscheidet, was er damit macht, dann schickt er eine Anfrage an ein Sprachmodell. Dieses Modell läuft nicht auf meinem Server in Nürnberg. Es läuft bei einem der großen KI-Anbieter. Und die sitzen in den USA oder in Frankreich.
Das ist der Punkt, über den man reden muss. Weil viele Anbieter ihn weglassen.
Was genau diese Anfrage an das Sprachmodell enthält, variiert je nach Aufgabe. Es kann die E-Mail sein, die der Agent gerade liest. Es kann ein Auszug aus einer Kundendatenbank sein. Es kann der Text eines Vertrags sein. Wenn darin personenbezogene Daten stehen, und das tun sie in aller Regel, dann ist diese Übermittlung an das Sprachmodell eine Datenübermittlung in ein Drittland, falls das Modell außerhalb der EU läuft. Und für diese Übermittlung gelten die Regeln für Drittland-Transfers.
Der USA-Punkt, und warum kein China
Für Datenübermittlungen in Drittländer, also Länder ohne Angemessenheitsbeschluss der EU-Kommission, braucht es Standardvertragsklauseln (SCC) und in der Regel ein Transfer Impact Assessment (TIA). Das ist kein bürokratischer Formalismus. Das ist der Mechanismus, mit dem die EU sicherstellt, dass Ihre Daten auch außerhalb europäischer Jurisdiktion ein Schutzniveau haben, das dem DSGVO-Standard zumindest nahekommen soll.
Für OpenAI und Anthropic (beide USA) gibt es diese SCCs. Die USA haben seit 2023 einen Angemessenheitsbeschluss im Rahmen des EU-US Data Privacy Frameworks, aber das deckt nicht automatisch alle API-Nutzungen ab. Was zählt, ist ob der jeweilige Anbieter unter diesem Framework zertifiziert ist und ob die SCCs im Vertrag verankert sind. Wenn der Anbieter das sauber aufgesetzt hat, ist die Übermittlung an US-Modelle rechtlich handhabbar. Kein Freifahrtschein, aber ein gangbarer Weg.
Modelle aus China, zum Beispiel Kimi von Moonshot AI, setze ich bewusst nicht ein. China gilt als unsicheres Drittland ohne Angemessenheitsbeschluss der EU-Kommission, und die rechtliche Situation ist deutlich schwieriger als bei US-Anbietern. Es gibt Anbieter, die das anders sehen und Kimi wegen seiner Kontextlänge oder Stärken in der Dokumentenverarbeitung einsetzen. Ich habe mich dagegen entschieden: Der Aufwand, das für jeden Kunden sauber zu erklären und zu vertraglich abzusichern, steht in keinem Verhältnis zum Nutzen. Wer eine EU-Variante braucht, bekommt sie sowieso: Mistral Large läuft mit EU-Hosting, GLM 5.1 in einer europäischen Infrastruktur.
Das bedeutet auch: Kein KI-Anbieter der Welt kann Ihnen sagen, das alles sei unproblematisch. Wer das sagt, erklärt Ihnen nicht die Lage, sondern versucht, eine Entscheidung abzukürzen. Ich sage Ihnen, was es ist, und welche Variante für Ihren konkreten Fall sauber ist.
Hosting ist EU per Default. KI-Modell ist USA mit SCC oder EU auf Wunsch. China ist raus. Das ist die ehrliche Aussage, nicht "alles zu 100 Prozent in Deutschland".
Was Sie vom Anbieter konkret verlangen sollten
Wer einen KI-Agenten einführt, hat das Recht auf konkrete Antworten. Nicht auf Broschürensprache. Die Fragen, die ich für entscheidend halte:
Wo liegt der Server, auf dem der Agent betrieben wird? Das ist nicht dieselbe Frage wie "Wo hat der Anbieter seinen Sitz". Ein Hamburger Startup kann auf AWS in Ohio hosten. Die Antwort, die Sie suchen: Land und Rechenzentrum.
Welche Sprachmodelle laufen, und wo sitzen diese Unternehmen? Das ist die Frage nach der KI-Inferenz, und sie ist von der Server-Frage getrennt zu beantworten.
Gibt es einen AVV, und wann kann er geschlossen werden? Wenn die Antwort "vor Projektstart" ist, gut. Wenn "sobald wir mehr Volumen haben", falsch.
Werden Ihre Daten für Modelltraining genutzt? Die Antwort "nein, natürlich nicht" reicht nicht. Fragen Sie, wo das schriftlich steht. Die meisten großen Modell-Anbieter erlauben Training unter bestimmten Bedingungen in ihren Standard-API-Bedingungen. Das lässt sich vertraglich ausschließen, aber nur wenn jemand es explizit ausschließt, schriftlich, im AVV oder in einem separaten Addendum.
Wer sind die Sub-Auftragsverarbeiter, und sind sie transparent gelistet? Das ist die Frage nach der Kette. Der Agent-Anbieter ist Ihr Auftragsverarbeiter. Aber er nutzt seinerseits Sprachmodell-Anbieter, E-Mail-Dienste, Speichersysteme. Diese werden zu Sub-Auftragsverarbeitern. Artikel 28 Abs. 2 DSGVO verlangt, dass Sie dem Einsatz dieser Sub-Auftragsverarbeiter zugestimmt haben oder zumindest informiert wurden. Eine Liste muss vorhanden sein.
Welche Löschfristen gelten? Was passiert mit Kundendaten nach Vertragsende? Werden sie gelöscht, zurückgegeben, exportiert? Innerhalb welchen Zeitraums?
Zu allem davon sollte Ihr Anbieter eine Antwort haben, die über "wir nehmen Datenschutz ernst" hinausgeht. Das ist keine Antwort. Das ist eine Haltung. Haltungen ersetzen keine Verträge.
Der EU AI Act kommt noch dazu
Ein Punkt, den viele Datenschutz-Gespräche noch ausblenden: Der EU AI Act ist seit August 2024 in Kraft und wird stufenweise wirksam, mit vollem Anwendungsbereich ab August 2026. Er klassifiziert KI-Systeme nach Risikoklassen. Hochrisiko-Systeme, zum Beispiel solche, die Bewerber bewerten, Kreditwürdigkeit einschätzen oder automatisiert über Einzelpersonen entscheiden, unterliegen deutlich strengeren Anforderungen: Risikoanalysen, Logging, menschliche Aufsicht, Registrierungspflichten.
Die meisten Agenten, die ich für den Mittelstand baue, fallen nicht in diese Kategorie. Ein Agent, der Posteingang sortiert oder Angebote vorbereitet, ist kein Hochrisiko-System im Sinne des AI Acts. Aber ein Agent, der Bewerbungen vorsortiert und empfiehlt, ist es unter Umständen schon. Das muss man vor dem Aufbau klären, nicht danach.
Ich erwähne das, weil DSGVO und AI Act keine konkurrierenden Regelwerke sind, sondern sich ergänzen. Wer jetzt die DSGVO-Hausaufgaben macht, legt damit auch die Grundlage für AI-Act-Compliance. Wer wartet, hat ab 2026 zwei offene Baustellen statt einer.
Keine Trainingsdaten, klare Löschfristen
Zwei Punkte verdienen eine eigene Betrachtung, weil sie in Gesprächen oft zu schnell abgehakt werden.
Erstens das Training. Wenn ein KI-Agent Ihre Kundendaten, Vertragsdetails oder Mitarbeiterkommunikation verarbeitet und diese Daten in irgendeiner Form zur Verbesserung des zugrundeliegenden Modells genutzt werden, haben Sie ein Problem. Nicht nur datenschutzrechtlich, auch wettbewerbsrechtlich und unter dem Gesichtspunkt von Betriebsgeheimnissen. Die Gute Nachricht: Alle großen Modell-Anbieter haben für API-Kunden die Möglichkeit, Training zu deaktivieren. Die schlechte Nachricht: Das passiert nicht automatisch. Es muss vertraglich geregelt sein. Wer das nicht prüft, verlässt sich auf Standard-Bedingungen, die möglicherweise Training erlauben.
Zweitens die Löschfristen. Wenn ein Agent sechs Monate lang Kundendaten verarbeitet und der Vertrag dann endet, stellt sich die Frage: Wo sind diese Daten, und wann verschwinden sie? Das Gedächtnis eines Agenten, seine Protokolle, seine Kontextspeicher, liegen irgendwo auf einem Server. Artikel 17 DSGVO gibt Betroffenen das Recht auf Löschung. Ihre eigene Pflicht als Verantwortlicher ist es, das auch technisch sicherstellen zu können. Wenn der Anbieter keine klare Antwort auf "Wie schnell löschen Sie nach Vertragsende?" hat, ist das ein Warnsignal.
Was DSGVO-konform am Ende praktisch bedeutet
Ich höre manchmal, DSGVO sei ein deutsches Bürokratiethema, das Unternehmen bremst. Das halte ich für falsch. Die Grundfragen dahinter, wer hat Zugang zu meinen Kundendaten, wer kann damit was machen, wer haftet wenn etwas schiefläuft, sind legitime unternehmerische Fragen. Die DSGVO zwingt dazu, sie schriftlich zu beantworten. Das ist unbequem, aber es ist auch nützlich, weil es Klarheit über Verantwortlichkeiten erzwingt, die sonst im Unklaren bleiben.
Für einen KI-Agenten bedeutet das praktisch: Sie brauchen einen AVV, bevor der Agent startet. Sie sollten wissen, welche Modelle genutzt werden und wo. Sie sollten sichergegangen sein, dass Ihre Daten nicht zum Training genutzt werden. Sie sollten wissen, was nach Vertragsende mit gespeicherten Daten passiert. Und Sie sollten die Sub-Auftragsverarbeiter-Liste kennen, zumindest auf Nachfrage.
Das klingt nach viel Aufwand. In der Praxis, wenn der Anbieter die Hausaufgaben gemacht hat, ist es ein Nachmittag. Ein AVV lesen, die Sub-Liste prüfen, zwei Fragen stellen. Was den Aufwand groß macht, ist wenn der Anbieter selbst nicht vorbereitet ist. Dann zieht sich das. Und das ist ein Signal.
Wie ein KI-Agent technisch funktioniert und warum diese Architektur überhaupt datenschutzrechtlich relevant ist, erkläre ich in einem separaten Artikel. Den sollte man gelesen haben, bevor man über konkrete Verträge spricht.
Wenn Sie sich fragen, ob Ihr aktueller Anbieter oder ein Anbieter, den Sie evaluieren, das alles wirklich sauber gelöst hat: Stellen Sie die Fragen oben. Die Antworten zeigen schnell, ob jemand "DSGVO-konform" als Marketing betreibt oder als Anforderung.
Was für Agentenkollege konkret gilt, Hosting, Modelle, AVV, Sub-Auftragsverarbeiter und Löschfristen, steht auf der Sicherheits-Seite. Wenn danach noch offene Punkte bleiben, sprechen wir sie durch.