DSGVO-konforme KI: Was wirklich zählt.

<p id="rechtsgrundlage">Bevor wir über Hosting, Sub-Prozessoren und AVV reden, müssen Sie wissen, <strong>warum</strong> Sie personenbezogene Daten verarbeiten dürfen. Die DSGVO kennt sechs Rechtsgrundlagen (Art. 6 Abs. 1):</p><ul><li><strong>Vertrag</strong> — z.B. Bestell-Status-Anfrage durch den Käufer.</li><li><strong>Berechtigtes Interesse</strong> — z.B. interne Prozess-Optimierung mit pseudonymisierten Daten.</li><li><strong>Einwilligung</strong> — explizit, dokumentiert, jederzeit widerrufbar.</li></ul><p>Dazu kommt die <strong>Zweckbindung</strong>: Daten dürfen nur für den ursprünglichen Zweck verarbeitet werden. Ein Support-Bot, der Bestelldaten nutzt, darf diese nicht für Marketing-Profiling weiterverwenden.</p>

<p id="subprozessoren">Ein Sub-Prozessor ist jeder Drittanbieter, der in Ihrem Auftrag Daten verarbeitet — z.B. Anthropic für die Sprachmodell-Inferenz, AWS für das Hosting, Mistral als alternativer Anbieter. Die DSGVO verlangt, dass Sie wissen, <em>wer</em> in der Kette beteiligt ist.</p><p>Bei uns ist das vertraglich geregelt:</p><ul><li>Vollständige Liste aller Sub-Prozessoren im AVV (siehe Kapitel weiter unten).</li><li>Jeder Sub-Prozessor mit eigenem AVV bei uns — Kette transparent.</li><li>Änderungen an Sub-Prozessoren brauchen Ihre Zustimmung (oder mindestens ein vorab-Veto-Recht mit klarer Frist).</li></ul>

<p id="training">Diese Frage bekommen wir am häufigsten — und ihre Antwort entscheidet, ob ein Anbieter überhaupt in Frage kommt.</p><p><strong>Bei uns: nein, niemals.</strong> Weder die Inhalte Ihrer Wissensbasis noch die Konversationen Ihrer Kunden werden zum Training verwendet. Das ist im AVV festgehalten und wird durch unsere Sub-Prozessor-Auswahl gewährleistet:</p><ul><li><strong>AWS Bedrock</strong>: garantiert kein Modell-Training auf Kundeninhalten.</li><li><strong>Anthropic API</strong> (im Enterprise-Tier): explizites Opt-out vom Training, vertraglich abgesichert.</li><li><strong>OpenAI API</strong>: ab Standard-API kein Training auf Kundendaten (anders als ChatGPT-Web!).</li></ul><p>Wenn ein Anbieter darauf keine klare schriftliche Zusage gibt — Finger weg.</p>

<p id="checkliste">Bevor Sie sich für einen KI-Anbieter entscheiden, gehen Sie diese Liste durch:</p><ol><li>Liegt der Server-Standort in der EU? Wenn ja: garantiert ohne Replikation in die USA?</li><li>Gibt es einen schriftlichen AVV mit allen Sub-Prozessoren?</li><li>Ist explizit ausgeschlossen, dass Ihre Daten zum Training verwendet werden?</li><li>Wie lange werden Konversationen gespeichert? Können Sie das selbst konfigurieren?</li><li>Gibt es Audit-Logs, und wer hat Zugriff?</li><li>Welche Verschlüsselung im Transit und at rest?</li><li>Existiert ein Notfall-Plan für Datenpannen?</li><li>Lässt sich der Bot bei Bedarf vollständig deinstallieren — inklusive aller Daten?</li></ol><p>Wer eine dieser Fragen nicht klar beantwortet — gehen Sie woanders hin. Auch zu uns. Diese Klarheit ist nicht verhandelbar.</p>