← KI & DSGVO Tools & Optionen 2026-03-11

KI mieten oder selbst hosten? Was du als Unternehmer wirklich wissen musst

Cloud-Abo oder lokal gehostetes Modell — was ist DSGVO-konform? Ein sachlicher Vergleich der beiden Wege, mit konkreten Tool-Empfehlungen und einer Entscheidungshilfe für KMU.

Markus Mangold · ZEOS83

Ich sitze am Rechner, tippe meine Kundendaten in ein KI-Tool, und bekomme in Sekunden eine brauchbare Zusammenfassung. Praktisch. Aber wo landen diese Daten gerade eben?

Das ist keine Panikmache. Das ist eine sachliche Frage, die jeder Unternehmer beantworten können sollte, bevor er KI im Tagesgeschäft einsetzt. Und die Antwort hängt davon ab, welches Modell du nutzt: ein cloudbasiertes Abo, oder ein Modell das lokal auf deiner eigenen Hardware läuft.

Ich habe mir beide Wege angeschaut. Hier ist was ich dabei gelernt habe.

Der Unterschied, der alles entscheidet

Viele Betriebe fangen mit dem an was am einfachsten zugänglich ist: ChatGPT im Browser, Claude im Browser, ein kostenloses oder günstiges Monatsabo. Verständlich. Schnell verfügbar, keine IT-Kenntnisse nötig, sofort loslegen.

Das Problem dabei ist nicht das Tool selbst. Das Problem ist, wie du es nutzt.

Denn bei den Consumer-Versionen dieser Tools, also ChatGPT Free, ChatGPT Plus, Claude.ai Pro, gilt in der Regel: deine Eingaben können für das Training der Modelle verwendet werden. Du hast zwar oft eine Option das abzustellen, aber der Standard ist der Datentransfer. Und der Server steht nicht in Deutschland.

Das ist eine Kombination, die DSGVO-rechtlich heikel ist, sobald du auch nur einen Namen, eine Adresse oder eine Rechnungsnummer eintippst.

Was bei Cloud-Abos tatsächlich geht

Jetzt kommt der wichtige Teil, den viele übersehen: Cloud-KI ist nicht per se verboten. Es kommt auf die Version an.

OpenAI Enterprise bietet seit Februar 2025 EU-Datenresidenz auf irischen Servern. Kein Training auf deinen Daten. Und es gibt einen Auftragsverarbeitungsvertrag (AVV), den du abschließen kannst. Irland ist EU-Mitglied, das Schrems-II-Problem entfällt.

Claude über Google Vertex AI kann DSGVO-konform betrieben werden, weil Google Cloud eine Region in Frankfurt (europe-west3) betreibt. Kein Datentransfer in die USA, AVV vorhanden, Daten verlassen die EU nicht.

Microsoft 365 Copilot ist über den bestehenden Microsoft-Cloud-Vertrag in vielen Unternehmen bereits rechtlich abgesichert, vorausgesetzt die EU-Datenresidenz ist aktiviert.

Der kritische Unterschied ist also nicht “Cloud oder kein Cloud”, sondern:

Nutzt du eine Consumer-Version oder eine Business/API-Version?
Werden deine Eingaben für Training verwendet?
Gibt es einen AVV?
Wo stehen die Server?

Das klingt nach Bürokratie, ist aber in fünf Minuten geklärt, wenn du weißt wo du suchen musst.

Lokale Modelle: wann macht das wirklich Sinn?

Die zweite Option ist, ein KI-Modell lokal zu betreiben. Also auf deinem eigenen Server oder deinem eigenen Rechner, ohne dass Daten nach außen gehen.

Tools wie Ollama ermöglichen es, Modelle wie Llama, Mistral oder Phi direkt auf lokaler Hardware laufen zu lassen. Kein Internet nötig, kein Datentransfer, kein AVV erforderlich, weil gar kein externer Dienstleister involviert ist.

Das klingt nach der perfekten Lösung. Und für bestimmte Szenarien ist es das auch.

Wann lokal Sinn macht:

Du verarbeitest regelmäßig hochsensible Daten (Gesundheitsdaten, Personalakten, Finanzdaten)
Dein Betrieb hat bereits einen eigenen Server oder eine IT-Infrastruktur
Datenschutz ist Teil deines Alleinstellungsmerkmals gegenüber Kunden
Du hast jemanden im Team der das einrichten und warten kann

Wann lokal eher overkill ist:

Du bist ein 5-Mann-Betrieb und willst KI für einfache Texthilfe nutzen
Deine IT-Ressourcen sind begrenzt oder nicht vorhanden
Die Modelle die lokal laufen reichen qualitativ nicht an die großen Cloud-Modelle ran

Und das ist ein echter Punkt: die lokalen Modelle, die auf normaler Hardware ohne riesige GPU laufen, halten qualitativ nicht mit GPT-4o, GPT-4.5, Claude 4 oder Gemini 2.0 mit. Die Lücke wird kleiner, aber bei anspruchsvolleren Aufgaben ist sie noch spürbar.

Das Datenschutzproblem das beide Varianten nicht lösen

Egal ob Cloud-Abo oder lokales Modell: das eigentliche Risiko sitzt nicht in der Technik. Es sitzt zwischen Tastatur und Stuhl.

Die größte DSGVO-Gefahr ist, dass Mitarbeiter in guter Absicht Daten eingeben, die da nicht hingehören. Ein vollständiger Kundendatensatz in ein KI-Tool kopiert, um eine Zusammenfassung zu erstellen. Oder eine Rechnung mit Name und IBAN in die Chat-Maske gepackt, weil es so bequem ist.

Die technische Lösung ist nur die halbe Miete. Die andere Hälfte ist, klare interne Regeln zu haben: welche Daten darf ich eingeben, welche nicht. Das gilt für Cloud-Tools genauso wie für lokale Modelle.

So würde ich die Entscheidung treffen

Wenn ein Betrieb zu mir kommt und fragt “Was sollen wir nehmen?”, dann stelle ich drei Fragen:

1. Welche Art von Daten sollen verarbeitet werden? Nur allgemeine Texte und interne Abläufe? Dann reicht eine gut konfigurierte Business-Cloud-Lösung. Geht es um sensible Kundendaten oder Geschäftsgeheimnisse? Dann wird lokal interessanter.

2. Habt ihr IT-Ressourcen? Kein IT-Mensch im Betrieb? Dann ist ein lokal gehostetes Modell mehr Aufwand als Nutzen. Eine geprüfte Cloud-Lösung mit AVV ist pragmatischer.

3. Was kostet euch ein Datenschutzverstoß im Worst Case? Das ist kein Schreckszenario. Das ist eine betriebswirtschaftliche Frage. 20 Millionen Euro oder 4 Prozent des Jahresumsatzes, das steht in der DSGVO. Für die meisten KMU ist das existenzbedrohend. Ob ein 30-Euro-Monatsabo das wert ist, muss jeder selbst abwägen.

Das nimmst du mit

Abo-Modelle sind nicht automatisch DSGVO-widrig. Consumer-Versionen fast immer problematisch. Business- und Enterprise-Versionen mit EU-Datenresidenz und AVV, meistens konform.

Lokale Modelle sind die datenschutzrechtlich sauberste Option, aber nicht immer die praktischste. Vor allem für kleinere Betriebe ohne IT-Infrastruktur oft unverhältnismäßig aufwändig.

Die wichtigste Schrauben in der DSGVO-Compliance sind nicht die Technik, sondern der Serverstandort, der Auftragsverarbeitungsvertrag und die internen Regeln im Betrieb darüber was eingegeben werden darf.

Wenn du das einmal sauber aufgesetzt hast, kannst du KI nutzen. Ohne Bauchschmerzen.

Fragen dazu? Schreib mir gerne direkt.

Häufige Fragen zu diesem Thema

Ist ChatGPT Plus DSGVO-konform?

Nein, in der Regel nicht für den Einsatz mit Kundendaten. ChatGPT Plus ist eine Consumer-Version — Eingaben können für das Modell-Training verwendet werden, es gibt keinen Auftragsverarbeitungsvertrag und keine EU-Datenresidenz. Für den Unternehmenseinsatz mit personenbezogenen Daten brauchst du ChatGPT Enterprise oder die API mit aktivierter EU-Datenresidenz.

Was ist der Unterschied zwischen Consumer-KI und Business-KI?

Consumer-Versionen (z. B. ChatGPT Free, ChatGPT Plus, Claude.ai Pro) sind für den privaten Gebrauch gedacht. Eingaben können für Training genutzt werden, es gibt meist keinen AVV. Business- und Enterprise-Versionen (z. B. OpenAI Enterprise, Claude API) sichern zu, dass Daten nicht für Training genutzt werden, bieten einen AVV und oft EU-Datenresidenz.

Muss ich für jedes KI-Tool einen AVV abschließen?

Ja, sobald du personenbezogene Daten eingibst. Ein AVV ist nach Art. 28 DSGVO Pflicht, wenn ein externer Dienstleister solche Daten in deinem Auftrag verarbeitet. Bei seriösen Business-KI-Anbietern findest du den AVV in den Enterprise-Konditionen oder im API-Vertrag.

Sind lokal gehostete KI-Modelle automatisch DSGVO-konform?

Ja, weitgehend. Wenn keine Daten das Unternehmen verlassen, gibt es keine Drittlandübertragung und keinen externen Auftragsverarbeiter. Du bist allerdings selbst für die Sicherheit der Infrastruktur verantwortlich. Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO müssen trotzdem eingehalten werden.