← KI & DSGVO Tools & Optionen 2026-03-18

ChatGPT, Claude, Gemini, Mistral – welches KI-Tool ist in Deutschland wirklich DSGVO-konform?

Fünf der meistgenutzten KI-Tools, eine Frage: Was darf ich als Unternehmer in Deutschland einsetzen, ohne gegen die DSGVO zu verstoßen? Ein Praxischeck mit klarer Empfehlung.

Markus Mangold · ZEOS83

Ich habe mich durch die Datenschutzerklärungen, Nutzungsbedingungen und Enterprise-Konditionen der fünf Tools gekämpft, die in deutschen Unternehmen gerade am häufigsten eingesetzt oder diskutiert werden. Das ist kein spannender Abend, aber einer, der sich lohnt. Weil die Antwort auf “Darf ich das benutzen?” nicht “nein” ist — sondern “kommt drauf an, welche Version.”

Und dieser Unterschied kann dich im Worst Case teuer zu stehen kommen.

Warum “die Version” entscheidend ist

Das ist der Denkfehler, den ich in fast jedem Gespräch mit Unternehmern höre: “ChatGPT ist doch verboten, oder?” Nein. “ChatGPT Free ist okay, ich zahle ja nichts.” Auch falsch.

Die DSGVO fragt nicht, ob du ein Tool nutzt. Sie fragt: Werden dabei personenbezogene Daten verarbeitet, und wenn ja, unter welchen Bedingungen? Das hängt nicht am Markennamen, sondern an der Vertragssituation. Consumer-Produkte und Business-Produkte desselben Anbieters sind rechtlich komplett unterschiedliche Welten.

Das Ergebnis meines Checks:

ChatGPT / OpenAI

Die meistgenutzte KI weltweit. Und gleichzeitig das Tool, bei dem der Unterschied zwischen “okay” und “problematisch” am deutlichsten ist.

ChatGPT Free, ChatGPT Plus (20 €/Monat): Nicht geeignet für personenbezogene Daten. Eingaben können für das Training des Modells verwendet werden. Kein AVV. Server in den USA. Das ist eine Kombination, die DSGVO-rechtlich nicht funktioniert, sobald du einen Namen, eine Adresse oder eine Kundennummer eintippst.

ChatGPT Enterprise / OpenAI API mit EU-Datenresidenz: Seit Februar 2025 bietet OpenAI EU-Datenresidenz auf irischen Servern an. Irland ist EU-Mitglied, das Schrems-II-Problem entfällt. Kein Training auf deinen Daten. AVV vorhanden und abschließbar. Das ist der konforme Weg, wenn du bei OpenAI bleiben möchtest.

Der Haken: ChatGPT Enterprise ist nicht für jeden KMU erschwinglich oder relevant. Die API-Variante erfordert etwas technisches Know-how.

Claude / Anthropic

Claude ist das Modell von Anthropic, von vielen als qualitativ stärkstes Modell für Texterstellung und Analyse eingestuft. Und hier ist eine Sache, die überraschend viele nicht kennen: Die Pläne unterscheiden sich erheblich, und die Grenze läuft nicht dort, wo man sie vermutet.

Claude.ai Free, Pro, Max: Individuelle Pläne für Einzelpersonen. Die “Max”-Variante (ab 100 €/Monat) bietet schlicht mehr Nutzungsvolumen, ändert aber nichts an der rechtlichen Ausgangslage. Kein AVV, Daten auf US-Servern, Verwendung für Modell-Training in den Nutzungsbedingungen nicht ausgeschlossen. Für personenbezogene Unternehmensdaten nicht geeignet.

Claude.ai Team: Hier ist die Lage differenzierter, und das ist der Punkt, den viele übersehen. Team ist kein Konsumentenprodukt. Konversationen werden nicht für das Training verwendet, es gibt einen Auftragsverarbeitungsvertrag, und Administratoren haben zentrale Kontrolle über Nutzer und Nutzung. Das ist ein echter Unterschied zu Free und Pro. Was bleibt: Anthropics Server stehen in den USA. Wer personenbezogene Daten verarbeitet, hat damit weiterhin ein Drittlandübertragungsproblem, auch wenn der Vertrag sauber ist.

Claude über Google Vertex AI: Das ist der vollständig konforme Weg. Google Cloud betreibt eine Region in Frankfurt (europe-west3). Wenn du Claude über Vertex AI in dieser Region betreibst, verlassen deine Daten die EU nicht. Es gibt einen AVV mit Google, Anthropic selbst tritt dabei als Unterauftragnehmer auf. Kein US-Transfer, kein Schrems-II-Risiko.

Aufwand: etwas technischer als ein Web-Abo, aber auch kein Hexenwerk. Wer einen Entwickler oder technischen Mitarbeiter hat, ist in einer Stunde startklar.

Google Gemini

Google ist ein US-Unternehmen. Das klingt erstmal nach Problem. Bei Consumer-Produkten ist es das auch.

Gemini über gemini.google.com: Nicht für Unternehmensdaten geeignet. Amerikanische Server, kein AVV für Consumer-Nutzung, Datenweitergabe zu Trainingszwecken möglich.

Gemini über Google Vertex AI (EU-Region): Hier gilt dasselbe wie bei Claude via Vertex. Google Cloud bietet Datenresidenz in Europa (Frankfurt, Belgien, Niederlande). AVV ist über den Google Cloud-Vertrag geregelt, Daten verlassen die EU nicht. Für Unternehmen, die bereits Google Workspace nutzen, ist der Schritt zu Vertex AI oft kleiner als erwartet, weil die Vertragsstruktur schon teilweise vorhanden ist.

Mistral AI

Das ist der, den viele in Deutschland noch nicht auf dem Radar haben. Dabei ist Mistral aus DSGVO-Sicht interessant.

Mistral AI hat seinen Sitz in Paris. Französisches Unternehmen, EU-Unternehmen, direkt der DSGVO unterstellt, nicht als externe Verpflichtung, sondern als heimisches Recht. Die API wird über EU-Server betrieben, ein AVV ist verfügbar.

Die Modelle sind technisch nicht auf dem absoluten Spitzenplatz der großen US-Konkurrenten, haben aber in den letzten Monaten erheblich aufgeholt. Für viele Unternehmensanwendungen (interne Dokumentenanalyse, Textgenerierung, Zusammenfassungen) reicht die Qualität vollkommen aus.

Wer explizit auf europäische Datensouveränität setzt und das nach außen kommunizieren will, hat mit Mistral ein starkes Argument.

Microsoft 365 Copilot

Das ist der Sonderfall. Nicht weil Microsoft besonders gut oder schlecht dasteht, sondern weil die meisten Unternehmen bereits einen Microsoft-Vertrag haben und damit oft schon die rechtliche Grundlage mitgeliefert bekommen.

Microsoft 365 Copilot ist in den bestehenden Enterprise-Verträgen vieler Unternehmen über einen Datenschutznachtrag (Data Protection Addendum) abgedeckt. EU-Datenresidenz ist bei korrekter Konfiguration aktivierbar, AVV ist im Enterprise-Vertrag enthalten, Daten werden nicht für das Training fremder Modelle verwendet.

Die wichtige Einschränkung: Das gilt für Microsoft 365 Enterprise, nicht für Home- oder Business-Basic-Abos. Und die EU-Datenresidenz muss aktiv eingestellt sein, sie ist nicht automatisch der Standard.

Wenn dein Unternehmen bereits Microsoft 365 Enterprise nutzt, lohnt sich ein Blick in den bestehenden Vertrag, bevor du einen neuen KI-Anbieter evaluierst.

Was alle fünf gemeinsam haben — und was nicht

Bei Consumer-Versionen gilt: Sie sind für den privaten Gebrauch gedacht, nicht für die Verarbeitung von Unternehmensdaten. Das ist keine Meinung, das steht so in den Nutzungsbedingungen.

Bei Business- und Enterprise-Versionen ist die Lage besser als ihr Ruf: Alle fünf bieten einen AVV, alle fünf haben EU-Datenresidenz-Optionen, und alle fünf schließen Training auf deine Eingaben vertraglich aus.

Der Unterschied liegt in der Zugänglichkeit: Vertex AI erfordert etwas technisches Know-how. ChatGPT Enterprise ist ein Vertriebsgespräch. Mistral ist API-first. Microsoft Copilot ist für bestehende Enterprise-Kunden oft der einfachste Einstieg.

Das nimmst du mit

Kein einziges der fünf Tools ist pauschal verboten. Und kein einziges ist pauschal erlaubt. Es kommt immer auf die Version und die Vertragslage an.

Die kurze Entscheidungshilfe: Nutzt du die kostenlose oder die günstige Consumer-Version? Dann gib dort keine Kundendaten, Adressen oder Rechnungen ein. Nutzt du die Business- oder Enterprise-Variante mit AVV und EU-Datenresidenz? Dann bist du auf der richtigen Seite, solange deine Mitarbeiter wissen, was sie eingeben dürfen.

Das ist der eigentliche Hebel. Technik und Vertrag sind die Grundlage. Aber was täglich ins Tool getippt wird, entscheidet ein Mensch, nicht ein Server.

Fragen zu einem konkreten Tool oder einer spezifischen Konfiguration? Schreib mir direkt.

Häufige Fragen zu diesem Thema

Ist ChatGPT DSGVO-konform?

Das kommt auf die Version an. ChatGPT Free und Plus sind für den Einsatz mit personenbezogenen Daten nicht geeignet. ChatGPT Enterprise und die OpenAI API mit aktivierter EU-Datenresidenz (irische Server) sind DSGVO-konform nutzbar, vorausgesetzt du schließt einen Auftragsverarbeitungsvertrag ab.

Kann ich Claude von Anthropic DSGVO-konform nutzen?

Ja, aber mit Einschränkungen. Der Claude Team-Plan bietet einen AVV und verzichtet auf Training mit deinen Daten, verarbeitet aber weiterhin auf US-Servern — das Drittlandübertragungsproblem bleibt. Die sauberste Lösung ist Claude über Google Vertex AI in der Region Frankfurt (europe-west3): Daten bleiben in der EU, kein US-Transfer, AVV vorhanden.

Was ist an Mistral AI aus DSGVO-Sicht besonders?

Mistral AI ist ein französisches Unternehmen mit Sitz in Paris. Als EU-Unternehmen unterliegt es direkt der DSGVO. Die API wird über EU-Server betrieben, ein AVV ist verfügbar. Für Unternehmen die Wert auf europäische Datensouveränität legen, ist Mistral eine ernstzunehmende Option.

Brauche ich für jedes KI-Tool einen eigenen AVV?

Ja, sobald du personenbezogene Daten eingibst. Der AVV ist nach Art. 28 DSGVO Pflicht, wenn ein Dienstleister solche Daten in deinem Auftrag verarbeitet. Bei seriösen Business-Anbietern findest du den AVV in den Enterprise-Konditionen oder im API-Bereich der Accountverwaltung.

Ist Google Gemini DSGVO-konform?

Die Consumer-Version (gemini.google.com) ist für Unternehmen nicht geeignet. Über Google Vertex AI mit Datenresidenz in der EU (z. B. Frankfurt) ist Gemini DSGVO-konform nutzbar. Google bietet für Vertex AI einen AVV und die Datenverarbeitung bleibt in der EU.