Tipp: SignGuard analysiert Verträge DSGVO-konform auf EU-Servern — Dokumente nur im Arbeitsspeicher, kein Training, keine Weitergabe. Mehr zur Datensicherheit oder direkt 3 Analysen kostenlos testen, ohne Kreditkarte.
Was ist das Problem mit KI-Apps und Datenschutz?
Wenn Sie Inhalte in eine KI-App hochladen — Vertragstext, Foto, PDF — werden diese Daten an die Server des Anbieters übertragen. Bei großen US-Apps wie ChatGPT, Claude oder Gemini liegen diese Server oft in den USA. Der Anbieter verarbeitet Ihre Eingaben, speichert Chats meist 30 Tage oder länger und nutzt sie je nach Einstellung zum Modell-Training. Auch die Auswahl „EU-Region" hilft nur bedingt: Der US CLOUD Act erlaubt US-Behörden Zugriff auf Daten von US-Unternehmen, auch wenn sie in der EU gespeichert sind.
Das ist nicht abstrakt: Eine Studie der Universität Köln im Auftrag des BMI (Dezember 2025) stellt fest, dass US-Behördenzugriff „nicht durch technische Maßnahmen allein verhindert werden kann". Die BfDI-Handreichung vom 22.12.2025 empfiehlt: Datenschutz von Anfang an mitdenken — gerade weil Large Language Models personenbezogene Daten aus Trainingsdaten reproduzieren können.
Die 7 Regeln vor dem Upload
1. Sensible Daten meiden
Gesundheits-, Finanz-, Personal- oder juristische Geheimdaten gehören nicht ungeprüft in eine KI-App. Wenn Sie unsicher sind, ob ein Inhalt sensibel ist: lieber nicht hochladen oder vorher Namen, Adressen und Aktenzeichen schwärzen. Faustregel: Was Sie nicht laut im Café aussprechen würden, gehört nicht in einen unbekannten KI-Chat.
2. Datenschutzerklärung in 5 Minuten scannen
Mit Strg+F gezielt nach drei Punkten suchen: Wo werden Daten gespeichert? Wie lange? Werden sie für Training genutzt? Wenn diese Fragen nicht klar beantwortet sind, ist das ein Warnsignal. Seriöse Anbieter schreiben das transparent — undurchsichtige Formulierungen deuten oft auf Probleme hin.
3. Server-Hosting prüfen — EU oder USA?
Steht in der Privacy-Policy „US-Server" oder „global hosted", greift der CLOUD Act. EU-Hosting ist besser, aber nicht perfekt: Wenn das Unternehmen ein US-Konzern ist, kann der CLOUD Act trotzdem greifen. Echte Sicherheit bieten nur EU-Anbieter (juristisch in der EU sitzend) auf EU-Servern.
4. Trainings-Opt-out aktivieren
Bei ChatGPT, Claude und Gemini lässt sich in den Einstellungen festlegen, dass Ihre Inhalte NICHT für das Modell-Training genutzt werden. Bei den kostenlosen Versionen ist diese Einstellung oft eingeschränkt oder gar nicht verfügbar. Bei Pro/Business-Versionen Standard, aber regelmäßig prüfen.
5. Vor Upload pseudonymisieren
Ersetzen Sie Personennamen, Adressen, IBANs und Aktenzeichen vor dem Hochladen durch Platzhalter („Person A", „Adresse 1", „IBAN-XXX"). So bleibt der Vertragsinhalt analysierbar, aber der Bezug zu konkreten Personen wird unterbrochen. Die BfDI empfiehlt Pseudonymisierung als Standardmaßnahme.
6. Bei Berufseinsatz: Auftragsverarbeitungsvertrag (AVV)
Wer als Selbstständiger oder Unternehmen personenbezogene Daten Dritter (Kunden, Mitarbeiter) in eine KI-App lädt, braucht einen Auftragsverarbeitungsvertrag mit dem Anbieter (Art. 28 DSGVO). Ohne AVV: DSGVO-Verstoß mit Bußgeldern bis 20 Mio. Euro oder 4 % Jahresumsatz möglich.
7. Free vs. Business-Version unterscheiden
Die kostenlosen Versionen vieler KI-Apps sind für berufliche Nutzung praktisch nicht DSGVO-konform — meist kein AVV verfügbar, oft kein Trainings-Opt-out. Für mehr als gelegentliche Privatnutzung lohnt sich die Business-Version oder ein europäischer Anbieter mit klarem AVV-Angebot.
Was ändert sich 2026? EU AI Act + CLOUD Act-Realität
Ab August 2026 gelten die zentralen Bestimmungen des EU AI Act in voller Wirkung. Wichtige Punkte für Verbraucher:
- Transparenzpflicht für Chatbots: Wenn Sie mit einer KI sprechen, muss der Anbieter das klar kennzeichnen — außer der Kontext macht es offensichtlich.
- Hochrisiko-KI streng reguliert: KI-Systeme bei Kreditwürdigkeitsprüfung, Versicherungsentscheidungen, Personalauswahl und medizinischen Diagnosen unterliegen hohen Anforderungen an Dokumentation, menschliche Aufsicht und Risikomanagement.
- DSGVO bleibt parallel anwendbar: Auskunftsrecht, Widerspruchsrecht und das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden — alles weiterhin gültig.
- Bußgelder kombinierbar: AI Act-Verstoß plus DSGVO-Verstoß heißt: Doppel-Risiko mit insgesamt zweistelligen Millionenbeträgen.
Die zweite Front bleibt der CLOUD Act: Auch nach dem 2023 reformierten EU-US Data Privacy Framework (DPF) können US-Behörden auf zertifizierte US-Anbieter zugreifen. Eine Entscheidung des EuGH zur Wirksamkeit des DPF (sogenanntes „Schrems III"-Verfahren) wird in den nächsten Jahren erwartet.
Häufige Fallstricke
- EU-Region als Allheilmittel: Auch EU-Server eines US-Anbieters sind nicht CLOUD-Act-sicher (Uni-Köln-Studie 12/2025).
- Free-Version für Vertraulichkeit nutzen: Free-Versionen großer KI-Apps sind oft nicht DSGVO-konform — kein AVV, oft kein Opt-out.
- Trainingsdaten-Opt-out vergessen: In den Einstellungen häufig versteckt — bei ChatGPT z. B. unter „Data Controls".
- Rohdaten hochladen: Vor dem Upload Namen und Aktenzeichen unkenntlich machen — auch wenn der Anbieter „Pseudonymisierung verspricht".
- AVV bei beruflicher Nutzung übersehen: Wenn Sie Kunden- oder Mitarbeiterdaten in KI verarbeiten, ist der AVV Pflicht — nicht „nice to have".
- Plattform-Tools blind vertrauen: „Wir sind DSGVO-konform" ist nicht prüfbar ohne konkrete Belege (AVV, Privacy-Policy, Datenstandort-Angabe).
Was Sie konkret tun können
- 3-Fragen-Test vor dem Upload: Wo gespeichert? Wie lange? Für Training? Wenn unklar: nicht hochladen.
- Pseudonymisieren wird Routine: Namen → „Person A", Adresse → „Adresse 1". Schnell mit Suchen+Ersetzen im Editor.
- EU-Anbieter bevorzugen: Bei sensiblen Inhalten (Verträge, juristische Korrespondenz) ist ein juristisch in der EU sitzender Anbieter wesentlich sicherer.
- Datenschutzerklärung archivieren: Speichern Sie das aktuelle Datenschutz-Dokument des KI-Anbieters mit Datum — bei Streit später ist die Version zum Upload-Zeitpunkt entscheidend.
- BfDI-Handreichung lesen: Auch wenn primär für Behörden — die Empfehlungen vom 22.12.2025 sind die aktuellste Praxis-Referenz für Verbraucher.