Der Serverstandort ist nicht entscheidend – entscheidend ist, ob personenbezogene Daten überhaupt an KI-Modelle gesendet werden

Der Rechtsanwalt, der alles richtig machte

Ein Hamburger Rechtsanwalt nutzt seit drei Monaten eine deutsche KI-Plattform für Vertragsanalysen. Deutsche Server. ISO-zertifiziert. Datenschutzerklärung geprüft. Auftragsverarbeitungsvertrag unterschrieben.

Er lädt einen Arbeitsvertrag hoch. Name des Mandanten: Maria Schneider. Geburtsdatum. Steuer-ID. Gehalt. Alles drin.

Der Anwalt ist zufrieden. DSGVO-konform. Deutsche Plattform. Was soll schon passieren?

Was er nicht bedacht hat: Die Daten werden zur Verarbeitung an ein KI-Modell gesendet. Dieses Modell wird von einem US-Unternehmen betrieben – OpenAI, Anthropic oder Google. Und diese Unternehmen unterliegen dem CLOUD Act.

Im August 2025 bestätigte Marc Carniaux, Vizepräsident von Microsoft Frankreich, vor der Nationalversammlung: Bei einer formell korrekten US-Anfrage ist Microsoft gesetzlich verpflichtet, Daten herauszugeben. Trotz EU Data Boundary. Trotz Verschlüsselung. Trotz aller Verträge.

Die Mandantendaten von Maria Schneider wurden an ein KI-Modell gesendet, das von einem US-Unternehmen kontrolliert wird. Der deutsche Serverstandort der Plattform ändert daran nichts.

War das wirklich DSGVO-konform?

Die These, die niemand hören will

Der Serverstandort ist nicht der entscheidende Faktor.

Entscheidend ist eine andere Frage: Werden personenbezogene Daten an ein KI-Modell gesendet, das von einem US-Unternehmen betrieben wird?

Wenn ja, dann greifen komplexe Rechtsfragen. Drittlandtransfers. CLOUD Act. FISA 702. Eine Compliance-Situation, die von politischen Entwicklungen in Washington abhängt.

Wenn nein – wenn Sie Daten vor der Übertragung anonymisieren – dann ist die DSGVO für diese Daten nicht anwendbar. Erwägungsgrund 26 sagt es klar: Anonymisierte Informationen fallen nicht unter den Datenschutz.

Keine personenbezogenen Daten gesendet = keine Datenschutzpflichten für diese Übertragung.

Das ist die strukturell sicherste Lösung.

Das Grundproblem: Wo werden die Daten verarbeitet?

Die deutsche KI-Landschaft hat sich in den letzten Jahren stark entwickelt. Mittlerweile gibt es eine Reihe von Plattformen, die KI-Dienste mit Fokus auf Datenschutz und EU-Hosting anbieten:

DeutschlandGPT wirbt mit BSI C5-Zertifizierung, ISO 27001 und Hosting im Telekom-Rechenzentrum in Frankfurt. Langdock aus Berlin hat über 1.500 Kunden gewonnen und ist SOC 2 Typ II zertifiziert. Logicc aus Hamburg setzt auf Azure Frankfurt und AWS Bedrock EU. MeinGPT von SelectCode hostet die Plattform bei Hetzner in Deutschland.

Das sind seriöse Anbieter mit durchdachten Sicherheitskonzepten. Die deutschen Serverstandorte und Zertifizierungen sind echte Vorteile gegenüber der direkten Nutzung von ChatGPT oder Claude.

Aber bei genauerer Betrachtung zeigt sich ein strukturelles Problem, das alle diese Lösungen teilen – und das liegt nicht an den Anbietern selbst:

Die führenden KI-Modelle – ChatGPT, Claude, Gemini – werden von US-Unternehmen entwickelt und betrieben. OpenAI, Anthropic, Google. Auch wenn diese Modelle über europäische Cloud-Regionen (Azure EU, AWS EU, GCP EU) bereitgestellt werden, bleibt die Kontrolle bei US-Unternehmen.

Und US-Unternehmen unterliegen US-Recht.

Der Unterschied zwischen Speicherung und Verarbeitung

Hier liegt ein häufiges Missverständnis. Viele Plattformen werben damit, dass Daten auf deutschen oder europäischen Servern gespeichert werden. Das ist korrekt und wichtig.

Aber: Speicherung ist nicht gleich Verarbeitung.

Wenn Sie ein Dokument hochladen und von einer KI analysieren lassen, dann werden die Daten zur Verarbeitung an ein KI-Modell gesendet. Dieses Modell läuft auf Infrastruktur, die von US-Unternehmen kontrolliert wird – selbst wenn die Server physisch in Frankfurt oder Dublin stehen.

Das ist der kritische Punkt, den viele übersehen.

Das rechtliche Dilemma: Warum EU-Server nicht automatisch schützen

Der CLOUD Act – Das extraterritoriale Gesetz

2013 forderte das US-Justizministerium von Microsoft die Herausgabe von E-Mails, die auf Servern in Dublin gespeichert waren. Microsoft weigerte sich. Der Fall ging durch die Instanzen. Der Second Circuit gab Microsoft Recht.

Die Reaktion des US-Kongresses? Der Clarifying Lawful Overseas Use of Data Act. Verabschiedet 2018. Rückwirkend. Eindeutig.

Die Kernaussage steht in Section 2713: US-Behörden können US-Unternehmen zur Herausgabe von Daten verpflichten, "unabhängig davon, ob sich diese innerhalb oder außerhalb der Vereinigten Staaten befinden."

Der physische Serverstandort ist rechtlich nicht entscheidend. Entscheidend ist die Kontrolle über die Daten. Und diese Kontrolle liegt bei den Unternehmen, die die KI-Modelle betreiben.

Das BMI-Gutachten der Universität Köln vom Dezember 2025 formuliert es unmissverständlich: "Die Fähigkeit von US-Behörden, Daten auf diese Weise zu sichern, kann durch technische oder organisatorische Maßnahmen allein nicht zuverlässig ausgeschlossen werden."

FISA Section 702 – Die Massenüberwachung

Der Foreign Intelligence Surveillance Act erlaubt US-Geheimdiensten die Überwachung von Nicht-US-Personen außerhalb der USA. Ohne richterliche Einzelgenehmigung. Ohne konkreten Verdacht.

Betroffen sind "Electronic Communication Service Provider" – darunter fallen auch Cloud-Anbieter und KI-Dienste.

Die Erweiterung von 2024 dehnt den Kreis der kooperationspflichtigen Unternehmen noch weiter aus.

Das war genau der Grund, warum der EuGH im Schrems II-Urteil das Privacy Shield für ungültig erklärte: Die US-Überwachungsprogramme sind nicht verhältnismäßig nach EU-Maßstäben. EU-Bürger haben keinen gerichtlich durchsetzbaren Rechtsschutz in den USA.

Daran hat sich strukturell nichts geändert.

Artikel 48 DSGVO – Der ungelöste Konflikt

Die DSGVO verbietet in Artikel 48 die Anerkennung von Urteilen und Behördenentscheidungen aus Drittländern ohne völkerrechtliche Übereinkunft. Ein solches Rechtshilfeabkommen zwischen EU und USA bezüglich des CLOUD Act existiert nicht.

US-Unternehmen stecken in einem Dilemma:

• Bei Befolgung des CLOUD Act: Potenzieller DSGVO-Verstoß

• Bei Verweigerung: US-Sanktionen

Microsoft hat seine Position klargestellt. Marc Carniaux bestätigte es vor der französischen Nationalversammlung: Bei einer formell korrekten Anfrage wird Microsoft die Daten herausgeben.

Das Kölner Gutachten

Im Dezember 2025 wurde durch eine IFG-Anfrage ein Rechtsgutachten der Universität Köln im Auftrag des BMI öffentlich.

Die Kernaussage: Für sensible Daten, öffentliche Verwaltung und kritische Infrastruktur ist die Nutzung von Cloud-Diensten unter US-Kontrolle mit digitaler Souveränität und vollständiger DSGVO-Konformität "grundsätzlich unvereinbar".

Grundsätzlich unvereinbar. Nicht "schwierig". Nicht "mit Zusatzmaßnahmen möglich". Unvereinbar.

Das EU-US Data Privacy Framework – Eine Zwischenlösung

Seit dem 10. Juli 2023 ermöglicht das EU-US Data Privacy Framework Datenübermittlungen an zertifizierte US-Unternehmen ohne zusätzliche Garantien. Die großen KI-Anbieter sind zertifiziert.

Das DPF bietet:

• Eine Executive Order 14086 mit "Verhältnismäßigkeits"-Anforderungen für US-Geheimdienste

• Einen zweistufigen Beschwerdemechanismus

• Jährliche Überprüfungen

Das ist ein Fortschritt gegenüber der Zeit nach Schrems II ohne Angemessenheitsbeschluss.

Die Unsicherheitsfaktoren

FISA 702 wurde nicht reformiert. Das Gesetz besteht unverändert fort.

Das Wort "verhältnismäßig" wird in den USA anders interpretiert als in der EU. Was in Washington als verhältnismäßig gilt, könnte vor dem EuGH durchfallen.

Der Data Protection Review Court ist keine unabhängige Gerichtsbarkeit im klassischen Sinne. Die Richter werden vom US-Justizminister ernannt. Die Verfahren sind nicht öffentlich.

Das Privacy and Civil Liberties Oversight Board (PCLOB), das die Überwachungspraktiken kontrollieren sollte, wurde durch die Entlassung von Mitgliedern geschwächt. Der BfDI äußerte "ernste Besorgnis".

Schrems III am Horizont

Max Schrems und noyb haben das DPF als "Kopie des gescheiterten Privacy Shield" bezeichnet. Eine gerichtliche Überprüfung ist wahrscheinlich.

Jedes Unternehmen, das seine KI-Nutzung ausschließlich auf das DPF stützt, trägt ein Restrisiko. Nicht heute. Aber möglicherweise morgen.

Die deutsche Aufsichtsbehörden-Landschaft: Unterschiedliche Einschätzungen

Die kritischen Stimmen

Die Datenschutzkonferenz (DSK) erklärte im November 2022 mit knapper Mehrheit (9:8): Der Nachweis, Microsoft 365 datenschutzrechtskonform zu betreiben, "kann auf der Grundlage des Microsoft-Datenschutznachtrags nicht geführt werden."

Der Europäische Datenschutzbeauftragte (EDSB) stellte im März 2024 fest: Die EU-Kommission selbst verstößt mit ihrer Microsoft 365-Nutzung gegen Datenschutzvorschriften.

Die pragmatischen Stimmen

Im November 2025 erklärte der hessische Datenschutzbeauftragte Prof. Dr. Alexander Roßnagel Microsoft 365 als datenschutzkonform nutzbar – unter Verweis auf das DPF und Microsofts EU-Datengrenze.

IT-Sicherheitsforscher kritisierten, dass keine technische Prüfung erfolgt sei.

Das Kernproblem

Die Aufsichtsbehörden bewerten unterschiedlich. Sie prüfen Verträge und Dokumentationen, aber nicht die technische Realität der Datenflüsse.

Am Ende trägt das nutzende Unternehmen das Risiko. Nicht der KI-Anbieter. Nicht die Aufsichtsbehörde. Sie.

Die strukturelle Lösung: Anonymisierung vor der Übertragung

Was NICHT ausreichend schützt

EU-Serverstandort allein: Der Serverstandort bestimmt, wo Daten gespeichert werden. Aber wenn diese Daten zur Verarbeitung an ein KI-Modell unter US-Kontrolle gesendet werden, ist der Speicherort nicht mehr entscheidend.

Verschlüsselung mit Provider-Schlüssel: Wenn der KI-Anbieter den Schlüssel hat, kann er entschlüsseln. Und wenn er entschlüsseln kann, kann er herausgeben.

Standardvertragsklauseln (SCCs): Nach Schrems II sind SCCs nur mit "Supplementary Measures" wirksam. Die EDPB-Empfehlungen zeigen, wie komplex das in der Praxis ist.

Vertragliche Zusicherungen: "Wir werden Anfragen anfechten" ist nicht dasselbe wie "Wir werden nicht herausgeben". Am Ende zählt US-Recht für US-Unternehmen.

Was strukturell schützt

Anonymisierung vor der Übertragung: Wenn keine personenbezogenen Daten an das KI-Modell gesendet werden, gibt es keine personenbezogenen Daten, die herausgegeben werden könnten.

Das ist keine Risikominimierung. Das ist Risikoelimination für diesen spezifischen Aspekt.

Das rechtliche Fundament der Anonymisierung

Erwägungsgrund 26 der DSGVO:

"Die Grundsätze des Datenschutzes sollten daher nicht für anonymisierte Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann."

Das ist keine Interpretation. Das ist der Gesetzestext.

Anonymisierte Daten = keine personenbezogenen Daten = DSGVO nicht anwendbar für diese Daten.

Der EDPB bestätigt: Echte Anonymisierung hebt Datenschutzpflichten auf.

Warum Anonymisierung alle anderen Maßnahmen übertrumpft

Unabhängig vom Serverstandort: Es ist egal, ob der Server in Frankfurt, Dublin, Singapur oder Virginia steht. Wenn keine personenbezogenen Daten gesendet werden, gibt es nichts zu schützen.

Unabhängig vom KI-Anbieter: Es ist egal, ob OpenAI, Anthropic, Google oder Mistral das Modell betreibt. Kein Zugriff auf personenbezogene Daten möglich, wenn keine übertragen werden.

Unabhängig vom Data Privacy Framework: Wenn Schrems III kommt und das DPF für ungültig erklärt wird, bleiben Ihre Prozesse unberührt. Keine Abhängigkeit von politischen Entwicklungen.

Die Formel

Anonymisierte Daten + beliebiges KI-Modell = keine DSGVO-Relevanz für die übertragenen Daten

Das ist die mathematische Sicherheit, die keine andere Maßnahme bieten kann.

Praxisbeispiel: Der Unterschied im Alltag

Szenario: Kanzlei analysiert Arbeitsvertrag

Ohne Anonymisierung:

Mit Anonymisierung:

Input an KI: "Analysiere diesen Arbeitsvertrag zwischen [[ORG-1]] 
und [[PER-1]], geboren am [[DAT-1]], 
wohnhaft [[ADR-1]], 
Steuer-ID [[ID-1]

Nach der Verarbeitung

Die KI antwortet mit Platzhaltern: "[[PER-1]] hat laut Vertrag Anspruch auf 30 Urlaubstage..."

Die Rücktransformation setzt die Originaldaten ein: "Max Mustermann hat laut Vertrag Anspruch auf 30 Urlaubstage..."

Der Rechtsanwalt erhält eine vollständig nutzbare Analyse. Mit Mandantennamen. Mit konkreten Bezügen. Ohne dass personenbezogene Daten jemals ein externes System erreicht haben.

Die Entscheidungsmatrix: Wann welcher Ansatz

Nicht alle Daten sind gleich sensibel. Nicht jede Verarbeitung erfordert dieselben Schutzmaßnahmen. Aber die Entscheidung sollte bewusst getroffen werden.

Die besonderen Kategorien

Artikel 9 DSGVO definiert "besondere Kategorien personenbezogener Daten": Gesundheitsdaten, biometrische Daten, genetische Daten, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung.

Für diese Daten gelten verschärfte Anforderungen. Die Verarbeitung ist grundsätzlich verboten, mit eng definierten Ausnahmen.

Einen Patientenbericht an ein KI-System zu senden – egal wo gehostet – ist ein Hochrisikovorgang. Die Anonymisierung ist hier nicht "empfohlen". Sie ist faktisch zwingend.

Die Berufsgeheimnisträger

Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Ärzte – sie alle unterliegen besonderen Geheimhaltungspflichten. Strafrechtlich sanktioniert. Standesrechtlich relevant.

§ 203 StGB schützt das Berufsgeheimnis. Die Weitergabe anvertrauter Geheimnisse ist strafbar.

Wenn ein Anwalt Mandantendaten in ein KI-System eingibt, das von einem US-Unternehmen kontrolliert wird – gibt er dann ein Geheimnis weiter?

Die juristische Debatte läuft noch. Aber die praktische Konsequenz ist klar: Wer auf der sicheren Seite sein will, anonymisiert.

Handlungsempfehlungen

Für Unternehmen, die KI nutzen wollen

Sofort: Bestandsaufnahme. Welche KI-Tools werden genutzt? Welche personenbezogenen Daten werden übertragen? Wer hat das genehmigt?

Kurzfristig: Transfer Impact Assessment für jeden Dienst. Das ist keine optionale Übung. Nach Schrems II ist es Pflicht. Dokumentieren Sie die Risiken.

Mittelfristig: Anonymisierungslösung evaluieren. Nicht für alle Anwendungsfälle nötig. Aber für sensible Daten unumgänglich.

Langfristig: Exit-Strategie für den Fall, dass das DPF fällt. Was passiert bei Schrems III? Welche Prozesse sind betroffen? Wie schnell können Sie umstellen?

Für regulierte Branchen

Rechtsanwälte: Die Verschwiegenheitspflicht nach § 43a BRAO ist nicht verhandelbar. Mandantendaten in KI-Systemen? Nur anonymisiert.

Steuerberater: § 57 StBerG definiert die Pflicht zur Verschwiegenheit. Steuererklärungen enthalten höchst sensible Daten. Anonymisierung ist der sichere Weg.

Ärzte: Patientendaten sind besondere Kategorien nach Art. 9 DSGVO. Die ärztliche Schweigepflicht nach § 203 StGB ist strafrechtlich geschützt. Keine Kompromisse möglich.

Finanzdienstleister: Die BaFin hat klare Anforderungen an Auslagerungen. KI-Dienste von US-Anbietern? Prüfen Sie die MaRisk-Konformität. Anonymisierung reduziert das regulatorische Risiko erheblich.

Die Checkliste

• [ ] Welche personenbezogenen Daten senden wir an KI-Dienste?

• [ ] Wer betreibt die KI-Modelle, die wir nutzen?

• [ ] Welche Rechtsgrundlage haben wir für diese Übermittlung?

• [ ] Haben wir ein Transfer Impact Assessment durchgeführt?

• [ ] Was passiert bei einem Schrems III-Urteil?

• [ ] Haben wir eine Anonymisierungslösung evaluiert?

• [ ] Ist unser Datenschutzbeauftragter eingebunden?

• [ ] Weiß der Betriebsrat Bescheid (falls vorhanden)?

Die neue Denkweise

Die alte Frage

"Ist mein KI-Anbieter DSGVO-konform?"

Diese Frage führt in die Irre. Sie suggeriert, dass DSGVO-Konformität eine Eigenschaft des Anbieters ist. Etwas, das man einkaufen kann. Ein Häkchen auf einer Liste.

DSGVO-Konformität ist das Ergebnis eines Zusammenspiels von Technik, Organisation und Recht. Der Anbieter kann beitragen. Aber die Verantwortung liegt bei Ihnen.

Die richtige Frage

"Sende ich personenbezogene Daten an KI-Systeme, die von US-Unternehmen kontrolliert werden?"

Diese Frage zwingt zur Analyse des tatsächlichen Datenflusses. Nicht der Marketing-Versprechen. Nicht der Verträge. Der Realität.

Und sie eröffnet eine Lösung: Wenn Sie keine personenbezogenen Daten senden, haben Sie dieses spezifische Problem gelöst. Keine Drittlandtransfer-Diskussion für diese Daten. Keine Schrems III-Sorgen. Keine CLOUD Act-Risiken.

Die Erkenntnis

EU-Server sind besser als US-Server. Das ist unbestritten.

Aber: Wenn die Daten zur Verarbeitung an KI-Modelle unter US-Kontrolle gesendet werden, ist der Speicherort nicht mehr der entscheidende Faktor.

Die einzige strukturell sichere Lösung: Keine personenbezogenen Daten senden.

Anonymisierung ist nicht "eine Option unter vielen". Für sensible Daten ist sie die einzige Lösung, die unabhängig von politischen und rechtlichen Entwicklungen funktioniert.

Alle anderen Maßnahmen – EU-Server, Verschlüsselung, Verträge, Zertifizierungen – sind wichtig und richtig. Aber sie sind risikominimierend. Nicht risikoeliminierend.

Der Unterschied ist fundamental.

Die Schlussfolgerung

Die KI-Revolution ist real. Die Produktivitätsgewinne sind enorm. Kein Unternehmen kann es sich leisten, diese Technologie zu ignorieren.

Aber die Nutzung muss verantwortungsvoll erfolgen.

Die Frage ist nicht: Welche KI-Plattform hat die schönsten Datenschutz-Badges?

Die Frage ist: Welche Daten verlassen mein Unternehmen? Und wie kann ich das kontrollieren?

Für öffentliche Informationen und allgemeine Geschäftsdaten ohne Personenbezug ist die Antwort einfach: Nutzen Sie KI-Tools nach bestem Ermessen.

Für sensible Daten – Mandantendaten, Patientendaten, Mitarbeiterdaten, Kundendaten – ist die Antwort ebenfalls klar: Anonymisieren Sie, bevor Sie senden.

Nicht weil die KI-Anbieter unzuverlässig sind. Sondern weil die rechtliche Lage komplex ist, sich ändern kann, und Sie die Verantwortung tragen.

Anonymisierung gibt Ihnen die Kontrolle zurück. Unabhängig davon, was in Washington, Brüssel oder Luxemburg entschieden wird.

Das ist keine Angst. Das ist Vorsorge.

Das ist keine Kompromisslösung. Das ist die beste Lösung.

Über anymize.ai

anymize.ai ist die Firewall für personenbezogene Daten. Wir ermöglichen die sichere Nutzung von KI-Diensten durch automatische Dokumentenanonymisierung – mit über 95% Erkennungsrate und einzigartiger bidirektionaler Funktion.

Unsere Technologie erkennt und ersetzt personenbezogene Daten, bevor sie Ihr Unternehmen verlassen. Nach der KI-Verarbeitung werden die Originaldaten wiederhergestellt. Sie erhalten personalisierte Ergebnisse, ohne personenbezogene Daten zu übertragen.

Unser Ansatz: DSGVO-Konformität durch Technik, nicht durch Vertrauen.

Häufig gestellte Fragen (FAQ)

Reichen EU-Server für DSGVO-konforme KI-Nutzung aus?

Der Serverstandort allein ist nicht entscheidend. Wenn personenbezogene Daten zur Verarbeitung an KI-Modelle gesendet werden, die von US-Unternehmen betrieben werden, greift der CLOUD Act – unabhängig davon, wo die Daten gespeichert werden. Die sicherste Lösung: Personenbezogene Daten vor der Übertragung anonymisieren.

Was ist der sicherste Weg, KI mit sensiblen Daten zu nutzen?

Der sicherste Ansatz ist die Anonymisierung personenbezogener Daten vor der Übertragung an KI-Systeme. Wenn keine personenbezogenen Daten gesendet werden, ist die DSGVO für diese Übertragung nicht anwendbar und es gibt keine Daten, die herausgegeben werden könnten.

Warum ist der CLOUD Act relevant für deutsche Unternehmen?

Der US CLOUD Act von 2018 verpflichtet US-Unternehmen zur Datenherausgabe "unabhängig davon, wo sich die Daten befinden". Wenn KI-Modelle von US-Anbietern wie OpenAI, Anthropic oder Google betrieben werden, können diese zur Herausgabe verpflichtet werden – auch wenn die Server in der EU stehen.

Was passiert bei einem Schrems III-Urteil mit meiner KI-Nutzung?

Wenn der EuGH das EU-US Data Privacy Framework für ungültig erklärt, entfällt die Rechtsgrundlage für Datentransfers an US-Unternehmen. Unternehmen, die sich ausschließlich auf das DPF verlassen, müssten ihre KI-Nutzung umstellen. Anonymisierte Daten wären davon nicht betroffen – sie fallen nicht unter die DSGVO und benötigen keine Transfergrundlage.

Können Rechtsanwälte KI-Tools bedenkenlos nutzen?

Für allgemeine Recherchen und öffentlich verfügbare Informationen: ja. Für Mandantendaten: nur mit Anonymisierung. Die anwaltliche Verschwiegenheitspflicht nach § 43a BRAO und das Berufsgeheimnis nach § 203 StGB verbieten die unkontrollierte Weitergabe von Mandanteninformationen. Anonymisierung vor der Übertragung ist der sichere Weg.

Wie funktioniert bidirektionale Anonymisierung?

Bei der bidirektionalen Anonymisierung werden personenbezogene Daten vor der KI-Übertragung durch Platzhalter ersetzt (z.B. "Max Müller" → "[[PER-1]]"). Die KI verarbeitet nur anonymisierte Daten. Nach Erhalt der KI-Antwort werden die Platzhalter wieder durch die Originaldaten ersetzt. Das Ergebnis: Personalisierte, nutzbare Antworten – ohne dass personenbezogene Daten das Unternehmen verlassen haben.

Jetzt handeln: DSGVO-konforme KI-Nutzung mit anymize.ai

Sie möchten die Vorteile von ChatGPT, Claude und anderen KI-Modellen nutzen – ohne Datenschutzrisiken?

anymize.ai bietet:

• ✓ Automatische Erkennung personenbezogener Daten (>95% Genauigkeit)

• ✓ Bidirektionale Anonymisierung mit Wiederherstellung der Originaldaten

• ✓ Verarbeitung von Dokumenten, nicht nur Prompts

• ✓ Integration in bestehende Workflows (API, Zapier, Make.com, n8n)

• ✓ Deutsche Entwicklung, DSGVO-konform

Quellen:

• BMI/Universität Köln: Rechtsgutachten zur Cloud-Nutzung (Dezember 2025)

• EDPB Guidelines 05/2021 zum Zusammenspiel von Art. 3 und Kapitel V DSGVO

• DSK-Beschluss zu Microsoft 365 (November 2022)

• EDSB-Entscheidung zur Microsoft 365-Nutzung der EU-Kommission (März 2024)

• HBDI Hessen: Pressemitteilung zu Microsoft 365 (November 2025)

• Marc Carniaux, Microsoft Frankreich: Aussage vor der Nationalversammlung (August 2025)

• Max Schrems/noyb: Stellungnahmen zum EU-US Data Privacy Framework

• DSGVO Erwägungsgrund 26

• US CLOUD Act, Section 2713

• FISA Section 702

Dieser Artikel dient der Information und stellt keine Rechtsberatung dar. Bei konkreten Fragen zur DSGVO-Konformität Ihrer KI-Nutzung wenden Sie sich an Ihren Datenschutzbeauftragten oder einen spezialisierten Rechtsanwalt.