Wenn Unternehmensdaten den Atlantik überqueren
Jedes Mal, wenn ein Mitarbeiter einen Vertrag, eine Bilanz oder eine Kundenanalyse in ein LLM einfügt, verlassen diese Daten das Unternehmen. Bei den meisten KI-Anbietern landen sie auf Servern in den USA. Für einen kurzen Moment — die Dauer der Inferenz — liegen sensible Geschäftsdaten außerhalb des europäischen Rechtsraums.
Das ist kein theoretisches Problem. Europäische Datenschutzbehörden haben 2025 mehrere Bußgelder gegen Unternehmen verhängt, die personenbezogene Daten ohne ausreichende Rechtsgrundlage an US-Cloud-Dienste übermittelt haben. Die Kombination aus DSGVO, Schrems II und dem neuen AI Act schafft ein regulatorisches Umfeld, das Unternehmen nicht ignorieren können.
Die gute Nachricht: Es gibt praktikable Wege, KI im Unternehmen einzusetzen, ohne die Kontrolle über die eigenen Daten zu verlieren. Aber dafür braucht man eine bewusste Architekturentscheidung — kein blindes Vertrauen in die Standard-Einstellungen.
Die regulatorische Mauer: DSGVO, Schrems II und AI Act
Drei Regelwerke bestimmen den Handlungsrahmen für europäische Unternehmen. Die DSGVO verlangt eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten und setzt strenge Regeln für Übermittlungen in Drittländer. Standardvertragsklauseln allein reichen seit Schrems II nicht mehr aus — Unternehmen müssen zusätzlich eine Transfer Impact Assessment durchführen und technische Schutzmaßnahmen nachweisen.
Das EU-US Data Privacy Framework bietet seit 2023 eine neue Rechtsgrundlage für Transfers an zertifizierte US-Unternehmen. Aber: Anthropic, OpenAI und die meisten KI-Anbieter sind bisher nicht zertifiziert, oder die Zertifizierung deckt nicht alle Verarbeitungszwecke ab. Die rechtliche Lage bleibt fragil.
Der AI Act, der seit Februar 2025 schrittweise in Kraft tritt, fügt eine weitere Ebene hinzu. Er verlangt Transparenz über die verwendeten Daten, Risikoklassifizierung von KI-Systemen und — für Hochrisiko-Anwendungen — lückenlose Dokumentation der Datenflüsse. Für Compliance und Datenschutz bei Claude bedeutet das: Die Architektur muss von Anfang an stimmen.
Konkrete Optionen für DSGVO-konforme KI im Unternehmen
Es gibt vier grundlegende Architekturmuster, die Unternehmen für den DSGVO-konformen Einsatz von LLMs nutzen können. Die erste Option ist ein API-Zugang mit DPA: Der Anbieter garantiert vertraglich, dass Daten nicht für Training verwendet werden, und bietet ein Data Processing Agreement. Claude API bietet das — aber die Inferenz läuft trotzdem über US-Server.
Die zweite Option sind EU-Cloud-Deployments. Claude ist über Google Vertex AI in europäischen Regionen (Frankfurt, Niederlande) und über Amazon Bedrock verfügbar. Die Daten bleiben in der EU, die Inferenz erfolgt auf EU-Infrastruktur. Das ist ein deutlicher Fortschritt gegenüber der Standard-API.
Die dritte Option ist Cowork 3P — die souveränste Variante. Hier läuft die gesamte Inferenz über den Cloud-Provider des Unternehmens. Keine Daten gehen an Anthropic. Gespräche bleiben lokal auf dem Gerät. Für regulierte Branchen — Banken, Versicherungen, Gesundheitswesen — ist das oft die einzige Option, die den internen Compliance-Anforderungen standhält.
Die vierte Option sind Self-hosted Open-Source-Modelle. Llama, Mistral oder andere Modelle laufen komplett in der eigenen Infrastruktur. Volle Kontrolle, aber deutlich geringere Leistung als Claude Opus oder Sonnet bei komplexen Aufgaben. Die Unterschiede zwischen den Claude-Plänen helfen bei der Einordnung.
DSGVO-konforme KI-Architektur für Ihr Unternehmen?
30 Minuten für Ihren spezifischen Fall.
Was der AI Act für Unternehmen konkret ändert
Der AI Act betrifft nicht nur KI-Entwickler, sondern auch Anwender — sogenannte Deployer. Unternehmen, die KI-Systeme in ihren Geschäftsprozessen einsetzen, müssen ab August 2026 nachweisen können, welche Daten verarbeitet werden, wo die Inferenz stattfindet und wie Risiken bewertet wurden.
Für Hochrisiko-Anwendungen — HR-Entscheidungen, Kreditvergabe, medizinische Diagnostik — gelten verschärfte Anforderungen: menschliche Aufsicht, Bias-Monitoring, vollständige Audit-Trails. Das bedeutet nicht, dass Unternehmen auf KI verzichten müssen. Es bedeutet, dass die Architektur dokumentierbar und nachvollziehbar sein muss.
Die praktische Konsequenz: Wer heute ein LLM einführt, sollte von Anfang an eine Architektur wählen, die AI-Act-konform erweiterbar ist. Nachträgliche Anpassungen sind teurer und riskanter als ein durchdachtes initiales Design.
Fünf Maßnahmen, die Sie diese Woche starten können
Erstens: Erstellen Sie eine Bestandsaufnahme aller KI-Tools, die in Ihrem Unternehmen bereits im Einsatz sind — auch inoffizielle. Shadow AI ist real, und Sie können nur schützen, was Sie kennen.
Zweitens: Klassifizieren Sie Ihre Anwendungsfälle nach Datentyp. Anonymisierte Marktanalysen haben ein anderes Risikoprofil als Vertragsanalysen mit personenbezogenen Daten. Nicht jeder Use Case braucht die gleiche Architektur.
Drittens: Prüfen Sie die DPAs Ihrer aktuellen KI-Anbieter. Decken sie die tatsächliche Nutzung ab? Sind die Standardvertragsklauseln aktuell? Gibt es eine Transfer Impact Assessment?
Viertens: Evaluieren Sie EU-basierte Deployment-Optionen. Vertex AI in Frankfurt oder Bedrock in Irland bieten Claude-Zugang ohne transatlantischen Datentransfer. Der Wechsel ist oft einfacher als erwartet.
Fünftens: Dokumentieren Sie alles. Der AI Act verlangt Nachvollziehbarkeit. Ein sauberes Register der eingesetzten KI-Systeme, ihrer Datenflüsse und Risikobewertungen ist die Grundlage für Compliance — und für das Vertrauen Ihrer Kunden.
Datensouveränität als Wettbewerbsvorteil
Datensouveränität wird oft als Kostenfaktor oder Hindernis wahrgenommen. Das Gegenteil ist richtig. Unternehmen, die nachweislich die Kontrolle über ihre Daten behalten, gewinnen Vertrauen — bei Kunden, Partnern und Regulierungsbehörden.
In einer Welt, in der KI zum Standard-Werkzeug wird, ist nicht die Frage, ob man KI einsetzt — sondern wie. Europäische Unternehmen, die DSGVO und AI Act nicht als Bremse, sondern als Qualitätsmerkmal verstehen, schaffen sich einen echten Differenzierungsvorteil.
Maverick AI begleitet Unternehmen bei der Wahl der richtigen KI-Architektur — von der Risikobewertung über die Cloud-Konfiguration bis zur laufenden Compliance-Überwachung. Kein Rechtsberatungs-Ersatz, sondern technische Implementierung mit regulatorischem Verständnis. Sprechen Sie mit uns.