Startseite Berufsgruppen KI-Tools Vergleiche Ratgeber
Dark Mode
Tool-Finder starten
Startseite / Ratgeber / DSGVO-konforme KI-Tools: Was du beachten musst
Ratgeber8 Min Lesezeit

DSGVO-konforme KI-Tools: Was du beachten musst

FK
FlinKI Redaktion
22. Februar 2025 — Aktualisiert
📑 Inhaltsverzeichnis
1. Warum DSGVO bei KI-Tools so wichtig ist
2. Die 5 wichtigsten Kriterien
3. Serverstandort: EU vs. USA
4. Auftragsverarbeitung (AVV)
5. Checkliste: KI-Tool DSGVO-Check
6. Empfohlene DSGVO-konforme Tools
7. Fazit

1. Warum DSGVO bei KI-Tools so wichtig ist

Wer als Steuerberater, Anwalt oder Arzt KI-Tools einsetzt, verarbeitet fast immer personenbezogene Daten — Mandantennamen, Steuernummern, Patientenakten. Die DSGVO stellt dabei klare Anforderungen an den Umgang mit diesen Daten, und Verstöße können teuer werden: Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes sind möglich.

Doch die DSGVO muss kein Hindernis sein. Wer die richtigen Tools wählt und einige Grundregeln beachtet, kann KI rechtssicher und produktiv einsetzen.

💡 Gut zu wissen

Die DSGVO gilt nicht nur für europäische Anbieter. Auch US-Tools wie ChatGPT oder Google Gemini müssen sich an die DSGVO halten, wenn sie in der EU angeboten werden. Die Frage ist: Tun sie das auch zuverlässig?

2. Die 5 wichtigsten Kriterien

Bevor du ein KI-Tool in deinem Berufsalltag einsetzt, solltest du diese fünf Punkte prüfen:

1. Serverstandort Wo werden deine Daten verarbeitet und gespeichert? Ideal: EU-Server (Deutschland, Österreich, Irland). Problematisch: USA ohne angemessene Schutzmaßnahmen.

2. Auftragsverarbeitungsvertrag (AVV) Bietet der Anbieter einen AVV nach Art. 28 DSGVO an? Ohne AVV darfst du als Verantwortlicher keine personenbezogenen Daten übermitteln.

3. Datenverwendung für Training Werden deine Eingaben verwendet, um das KI-Modell zu trainieren? Bei sensiblen Berufsdaten ist das ein absolutes No-Go. Viele Anbieter bieten mittlerweile Opt-out oder Business-Tarife ohne Training.

4. Verschlüsselung Werden Daten bei der Übertragung (TLS) und im Ruhezustand (AES-256) verschlüsselt? Gibt es eine Ende-zu-Ende-Verschlüsselung?

5. Löschfristen Wie lange speichert der Anbieter deine Eingaben? Werden sie automatisch gelöscht? Kannst du die Löschung manuell anstoßen?

3. Serverstandort: EU vs. USA

Seit dem Schrems-II-Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA besonders heikel. Das EU-US Data Privacy Framework (DPF) von 2023 schafft zwar eine neue Rechtsgrundlage — doch viele Datenschutzexperten bezweifeln, dass es vor dem EuGH Bestand haben wird.

Unsere Empfehlung für den DACH-Raum:

  • Bevorzugt: Tools mit EU-Servern (Frankfurt, Wien, Dublin)
  • Akzeptabel: US-Tools mit DPF-Zertifizierung + AVV + Opt-out aus Training
  • Vermeiden: Tools ohne klare Angaben zum Serverstandort
⚠️ Achtung bei Berufsgeheimnisträgern

Steuerberater (§ 57 StBerG), Anwälte (§ 43a BRAO) und Ärzte (§ 203 StGB) unterliegen einer besonderen Verschwiegenheitspflicht. Hier gelten strengere Maßstäbe als die DSGVO allein vorgibt. Cloud-KI ist nur zulässig, wenn die Vertraulichkeit technisch und vertraglich garantiert ist.

4. Auftragsverarbeitung (AVV)

Ein AVV regelt, wie der KI-Anbieter mit deinen Daten umgeht. Er muss mindestens enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art der personenbezogenen Daten (z.B. Namen, Finanzdaten, Gesundheitsdaten)
  • Technische und organisatorische Maßnahmen (TOMs)
  • Regelungen zu Subunternehmern (wo werden Daten weitergeleitet?)
  • Weisungsbindung (der Anbieter darf Daten nur nach deinen Anweisungen verarbeiten)

Die meisten seriösen Anbieter stellen den AVV als Self-Service-PDF oder direkt im Dashboard bereit. Wenn ein Anbieter keinen AVV anbietet oder sich weigert, einen abzuschließen: Finger weg.

5. Checkliste: KI-Tool DSGVO-Check

Nutze diese Checkliste, bevor du ein neues KI-Tool einführst:

  • Serverstandort in der EU (oder DPF-zertifiziert)?
  • AVV verfügbar und abgeschlossen?
  • Kein Training mit meinen Daten (oder Opt-out möglich)?
  • Verschlüsselung bei Übertragung und Speicherung?
  • Klare Löschfristen dokumentiert?
  • Subunternehmer transparent aufgelistet?
  • Bei Berufsgeheimnisträgern: Vertraulichkeit vertraglich garantiert?
  • Datenschutz-Folgenabschätzung (DSFA) nötig und durchgeführt?

6. Empfohlene DSGVO-konforme Tools

Diese Tools haben in unserem DSGVO-Check besonders gut abgeschnitten:

🥇DeepL Write⭐ 4.8EU-Server✅ DSGVO
🥈sevdesk⭐ 4.5Deutschland✅ DSGVO
🥉Taxy.io⭐ 4.5Deutschland✅ DSGVO
4.Neuroflash⭐ 4.4Deutschland✅ DSGVO

Alle vier Anbieter haben ihren Sitz in der EU, bieten einen AVV an und verwenden deine Daten nicht für das Training ihrer Modelle.

7. Fazit

DSGVO-konforme KI-Tools sind kein Luxus, sondern Pflicht — besonders für Berufsgeheimnisträger im DACH-Raum. Die gute Nachricht: Es gibt mittlerweile genügend Tools, die hohe Produktivität mit echtem Datenschutz verbinden.

Unsere drei goldenen Regeln:

  1. Immer AVV abschließen — bevor du das erste Mal Daten eingibst
  2. EU-Server bevorzugen — minimiert rechtliche Risiken
  3. Kein Training mit Kundendaten — prüfe die Einstellungen im Business-Tarif

Du bist unsicher, ob ein bestimmtes Tool DSGVO-konform ist? In unseren Tool-Reviews bewerten wir jedes Tool mit einem eigenen DSGVO-Score.