Sandra, IT-Leiterin bei einem Schweizer Versicherungsmakler, entdeckt beim internen Audit, dass drei Mitarbeiter seit Monaten Kundendaten in ChatGPT eingeben. Systematisch. Unkontrolliert. Ohne Auftragsverarbeitungsvereinbarung. Ohne DSGVO-Grundlage. Rechtswidrig.
Das ist keine Ausnahme – das ist der Alltag in Tausenden DACH-Unternehmen. Und es wird gerade zum Problem, weil Heise Online und andere Medien das Thema diese Woche mit konkreten Tests in die Öffentlichkeit tragen.
Das Problem: KI-Nutzung und die DSGVO-Grauzone
Die meisten populären KI-Tools – ChatGPT, Gemini, Copilot in der Basis-Version – verarbeiten Eingaben auf US-amerikanischen Servern. Das bedeutet: Sobald ein Mitarbeiter personenbezogene Daten eingibt (Kundenname, Auftragsdaten, Mitarbeiterinformationen), bewegt sich das Unternehmen in einer rechtlichen Grauzone – oder verletzt aktiv die DSGVO.
Verschärft wird das durch einen Guardian-Bericht dieser Woche: KI-Trainer verkaufen Identitätsdaten, die aus KI-Trainingsdaten stammen, für wenige Dollar weiter. Was viele als theoretisches Risiko abgetan haben, bekommt ein konkretes Gesicht.
Was der Heise-Test zeigt: Europäische Alternativen im Überblick
Heise Online hat europäische KI-Chatbots ausführlich getestet. Das Fazit: Für die meisten Büroaufgaben sind europäische Lösungen gleichwertig – mit dem entscheidenden Vorteil der DSGVO-Konformität.
Die relevantesten Optionen für DACH-Unternehmen:
- Aleph Alpha / Pharia: Heidelberger Unternehmen, Rechenzentren in Deutschland, DSGVO-konform, Unternehmensverträge mit AVV verfügbar
- Mistral AI (Le Chat Business): Französischer Anbieter, EU-Rechenzentren, stark bei deutschsprachigen Texten, Business-Plan mit AVV
- Microsoft Copilot for Business (EU Data Boundary): EU-Datenschutzgrenze aktivierbar, Daten verbleiben in der EU – aber Preis und Komplexität sind höher
- Lokale Modelle (LLaMA 3, Mistral lokal): Maximale Kontrolle, kein Cloud-Risiko, einmalige Einrichtung, geeignet für Unternehmen mit eigener IT
Entscheidungshilfe: Welches Tool für welche Aufgabe?
Nicht jede KI-Nutzung ist gleich riskant. Eine einfache Orientierung:
- Kein personenbezogener Bezug (allgemeine Texte, Brainstorming, Übersetzungen ohne Kundendaten): ChatGPT oder Gemini akzeptabel, wenn keine vertragliche AVV-Pflicht besteht
- Mitarbeiterdaten, HR-Dokumente: Ausschliesslich EU-Anbieter mit AVV oder lokales Modell
- Kundendaten, Auftragsdaten: AVV zwingend – entweder europäischer Anbieter oder Microsoft EU Data Boundary
- Hochsensible Daten (Gesundheit, Finanzen, Rechtsdokumente): Nur lokale Verarbeitung
Was DACH-KMU diese Woche tun sollten
Die EU AI Act Deadline naht (August 2026), aber DSGVO gilt bereits heute. Drei sofortige Massnahmen:
- Bestandsaufnahme: Welche KI-Tools nutzen Ihre Mitarbeiter? Welche Daten fliessen ein?
- AVV prüfen: Existiert für jedes Tool ein Auftragsverarbeitungsvertrag? Wo nicht, sofort nachziehen oder Tool ersetzen.
- Richtlinie einführen: Klare interne Regel: Welche Daten dürfen in welche Tools? Ein A4-Dokument reicht für den Anfang.
Das ist kein IT-Projekt – das ist ein Nachmittag Arbeit, der Ihr Unternehmen vor erheblichen Bussgeldern schützt.
Der 10-Minuten-KI-Brief liefert wöchentlich genau solche praxisnahen Compliance- und Technologie-Updates für DACH-KMU – komprimiert auf 10 Minuten Lesezeit.
→ Jetzt abonnieren – jede Woche DSGVO-sicher auf dem neuesten Stand
