KI-Anbieter und Datenschutz: Warum Transparenz in der Branche ein Fremdwort ist

Ich habe letzte Woche die Datenschutzerklärungen von zehn deutschen KI-Anbietern gelesen. Nicht überflogen — gelesen. Jede einzelne Seite. Teilweise 15 Seiten pro Anbieter.

Was ich gesucht habe, war einfach: Welches Sprachmodell nutzt ihr? Wo laufen die Daten hin? Wer hat Zugriff?

Was ich gefunden habe: Nebel. Juristische Formulierungen, die alles sagen und nichts bedeuten. „Externe KI-Dienstleister" ohne Namen. „Drittlandtransfers können nicht ausgeschlossen werden" — versteckt auf Seite 12. Und auf der Startseite in großen Buchstaben: DSGVO-konform.

Kein Geschäftsführer sollte sich durch 15 Seiten Juristendeutsch kämpfen müssen, um herauszufinden, ob seine Kundendaten bei OpenAI in den USA landen. Aber genau das ist die Realität in der deutschen KI-Branche im Jahr 2026.

Lassen Sie mich direkt sein: „DSGVO-konform" ist das „Bio" der KI-Branche. Jeder schreibt es drauf, kaum einer kann es belegen.

Was „DSGVO-konform" bei vielen Anbietern wirklich bedeutet: Die Server stehen in der EU. Das war's. Das Hosting läuft auf AWS Frankfurt oder Azure West Europe — und das wird als DSGVO-Konformität verkauft.

Das Problem: EU-Hosting ist nicht gleich DSGVO-konform. Wenn das Sprachmodell über die OpenAI API läuft, fließen Ihre Daten an ein US-Unternehmen. Wenn Azure genutzt wird, greift der US CLOUD Act — egal ob der Server in Frankfurt oder in Virginia steht.

Art. 13 und 14 DSGVO verlangen, dass Betroffene transparent über die Empfänger ihrer Daten informiert werden. Nicht über „externe KI-Dienstleister". Über konkrete Unternehmen, mit Sitz und Zweck.

Aber schauen Sie sich die Datenschutzerklärungen der meisten KI-Anbieter an. Sie werden feststellen: Die wenigsten nennen ihr LLM beim Namen. Und das ist kein Zufall — sondern Kalkül. Denn wenn dort stünde „Wir nutzen OpenAI GPT-4", müssten sie erklären, warum sie behaupten, DSGVO-konform zu sein.

Bevor Sie einen KI-Anbieter beauftragen, stellen Sie diese sieben Fragen. Wenn Sie auf mehr als zwei keine klare Antwort bekommen, ist das ein Warnsignal.

1. Welches Sprachmodell (LLM) nutzen Sie?
Wenn die Antwort „proprietär" oder „das können wir aus wettbewerblichen Gründen nicht sagen" ist: Finger weg. Ein Anbieter, der nicht sagen kann, welches LLM er nutzt, hat entweder etwas zu verbergen oder weiß es selbst nicht genau — beides disqualifiziert.

2. Wo sitzt der LLM-Anbieter?
USA = CLOUD Act = US-Behörden können die Herausgabe Ihrer Daten anordnen. Ohne richterliche Kontrolle nach europäischen Maßstäben. Ohne Sie zu informieren.

3. Werden Kundendaten für KI-Training verwendet?
„Nicht von uns" reicht nicht. Was macht der LLM-Anbieter mit den Daten? OpenAI hat seine Richtlinien dazu mehrfach geändert. Haben Sie das im Blick?

4. Wo werden Sprach- und Textdaten verarbeitet?
„EU-Server" heißt nichts, wenn der API-Call trotzdem an ein US-Unternehmen geht. Fragen Sie konkret: Verlassen meine Daten zu irgendeinem Zeitpunkt den Rechtsraum der EU?

5. Gibt es einen AVV mit dem LLM-Anbieter?
Art. 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag mit jedem Sub-Processor. Nicht nur mit dem Chatbot-Anbieter, der Ihre Rechnung schreibt — sondern auch mit OpenAI, Google, oder wer auch immer das LLM betreibt.

6. Ist die Sub-Processor-Liste öffentlich?
Wenn nicht: Warum nicht? Jeder seriöse Anbieter kann Ihnen in 30 Sekunden sagen, welche Unternehmen Zugriff auf Ihre Daten haben. Wer das nicht kann oder will, hat ein Transparenzproblem.

7. Können Sie mir in einem Satz sagen, wo meine Daten landen?
Wenn die Antwort länger als 30 Sekunden dauert oder Formulierungen wie „grundsätzlich", „in der Regel" oder „je nach Konfiguration" enthält — stimmt etwas nicht.

Wir haben die Datenschutzerklärungen von zehn deutschen KI-Telefonassistenten und Chatbot-Anbietern analysiert. Keine Startups aus dem Ausland — deutsche Unternehmen, die deutsche Kunden bedienen und mit DSGVO-Konformität werben.

Wir nennen bewusst keine Firmennamen. Es geht nicht um Einzelfälle, sondern um Muster, die sich wiederholen:

Muster 1: „Externe KI-Provider" ohne Nennung
Fünf von zehn Anbietern erwähnen in ihrer Datenschutzerklärung „externe KI-Dienstleister" oder „Drittanbieter für Sprachverarbeitung" — ohne diese namentlich zu benennen. Das verstößt direkt gegen Art. 13 Abs. 1 lit. e DSGVO, der die Nennung der Empfänger oder Kategorien von Empfängern verlangt.

Muster 2: „DSGVO-konform" auf der Startseite, „Drittlandtransfers möglich" in der DSE
Drei Anbieter werben prominent mit DSGVO-Konformität, schreiben aber in der Datenschutzerklärung kleingedruckt, dass „Datenübermittlungen in Drittländer nicht ausgeschlossen werden können". Das ist kein Widerspruch — das ist Irreführung.

Muster 3: „Zero Data Retention verfügbar je nach Provider"
Klingt gut. Bedeutet: Es hängt davon ab, welches LLM genutzt wird und wie es konfiguriert ist. „Verfügbar" heißt nicht „garantiert". Und „je nach Provider" heißt: Wir haben die Kontrolle nicht wirklich in der Hand.

Muster 4: Kein AVV, keine Sub-Processor-Liste, kein Verzeichnis
Vier Anbieter haben weder einen AVV zum Download noch eine öffentliche Sub-Processor-Liste auf ihrer Website. Art. 28 DSGVO macht den AVV zur Pflicht — nicht zur Option.

Muster 5: OpenAI über Azure EU als „europäische Lösung"
Das ist der kreativste Trick: Man nutzt OpenAI-Modelle über Microsoft Azure mit EU-Rechenzentrum und verkauft das als „europäische KI-Lösung". Das Problem: Microsoft ist ein US-Unternehmen. Der CLOUD Act greift, unabhängig vom Serverstandort. Azure EU ändert daran nichts.

Transparenz ist nicht kompliziert. Sie erfordert nur den Willen, ehrlich zu sein. In einem Absatz muss klar sein: Welches LLM, wo gehostet, wer hat Zugriff, werden Daten für Training verwendet.

So machen wir es bei Nexoria:

Wir nutzen Mistral als Sprachmodell — ein französisches Unternehmen, gegründet und ansässig in Paris, EU. Unsere Server stehen in Deutschland (Hetzner, Falkenstein) und Schweden (Mistral API). Kein US-Unternehmen ist an der Verarbeitungskette beteiligt. Der CLOUD Act greift nicht. Ihre Daten werden nie für KI-Training verwendet. Dokumentenverarbeitung (OCR, Embedding, Vektorsuche) läuft vollständig lokal auf unserem deutschen Server. Fertig.

Das steht auf unserer Website. Nicht versteckt auf Seite 12 der Datenschutzerklärung, sondern dort, wo Sie es finden, wenn Sie danach suchen.

Dazu gehört außerdem:

• Sub-Processor-Liste: Öffentlich einsehbar, aktuell gehalten, mit Sitz und Zweck jedes Dienstleisters
• AVV zum Download: Ohne „kontaktieren Sie uns für Details" — direkt als PDF
• Verarbeitungsverzeichnis: Nach Art. 30 DSGVO, öffentlich zugänglich
• Datenschutz-Folgenabschätzung: Für KI-basierte Verarbeitung durchgeführt und dokumentiert

Das ist kein Hexenwerk. Das ist das absolute Minimum, das jeder KI-Anbieter leisten sollte. Dass es in der Branche als Ausnahme gilt, sagt mehr über die Branche als über uns.

Ja, es gibt Bußgelder. Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes — je nachdem, was höher ist. Das ist die DSGVO-Keule, vor der alle Angst haben.

Aber ehrlich gesagt: Das Bußgeld ist nicht das größte Risiko. Das größte Risiko ist der Vertrauensverlust.

Stellen Sie sich vor: Ihr KI-Chatbot verarbeitet Kundenanfragen. Vielleicht Reklamationen, vielleicht Vertragsdetails, vielleicht Gesundheitsdaten. Und dann kommt raus, dass diese Daten bei OpenAI in den USA gelandet sind — ohne dass Ihre Kunden das wussten.

„Wir wussten nicht, welches LLM unser Anbieter nutzt" ist keine Verteidigung. Nicht vor der Aufsichtsbehörde, nicht vor Ihren Kunden, nicht vor der Presse. Sie sind verantwortlich für die Dienstleister, die Sie beauftragen. Art. 28 DSGVO macht das unmissverständlich klar.

Die gute Nachricht: Sie können es besser machen. Es kostet keine zusätzlichen Ressourcen — es erfordert nur, die richtigen Fragen zu stellen, bevor Sie unterschreiben. Die Checkliste für DSGVO-konforme Chatbots hilft Ihnen dabei.

Die KI-Branche hat ein Transparenzproblem. Nicht weil die Technologie intransparent ist — sondern weil zu viele Anbieter sich hinter juristischen Formulierungen verstecken, statt ehrlich zu sagen, wohin Ihre Daten fließen.

Sie müssen kein Datenschutzexperte sein, um das zu durchschauen. Sieben Fragen, fünf Minuten — das reicht, um die Spreu vom Weizen zu trennen. Und wenn ein Anbieter auf diese Fragen keine klaren Antworten hat, dann ist „DSGVO-konform" auf der Website genau das: ein Label. Nicht mehr.

Bei Nexoria können Sie in 30 Sekunden nachprüfen, wohin Ihre Daten gehen. Kein Kleingedrucktes, keine Nebelkerzen, keine „externen KI-Dienstleister" ohne Namen. Mistral statt OpenAI. Europa statt USA. Transparenz statt Vertrauen auf Versprechen.

Probieren Sie es aus — vereinbaren Sie eine Demo.

Quellen: Art. 13/14 DSGVO (Informationspflichten), Art. 28 DSGVO (Auftragsverarbeitung), Art. 30 DSGVO (Verarbeitungsverzeichnis), Art. 25 DSGVO (Datenschutz durch Technikgestaltung), CLOUD Act 18 U.S.C. § 2713, EuGH Rs. C-311/18 „Schrems II"