Flowfy KI-Ratgeber Welche KI-Tools sind DSGVO-konform? Der ehrliche Deutschland-Check 2026
Welche KI-Tools sind DSGVO-konform — Ampel-Check für Deutschland 2026
KI-Ratgeber

Welche KI-Tools sind DSGVO-konform? Der ehrliche Deutschland-Check 2026

📅 5. Oktober 2025 ✏️ Aktualisiert am 17. April 2026 ⏱ ca. 7 Min. Lesezeit ✍️ Chris

„Darf ich das überhaupt nutzen?” — wahrscheinlich die meistgestellte Frage, die mir deutsche Selbständige zu KI-Tools stellen. Und zu Recht. Die DSGVO ist streng, Verstöße werden teuer, und es herrscht viel Unsicherheit — auch weil sich die Rechtslage bei KI aktuell schneller ändert, als juristische Kommentare nachkommen.

Dieser Artikel gibt dir einen ehrlichen, praxisnahen Überblick: Welches KI-Tool ist für welche Nutzung DSGVO-konform? Mit Ampel-System, konkreten Risiken und Empfehlungen, die sich an der aktuellen Rechtslage in Deutschland im April 2026 orientieren.

Wichtiger Hinweis vorab: Dies ist keine Rechtsberatung. Bei konkreten Projekten, die personenbezogene Daten verarbeiten, solltest du deinen Datenschutzbeauftragten oder einen auf Datenschutzrecht spezialisierten Anwalt konsultieren.

Was „DSGVO-konform” bei KI wirklich bedeutet

Ein Tool ist „DSGVO-konform nutzbar”, wenn drei Dinge erfüllt sind:

  1. Rechtsgrundlage für die Datenverarbeitung liegt vor (z. B. Vertragserfüllung, berechtigtes Interesse, Einwilligung)
  2. Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter ist abgeschlossen, wenn personenbezogene Daten verarbeitet werden
  3. Datenübermittlung in Drittländer (z. B. USA) ist rechtlich abgesichert (Standardvertragsklauseln, Data Privacy Framework)

Wichtig: Es geht selten um das Tool selbst, sondern immer um die konkrete Nutzung. ChatGPT zur Formulierung einer fiktiven Stellenausschreibung ist unkritisch. ChatGPT, um die Krankenakte eines Kunden zu zusammenzufassen, ist ein Verstoß.

Die 3 kritischen Fragen vor jedem KI-Einsatz

Bevor du personenbezogene Daten in ein KI-Tool gibst, stell dir diese Fragen:

Frage 1: Habe ich einen AVV mit dem Anbieter?

Ohne Auftragsverarbeitungsvertrag nach Art. 28 DSGVO darfst du personenbezogene Daten nicht extern verarbeiten lassen. Die meisten Anbieter bieten AVV nur in ihren Business- oder Enterprise-Tarifen an, nicht in den kostenlosen Versionen.

Frage 2: Werden meine Daten zum Training verwendet?

Alles, was du in die kostenlose Version tippst, kann (und wird meist) zum Training des Modells verwendet. Das bedeutet: Deine Daten werden Teil des KI-Systems und können theoretisch in Antworten anderer Nutzer auftauchen. Business-Tarife schließen das in der Regel aus.

Frage 3: Wo stehen die Server?

DSGVO bevorzugt Datenverarbeitung in der EU. Verarbeitung in den USA ist nur über das Data Privacy Framework (DPF) oder Standardvertragsklauseln zulässig. Die meisten großen Anbieter (OpenAI, Anthropic, Google) sind DPF-zertifiziert — aber das kann sich ändern.

Das Ampel-System: Welches Tool für welche Nutzung

🟢 Grün: Kann mit personenbezogenen Daten eingesetzt werden

Diese Tools bieten AVV, deaktivierbares Training und sind DPF-zertifiziert.

Microsoft 365 Copilot ist die sicherste Wahl für klassische Business-Anwendungen. AVV, EU-Datenverarbeitung möglich, Integration in bestehende Microsoft-Landschaft. Sinnvoll, wenn du sowieso Microsoft 365 nutzt. Kosten: ca. 30 €/Monat pro Nutzer zusätzlich.

Claude Team und Enterprise (Anthropic) bieten ebenfalls AVV, kein Training auf Nutzerdaten, DPF-zertifiziert. Team ab 25 $ pro Nutzer/Monat (mind. 5 Nutzer). Enterprise nach individueller Vereinbarung. Anthropic hat den Ruf, besonders vorsichtig mit Daten umzugehen. Mehr zu Claude.

ChatGPT Enterprise und Team (OpenAI) sind DSGVO-konform nutzbar — mit AVV, Training deaktiviert, DPF. Team ab 25 $/Nutzer/Monat, Enterprise auf Anfrage.

DeepL Pro / Business (deutsche Firma, Server in EU) ist die sicherste Wahl für Übersetzungen. AVV ist Teil des Pro-Tarifs. Perfekt für sensibles Material wie Verträge oder interne Dokumente. Ab 7,50 €/Monat für Starter.

Google Workspace mit Gemini kann DSGVO-konform eingesetzt werden, wenn die Admins es richtig konfigurieren (Business Standard oder höher, Gemini Enterprise Add-on). Bei reiner Endnutzer-Version ohne Workspace: nicht empfohlen.

🟡 Gelb: Nur mit Einschränkungen

Diese Tools lassen sich nutzen, aber nicht für alle Anwendungen. Personenbezogene oder vertrauliche Daten gehören hier nicht rein.

Claude Free / Pro (einzelner Nutzer) hat keinen AVV und darf strenggenommen nicht für personenbezogene Daten verwendet werden. Für anonymisierte oder öffentliche Inhalte (Marketing-Texte, Brainstorming ohne Kundenbezug) aber völlig okay.

ChatGPT Free / Plus — gleiche Situation. Sehr gut für allgemeine Aufgaben, nicht für Kundendaten. Training auf Nutzerdaten ist standardmäßig aktiv, kann in Einstellungen deaktiviert werden — aber auch dann fehlt der AVV.

Perplexity Pro bietet Training-Deaktivierung, aber keinen AVV in der Einzelnutzer-Version. Für Recherche zu öffentlichen Themen gut geeignet, nicht für Kundenanalyse. Vergleich: Perplexity vs. Google.

Canva (mit KI-Funktionen) — AVV ist bei Canva for Teams/Enterprise verfügbar. Bei Free oder Pro (Einzel): keine personenbezogenen Fotos oder Texte verarbeiten.

Notion AI — AVV bei Business/Enterprise-Tarifen. Notion speichert Daten in den USA, aber mit DPF abgesichert. Bei Einzel- oder Team-Tarif rechtlich etwas grauer.

🔴 Rot: Für professionelle Nutzung in DE problematisch

DeepSeek, Qwen (chinesische Modelle) — Datenverarbeitung auf chinesischen Servern, keine DPF-Absicherung, meist kein AVV. Für deutsche Unternehmen klar abzuraten.

Kostenlose Bildgeneratoren ohne DPF wie manche Open-Source-Anbieter aus Nicht-EU-Ländern ohne Datenschutzrahmen. Midjourney z. B. verarbeitet in den USA (DPF), ist aber im Basis-Tarif ohne AVV.

Tools mit unklarer Unternehmensstruktur — wenn du auf der Anbieter-Website nicht klar findest, wer dahintersteckt und wo Daten verarbeitet werden: Finger weg.

Konkrete Anwendungen und passende Tools

Marketing-Texte schreiben (ohne Kundenbezug)

Kein Problem: Claude Free oder Pro, ChatGPT Free oder Plus sind völlig in Ordnung. Du verarbeitest keine personenbezogenen Daten.

Kunden-E-Mails beantworten

Wenn der Kundenname oder die Adresse im Prompt steht: Nur mit Business-Tarif (Claude Team, ChatGPT Enterprise, Microsoft 365 Copilot) oder anonymisiert arbeiten.

Verträge analysieren lassen

Wenn der Vertrag personenbezogene Daten enthält: AVV-pflichtig. Claude Team, ChatGPT Enterprise oder Microsoft 365 Copilot. Oder die Daten vorher schwärzen.

Übersetzungen

Sensibles Material (Verträge, interne Dokumente): DeepL Pro/Business — ist am saubersten DSGVO-seitig und liefert hervorragende Qualität.

Bewerbungsunterlagen lesen (als Arbeitgeber)

Heikel. Bewerbungsdaten sind personenbezogen. Auch mit AVV gilt: Bewerber:innen müssen informiert werden, dass KI zur Vorauswahl genutzt wird (Art. 13 DSGVO, Art. 22 DSGVO bei automatisierten Einzelentscheidungen). Im Zweifel: Nicht einsetzen. Mehr Kontext: KI-Bewerbung schreiben (aus Bewerber-Sicht).

Kundenanalyse / CRM-Daten

Business-Tarif zwingend. Eigentlich nur Microsoft 365 Copilot (wenn dein CRM in Dynamics liegt) oder Claude/ChatGPT Enterprise mit API-Anbindung.

Krankenakten, Arztberichte, sensible Daten

Besondere Kategorie nach Art. 9 DSGVO. Niemals in ein allgemeines KI-Tool eingeben — auch nicht mit AVV. Hier braucht es spezialisierte, zertifizierte medizinische KI-Lösungen.

Was Selbständige als Pflicht regeln müssen

Wenn du KI mit personenbezogenen Daten einsetzt, brauchst du:

  • AVV mit dem Anbieter (auf Anfrage oder im Business-Tarif inklusive)
  • Eintrag im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) — welches Tool, welcher Zweck, welche Daten
  • Datenschutzerklärung aktualisieren, wenn Kundendaten an KI-Dienstleister gehen
  • Betroffene informieren — Auftraggeber, Mitarbeiter, Bewerber müssen erfahren, dass KI genutzt wird

Das klingt aufwendig, ist aber in Summe eine Vormittag-Aufgabe — und deutlich billiger als ein Bußgeld.

Die wichtigste DSGVO-Regel für KI-Nutzung

Wenn du dir eine einzige Regel merkst, dann diese:

Nie sensible oder vollständige personenbezogene Daten in kostenlose KI-Tools eingeben.

Anonymisieren statt „kopieren & einfügen” ist die sicherste Methode. Statt „Herr Schmidt aus Bensheim, 49 Jahre, Geschäftsführer von XY GmbH” reicht meistens „Kunde, Geschäftsführer eines mittelständischen Dienstleisters”. Die KI kommt damit genauso gut klar — und dein Risiko sinkt auf null.

Fazit: Vorsicht ja, Panik nein

DSGVO und KI sind kein Verbot, sondern ein Rahmen. Wer die drei Grundregeln beherzigt — AVV, Training aus, Server-Standort — kann die meisten Aufgaben DSGVO-konform mit KI erledigen. Für sensible Daten gibt es Business-Tarife, für alles andere reicht oft schon eine Anonymisierung im Prompt.

Mein praktischer Tipp: Starte mit einer kostenlosen Version für unkritische Aufgaben. Sobald du KI regelmäßig mit kundenbezogenen Daten nutzt, wechsle auf eine Business-Version mit AVV. 20–30 €/Monat sind gut investiertes Geld gegen fünfstellige Bußgelder.

Tieferen Einstieg ins Thema? Unser DSGVO-und-KI-Guide deckt die rechtlichen Grundlagen vollständig ab.

Häufige Fragen zur DSGVO-Konformität von KI-Tools

Ist Claude DSGVO-konform?

Claude Team und Enterprise (Business-Tarife von Anthropic) sind DSGVO-konform nutzbar: mit AVV, ohne Training auf Nutzerdaten, DPF-zertifiziert. Claude Free und Claude Pro (Einzelnutzer) bieten keinen AVV — für personenbezogene Daten nicht geeignet, für anonymisierte oder öffentliche Inhalte aber in Ordnung.

Ist ChatGPT DSGVO-konform?

Gleiche Logik: ChatGPT Team und Enterprise sind DSGVO-tauglich. ChatGPT Free und Plus sind es nicht vollständig (kein AVV). Training lässt sich zwar abschalten, aber ohne AVV darfst du als Unternehmen keine personenbezogenen Daten verarbeiten.

Welches KI-Tool ist am sichersten für deutsche Firmen?

Microsoft 365 Copilot — weil es in bestehende, oft bereits DSGVO-geprüfte Microsoft-Strukturen einbettet. DeepL Pro für Übersetzungen (EU-Server, deutsche Firma). Claude Team als Textassistent mit sehr strengem Datenschutzprofil.

Darf ich ChatGPT für Kunden-E-Mails nutzen?

Nur mit Business-Tarif (Team/Enterprise) und AVV. Oder anonymisiert — statt „Antwort auf Herrn Müller aus Hamburg” einfach „Antwort auf Kundenanfrage zu Thema X” schreiben und den Namen später manuell einfügen.

Was passiert, wenn ich DSGVO-konforme Nutzung ignoriere?

Bußgelder nach DSGVO können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Realistisch für kleine Selbständige: 500 € bis 50.000 €. Eine Abmahnung durch Mitbewerber ist ebenfalls möglich. Und natürlich: Vertrauensverlust bei Kunden, wenn deren Daten kompromittiert werden.

Brauche ich einen Datenschutzbeauftragten, wenn ich KI nutze?

Die Pflicht zum Datenschutzbeauftragten hängt nicht direkt von KI ab, sondern von der Unternehmensgröße und Art der Datenverarbeitung. Regel: 20+ Mitarbeiter, die regelmäßig personenbezogene Daten verarbeiten, brauchen einen DSB. Bei weniger: In der Regel nicht Pflicht. Aber: KI-Einsatz kann die Schwelle zu „regelmäßig und systematisch” schneller überschreiten, als man denkt.

Sind chinesische KI-Modelle wie DeepSeek in Deutschland nutzbar?

Rechtlich problematisch. Die Datenverarbeitung erfolgt auf chinesischen Servern ohne angemessenes Datenschutzniveau im Sinne der DSGVO, und es gibt keine Data-Privacy-Framework-Analogie für China. Für deutsche Unternehmen nicht empfehlenswert — selbst wenn die Modelle technisch beeindruckend sind.

Was ist ein AVV und brauche ich den wirklich?

Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO regelt, wie ein externer Dienstleister deine personenbezogenen Daten verarbeiten darf. Sobald du Kundendaten in ein KI-Tool eingibst und das Tool in deinem Auftrag verarbeitet, brauchst du einen AVV. Ohne ist es ein DSGVO-Verstoß. Die meisten seriösen Anbieter stellen ihn in Business-Tarifen bereit — oft per Mausklick abschließbar.

← Alle Ratgeber-Artikel
Feedback geben →
© 2026 Flowfy — KI einfach erklärtMit ♥ gebaut in Bensheim