KBD KI-Beratung Deutschland — DSGVO-konforme KI-Beratung & Implementierung für den Mittelstand | Düsseldorf
    Glossar · Recht & DSGVO

    Schrems II — was bedeutet das für KI im Unternehmen?

    Schrems II ist das EuGH-Urteil von 2020, das die Datenübertragung in die USA grundlegend einschränkt. Es betrifft direkt jedes Unternehmen, das US-Cloud-Anbieter (AWS, Azure, OpenAI, Google) nutzt. Hier erfahren Sie, was 2026 noch gilt — und welche Praxis-Lösungen funktionieren.

    30 Tage
    zum ersten Pilot
    Ø 40 %
    weniger manuelle Arbeit
    100 %
    Hosting in Deutschland
    DSGVO + EU AI Act
    konform implementiert

    Was ist Schrems II?

    Im Juli 2020 erklärte der EuGH im sogenannten Schrems-II-Urteil das EU-US-Privacy-Shield-Abkommen für ungültig. Begründung: US-Geheimdienste haben weitreichenden Zugriff auf Daten von US-Cloud-Anbietern — ohne effektive Rechtsschutzmöglichkeit für EU-Bürger. Damit fehlte die Grundlage für die meisten Datentransfers in die USA.

    Konkret betroffen waren alle Unternehmen, die Daten in US-Clouds (AWS, Azure, Google Cloud) verarbeiten — also praktisch jeder. Die Folge: drei Jahre rechtliche Unsicherheit, viel Beratungsaufwand, viele Workarounds (Standard Contractual Clauses, Transfer Impact Assessments).

    Data Privacy Framework (2023)

    Im Juli 2023 trat das Data Privacy Framework (DPF) als Nachfolger des Privacy Shield in Kraft. Die EU-Kommission stellte fest, dass die USA durch neue Garantien (insbesondere ein Data Protection Review Court für EU-Bürger) ein „angemessenes Datenschutzniveau“ bieten — solange der US-Anbieter im DPF zertifiziert ist.

    Das entlastet die Praxis erheblich. Microsoft, Google, OpenAI, AWS und die meisten relevanten US-Cloud-Anbieter sind DPF-zertifiziert. ABER: Max Schrems (NOYB) hat bereits Klage gegen das DPF angekündigt (Schrems III). Es ist also nicht völlig auszuschließen, dass das DPF in 1–3 Jahren ebenfalls fällt. Wer langfristig sicher planen will, baut Redundanz ein.

    Praxis-Lösungen 2026

    Drei Pfade, die wir in der Praxis sehen:

    • Pfad 1: US-Anbieter mit EU-Endpunkten — Microsoft Azure (Sweden Central oder Switzerland North), Anthropic EU (Frankfurt), Google Vertex AI (Frankfurt). Plus AVV, plus DPF-Zertifizierung als Backup. Praktischster Standardpfad für die meisten Mittelstands-Cases.
    • Pfad 2: Europäische Anbieter — Mistral (Frankreich), Aleph Alpha (Deutschland), IONOS Cloud (Deutschland). Etwas weniger Performance-Spitze, aber maximale Rechtssicherheit. Gut für Branchen mit erhöhter Compliance-Last.
    • Pfad 3: Self-Hosted Open Weights — Llama 3, Mistral, Phi-3 auf eigener Infrastruktur in Deutschland. Höchster Aufwand, höchste Kontrolle. Lohnt nur bei sehr hohen Volumina oder bei extrem sensiblen Daten.

    KI-spezifische Aspekte

    KI bringt zusätzliche Schrems-II-Komplikationen, die klassische Cloud-Nutzung nicht hat:

    • Trainings-Vermeidung: Standard-API-Verträge mit OpenAI/Anthropic/Mistral garantieren explizit, dass Ihre Daten nicht für Modell-Training verwendet werden. Konsumer-Versionen (ChatGPT.com, Claude.ai) tun das nicht — strikt vermeiden im Unternehmenskontext.
    • Logging-Konfiguration: bei OpenAI/Anthropic können Sie Zero-Retention konfigurieren — Anfragen werden nicht gespeichert. Wichtig für sensible Daten.
    • Inferenz-Standort: bei Azure OpenAI können Sie geografisch garantieren, dass Inferenz nur in EU-Datencentern erfolgt (Data Boundary).
    • Auftragsverarbeitung: AVV nach Art. 28 DSGVO mit allen Anbietern — Standard, nicht verhandelbar.

    Praxis-Checkliste vor KI-Go-Live

    1. Alle KI-Anbieter DPF-zertifiziert? (Liste prüfen)
    2. EU-Endpunkt aktiv konfiguriert? (Region geprüft)
    3. Auftragsverarbeitungsvertrag (AVV) abgeschlossen?
    4. „No-Training“-Klausel im Vertrag bestätigt?
    5. Logging-/Retention-Einstellung dokumentiert?
    6. DSFA durchgeführt (bei personenbezogenen Daten)?
    7. Verarbeitungs-Verzeichnis aktualisiert?
    8. Mitarbeiter-Schulung zu sensiblen Daten dokumentiert?

    Mehr in unserem Pillar-Inhalt DSGVO-konforme KI in der Praxis oder im Vergleich Private AI vs. ChatGPT Enterprise vs. Copilot.

    Häufig gestellte Fragen

    Ist mit dem Data Privacy Framework alles wieder in Ordnung?
    Teilweise. Das DPF (in Kraft seit Juli 2023) bietet eine rechtliche Grundlage für Datentransfers in die USA an zertifizierte Unternehmen. ABER: Max Schrems hat bereits Klage angekündigt (Schrems III), die Zertifizierung kann jederzeit fallen, und nicht alle US-Anbieter sind zertifiziert. Wer rechtssicher operieren will, sollte EU-Endpunkte und Auftragsverarbeitungsverträge bevorzugen.
    Sind Microsoft Azure und OpenAI rechtssicher nutzbar?
    Mit korrekter Konfiguration ja: Azure Sweden Central oder Switzerland North-Region, AVV abgeschlossen, Cross-Tenant-Replikation deaktiviert, EU-Data-Boundary aktiv. Microsoft hat 2024/2025 viele Verbesserungen für EU-Compliance umgesetzt. OpenAI über Azure ist derselbe Pfad. Direktes OpenAI ohne Azure ist heikler — geht via DPF, aber Restrisiko.
    Brauche ich für KI immer einen DSFA?
    Bei Verarbeitung personenbezogener Daten mit KI fast immer ja. Eine Datenschutz-Folgenabschätzung ist nach Art. 35 DSGVO Pflicht bei „voraussichtlich hohem Risiko“. KI-Verarbeitung erfüllt dieses Kriterium meistens. Bei rein internen Use Cases ohne Personenbezug (z. B. Wartungsdaten von Maschinen) entfällt die Pflicht.
    Was ist die sicherste Variante?
    EU-gehostete Modelle mit europäischem Anbieter, AVV, Hosting in Deutschland oder EU. Konkret 2026: Mistral Large via La Plateforme (Frankreich), Aleph Alpha (Deutschland) oder Open-Weight-Modelle (Llama, Mistral) self-hosted in Deutschland. Damit umgehen Sie Schrems-II-Risiken vollständig — bei marginalen Performance-Abstrichen.

    Kostenfreie KI-Potenzialanalyse

    30 Minuten Strategiegespräch mit einem KBD-Berater. Konkret, ehrlich, ohne Verkaufsdruck — wir sagen Ihnen offen, ob KI für Ihren Use Case lohnt.

    • Analyse Ihrer 3 wichtigsten Prozesse
    • Konkrete Roadmap mit Aufwandsschätzung
    • Indikative ROI-Rechnung für Ihren Case

    Ergänzend lesenswert

    DSGVO-konforme KI

    Pillar zur Rechtssicherheit

    EU AI Act

    Die nächste Regulierung

    Private AI

    EU-Hosting-Pfad

    Plattform-Vergleich

    DSGVO-Aspekte je Plattform