KI DSGVO-konform einrichten: Die Praxis-Anleitung in 5 Schritten

Du weißt, dass DSGVO bei KI ein Thema ist. Du hast die Warnungen gelesen. Die Paragraphen. Die Horror-Geschichten über Bußgelder.

Was du noch nicht hast: eine konkrete Anleitung, wie du dein KI-Setup Schritt für Schritt DSGVO-konform machst. Nicht Theorie, sondern Praxis. Nicht "du solltest", sondern "klick hier, stell das ein, dokumentiere das".

Genau das liefert dieser Artikel — mit einer klaren Einordnung, welche Pflichten sich direkt aus der DSGVO ergeben und welche eher in den Bereich Sicherheit fallen.

Für die vollständige juristische Einordnung mit allen Paragraphen, Muster-Texten und Schulungsnachweisen empfehle ich den Rechts-Leitfaden "KI und Datenschutz" auf easyRechtssicher.de. Dieser Artikel hier konzentriert sich auf die Umsetzung.

Was die DSGVO bei KI von dir verlangt

Wenn du KI mit personenbezogenen Daten nutzt — also Kundennamen, E-Mail-Adressen, Briefings oder Geschäftsdaten in ein KI-Tool eingibst — gibt es vier Pflichten, die direkt aus der DSGVO folgen:

Auftragsverarbeitungsvertrag (Art. 28 DSGVO): Immer wenn ein externer Dienst in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag mit diesem Anbieter. Bei Cloud-KI wie ChatGPT oder Claude ist das der KI-Anbieter (OpenAI, Anthropic). Bei Self-Hosted KI auf einem gemieteten Server brauchst du keinen Auftragsverarbeitungsvertrag mit dem Hoster (Hetzner stellt nur die Infrastruktur bereit, verarbeitet aber keine personenbezogenen Daten in deinem Auftrag — ähnlich wie ein Vermieter keinen Auftragsverarbeitungsvertrag braucht). Aber: Wenn du über deinen eigenen Server Cloud-APIs von OpenAI oder Anthropic nutzt, brauchst du mit diesen Anbietern trotzdem einen Auftragsverarbeitungsvertrag — denn die verarbeiten deine Prompts auf ihren Servern.

Verarbeitungsverzeichnis (Art. 30 DSGVO): Du musst den KI-Einsatz als Verarbeitungstätigkeit in deinem Verzeichnis dokumentieren. Das gilt unabhängig davon, ob du Cloud oder Self-Hosted nutzt.

Datenschutzerklärung (Art. 13 DSGVO): Wenn du Kundendaten oder Daten deiner Website-Besucher mit KI verarbeitest, musst du die betroffenen Personen darüber informieren. Das gehört in deine Datenschutzerklärung.

Training Opt-out: Streng genommen keine eigenständige DSGVO-Pflicht, aber eine zwingende Voraussetzung, um die Kontrolle über personenbezogene Daten zu behalten. Wenn deine Eingaben ins Modelltraining fließen, kannst du Löschung und Zweckbindung nicht mehr gewährleisten — und das ist dann ein DSGVO-Problem.

Und dann ist da Art. 32 DSGVO — technische und organisatorische Sicherheitsmaßnahmen. Das klingt nach Nebensache, ist aber das Fundament. Denn ohne Sicherheit ist alles andere wertlos: Ein Auftragsverarbeitungsvertrag nützt nichts, wenn dein Server ungeschützt im Netz hängt. Ein Verarbeitungsverzeichnis ist Papier, wenn die Daten unverschlüsselt auf einer offenen Festplatte liegen.

Art. 32 verlangt: Verschlüsselung der Daten bei Übertragung und Speicherung (HTTPS, verschlüsselte Festplatten). Zugangskontrollen — nur wer Zugang braucht, bekommt ihn (Passwortschutz, Zwei-Faktor-Authentifizierung). Regelmäßige Datensicherung, damit bei einem Ausfall nichts verloren geht. Und die Fähigkeit, Vertraulichkeit und Integrität der Systeme dauerhaft sicherzustellen — also Firewall, Updates, Monitoring.

Diese Pflicht ist nicht KI-spezifisch. Sie gilt für jeden Server, jedes CRM, jede Website, auf der personenbezogene Daten liegen. Aber sie gilt eben auch für deinen KI-Server. Bei Cloud-KI übernimmt der Anbieter einen großen Teil dieser Pflicht (deshalb steht im Auftragsverarbeitungsvertrag, welche Sicherheitsmaßnahmen er trifft). Bei Self-Hosted liegt die Verantwortung bei dir. Du bist dafür zuständig, dass der Server gehärtet ist — oder du lässt es von jemandem machen, der das kann.

Die vier Pflichten oben (Auftragsverarbeitungsvertrag, Verarbeitungsverzeichnis, Datenschutzerklärung, Training Opt-out) regeln, wie du mit Datenflüssen umgehst. Art. 32 regelt, dass diese Daten dabei sicher sind. Beides zusammen ergibt DSGVO-Konformität. Eines allein reicht nicht.

Schritt 1: Cloud oder Self-Hosted — und was das für die DSGVO bedeutet

Die Wahl deines KI-Setups bestimmt, wie viel DSGVO-Aufwand du hast. Hier der Vergleich — nicht als Tabelle, sondern erklärt.

Cloud-KI (z.B. ChatGPT Team, Microsoft Copilot)

Du meldest dich bei einem Anbieter an und nutzt dessen KI-Modelle über das Internet. Deine Eingaben werden an die Server des Anbieters geschickt, dort verarbeitet und das Ergebnis zurückgeschickt.

Was bedeutet das für die DSGVO?

Du gibst personenbezogene Daten an einen externen Dienst weiter. Deshalb brauchst du einen Auftragsverarbeitungsvertrag mit dem KI-Anbieter (z.B. OpenAI oder Microsoft). Außerdem musst du klären, wohin die Daten fließen: Bei US-Anbietern liegt ein Drittlandtransfer vor, den du absichern musst — zum Beispiel über das EU-US Data Privacy Framework. Deine Datenschutzerklärung muss den KI-Anbieter, den Zweck und den Drittlandtransfer nennen. Und du musst sicherstellen, dass der Anbieter deine Eingaben nicht zum Modelltraining verwendet (Training Opt-out).

Kurz: Alle vier DSGVO-Pflichten sind relevant, plus die Absicherung des Drittlandtransfers.

Self-Hosted KI (z.B. Open WebUI auf einem Hetzner-Server)

Du installierst eine KI-Plattform auf einem eigenen Server — zum Beispiel bei Hetzner in Deutschland. Die Software läuft auf deinem Server, und du entscheidest, welche KI-Modelle du anbindest.

Was bedeutet das für die DSGVO?

Hier kommt es darauf an, welche Modelle du nutzt:

Variante A — nur lokale Modelle (z.B. Llama, Mistral über Ollama): Deine Daten verlassen den Server nicht. Es gibt keinen externen Datenempfänger. Deshalb brauchst du keinen Auftragsverarbeitungsvertrag, keinen Drittlandtransfer, kein Training Opt-out. Es bleiben nur das Verarbeitungsverzeichnis und — wenn Kundendaten im Spiel sind — die Datenschutzerklärung. Das ist die DSGVO-schlankste Lösung.

Variante B — lokale Modelle plus Cloud-APIs (z.B. GPT-4o oder Claude über API): Für die lokalen Modelle gilt dasselbe wie oben. Für die Cloud-APIs brauchst du mit jedem API-Anbieter (OpenAI, Anthropic) einen Auftragsverarbeitungsvertrag — denn diese Anfragen verlassen deinen Server und werden auf den Servern der Anbieter verarbeitet. Der Unterschied zu reiner Cloud-KI: Du entscheidest bei jeder Anfrage, ob sie lokal bleibt oder über eine Cloud-API geht. Für alltägliche Aufgaben nimmst du das lokale Modell (kein DSGVO-Aufwand), für komplexe Aufgaben die Cloud-API (Auftragsverarbeitungsvertrag nötig).

Und der Hoster selbst? Hetzner stellt dir einen Server bereit — Rechenleistung, Speicher, Netzwerk. Hetzner verarbeitet dabei keine personenbezogenen Daten in deinem Auftrag. Ein Auftragsverarbeitungsvertrag mit dem Hoster ist deshalb in der Regel nicht nötig. Das ist vergleichbar mit einem Büro, das du mietest: Der Vermieter hat keinen Auftragsverarbeitungsvertrag mit dir, nur weil in deinem Büro Kundendaten liegen.

Welches Setup sich für dein Business lohnt — auch finanziell — zeigt unser Vergleich Cloud vs. Self-Hosted.

Schritt 2: Die DSGVO-Einstellungen in deinem KI-Tool

Jetzt wird es konkret. Jede Einstellung hier betrifft direkt eine DSGVO-Pflicht.

ChatGPT

Training Opt-out aktivieren: Gehe zu Settings, dann Data Controls, dann "Improve the model for everyone" und schalte es AUS. Ohne diesen Schritt fließen deine Eingaben in zukünftige Modellversionen. Du verlierst die Kontrolle über die Daten — und damit die DSGVO-Konformität.

Auftragsverarbeitungsvertrag abschliessen: Für ChatGPT Team und Enterprise ist der Auftragsverarbeitungsvertrag (bei OpenAI heißt er "Data Processing Addendum") automatisch Bestandteil. Für ChatGPT Plus bietet OpenAI unter privacy.openai.com einen Auftragsverarbeitungsvertrag an — ob der für geschäftliche Nutzung mit Personenbezug ausreicht, ist juristisch umstritten. Sicherer ist der Team-Tarif. Die kostenlose Version hat keinen Auftragsverarbeitungsvertrag. Für geschäftliche Nutzung mit personenbezogenen Daten ist sie nicht geeignet.

Microsoft Copilot

EU-Datengrenze prüfen: Gehe ins Admin Center und prüfe unter Settings, dass die EU-Datengrenze aktiv ist. Damit bleiben deine Daten in europäischen Rechenzentren und du vermeidest einen Drittlandtransfer in die USA. Das ist direkt DSGVO-relevant (Art. 44 ff. DSGVO).

Auftragsverarbeitungsvertrag: Im Microsoft 365 Business- und Enterprise-Vertrag ist der Auftragsverarbeitungsvertrag (bei Microsoft heißt er "Data Protection Addendum") enthalten. Prüfe, ob er in deinem konkreten Vertrag aktiviert ist.

Open WebUI (Self-Hosted)

Server-Standort: Wähle einen Server in Deutschland oder der EU. Kein US-Anbieter. Damit ist das Thema Drittlandtransfer erledigt — zumindest für die Plattform selbst.

Cloud-APIs — Auftragsverarbeitungsvertrag pro Anbieter: Nutzt du über Open WebUI Cloud-Modelle wie GPT-4o oder Claude per API? Dann brauchst du mit jedem API-Anbieter einen eigenen Auftragsverarbeitungsvertrag. OpenAI und Anthropic bieten diese an. Wichtig: Der Auftragsverarbeitungsvertrag betrifft nur die API-Aufrufe. Die Plattform selbst (Open WebUI) läuft lokal, dafür brauchst du keinen.

Nur lokale Modelle: Nutzt du ausschließlich lokale Modelle wie Llama oder Mistral über Ollama, gibt es keinen externen Datenempfänger. Kein Auftragsverarbeitungsvertrag nötig. Kein Drittlandtransfer. Kein Training Opt-out. Du musst nur noch dokumentieren — und das ist der nächste Schritt.

Schritt 3: Die drei DSGVO-Dokumente erstellen

Drei Dokumente brauchst du. Nicht mehr, nicht weniger.

Dokument 1: Verarbeitungsverzeichnis ergänzen (Art. 30 DSGVO)

Du hast wahrscheinlich schon ein Verarbeitungsverzeichnis für dein Unternehmen. Ergänze dort den KI-Einsatz als eigene Verarbeitungstätigkeit. Folgende Angaben gehören hinein:

• Zweck — z.B. "Texterstellung und Recherche mit KI-Unterstützung"
• Kategorien betroffener Personen — z.B. Kunden, Geschäftspartner (oder "keine", wenn du ohne Personenbezug arbeitest)
• Kategorien personenbezogener Daten — z.B. Namen, E-Mail-Adressen, Geschäftsinhalte
• Empfänger — z.B. "OpenAI, Inc." (bei Cloud-Nutzung) oder "keine externe Übermittlung" (bei Self-Hosted mit lokalen Modellen)
• Drittlandtransfer — z.B. "USA, auf Basis des EU-US Data Privacy Framework" oder "entfällt (Server in Deutschland)"
• Löschfristen — z.B. "Chat-Verläufe werden nach 90 Tagen gelöscht"

Dokument 2: Datenschutzerklärung anpassen (Art. 13 DSGVO)

Wenn du KI mit Kundendaten oder Daten deiner Website-Besucher nutzt, gehört das in deine Datenschutzerklärung. Informiere darüber, welche KI-Tools du einsetzt (Name des Anbieters), zu welchem Zweck, auf welcher Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse — reicht für die meisten Fälle), ob und wohin ein Drittlandtransfer stattfindet, und ob ein Auftragsverarbeitungsvertrag besteht.

Fertige Datenschutzerklärung-Bausteine für ChatGPT, Claude und Gemini bekommst du im easyRechtssicher Komplett-Schutz — korrekt formuliert und automatisch aktualisiert.

Nutzt du KI nur intern — ohne Kundendaten, ohne Daten von Website-Besuchern? Dann muss die KI-Nutzung nicht in deine Datenschutzerklärung.

Dokument 3: KI-Richtlinie für Mitarbeiter

Keine DSGVO-Pflicht im engeren Sinne, aber die beste Absicherung dagegen, dass ein Mitarbeiter versehentlich Kundendaten in ein KI-Tool ohne Auftragsverarbeitungsvertrag eingibt. Eine Seite reicht. Folgende Punkte abdecken:

• Erlaubte Tools — welche KI-Tools dürfen genutzt werden?
• Verbotene Eingaben — keine Kundennamen, Kontonummern oder Gesundheitsdaten in Cloud-KI ohne Auftragsverarbeitungsvertrag
• Anonymisierung — "Kunde A" statt echte Namen, "Firma XY" statt den echten Firmennamen
• Prüfpflicht — KI-Ausgaben vor Verwendung auf Richtigkeit prüfen

Seit Februar 2025 verlangt der AI Act (Art. 4) außerdem nachweisbare KI-Kompetenz bei Mitarbeitern. Eine dokumentierte Einweisung erfüllt das. Den vollständigen Schulungsnachweis-Mustertext findest du im Rechts-Leitfaden auf easyRechtssicher.de.

Schritt 4: Warum Self-Hosted den DSGVO-Aufwand halbiert

Self-Hosted KI ist nicht nur günstiger (ab ca. 15 Euro im Monat, unabhängig von der Nutzerzahl). Sie reduziert auch deinen DSGVO-Aufwand, weil wesentliche Pflichten ganz oder teilweise wegfallen.

Bei Cloud-KI brauchst du einen Auftragsverarbeitungsvertrag mit dem KI-Anbieter, musst den Drittlandtransfer absichern, das Training Opt-out konfigurieren, und das alles in Verarbeitungsverzeichnis und Datenschutzerklärung dokumentieren.

Bei Self-Hosted mit ausschließlich lokalen Modellen fällt der Auftragsverarbeitungsvertrag weg, der Drittlandtransfer entfällt, das Training Opt-out ist kein Thema. Es bleiben das Verarbeitungsverzeichnis und — bei Kundendaten — die Datenschutzerklärung. Beide werden deutlich schlanker, weil es keinen externen Empfänger und keinen Drittlandtransfer zu dokumentieren gibt.

Bei Self-Hosted mit lokalen Modellen plus Cloud-APIs liegt die Wahrheit dazwischen. Für die lokalen Modelle kein Aufwand. Für die Cloud-APIs brauchst du den Auftragsverarbeitungsvertrag mit dem jeweiligen API-Anbieter. In der Praxis nutzen die meisten unserer Kunden genau diesen Mix: Lokale Modelle für alltägliche Aufgaben (kein DSGVO-Aufwand) und Cloud-APIs für komplexe Aufgaben (Auftragsverarbeitungsvertrag nötig, aber nur für diese Schnittstelle).

Das Prinzip: Statt Datenschutz mit Verträgen zu verwalten, eliminierst du die Ursache. Keine Daten an Dritte heißt kein Auftragsverarbeitungsvertrag. Kein US-Server heißt kein Drittlandtransfer.

Das technische Setup und die Kostenrechnung findest du in den verlinkten Artikeln (Open WebUI für Unternehmen und Was kostet KI im Unternehmen?).

Schritt 5: Prüfe dein Setup mit dieser Checkliste

Alles eingerichtet? Dann prüfe mit dieser Checkliste, ob dein KI-Setup DSGVO-konform ist.

DSGVO-Pflicht — ohne diese Punkte bist du nicht konform:

• Auftragsverarbeitungsvertrag vorhanden? Für jeden Cloud-KI-Anbieter und jeden API-Anbieter, bei dem personenbezogene Daten verarbeitet werden. Dokumentiert und abgelegt.
• Training Opt-out aktiv? In den Einstellungen jedes Cloud-KI-Tools geprüft und deaktiviert.
• Verarbeitungsverzeichnis aktualisiert? KI-Einsatz als eigene Verarbeitungstätigkeit eingetragen.
• Datenschutzerklärung angepasst? KI-Nutzung mit Anbietername, Zweck, Rechtsgrundlage und Drittlandtransfer erwähnt — sofern Kundendaten oder Website-Daten betroffen sind.
• Keine personenbezogenen Daten in Free-Tarife? Geprüft, ob jemand im Team kostenlose KI-Versionen für geschäftliche Zwecke mit Kundenbezug nutzt.

Sicherheit nach Art. 32 DSGVO — das Fundament, ohne das alles andere wertlos ist:

• HTTPS aktiv? Alle Verbindungen zu deinem KI-Tool müssen verschlüsselt sein. Ohne HTTPS können Eingaben und Antworten im Klartext mitgelesen werden.
• Zugangskontrollen eingerichtet? Jeder Nutzer hat ein eigenes Konto mit sicherem Passwort. Noch besser: Zwei-Faktor-Authentifizierung aktiviert.
• Firewall konfiguriert? Nur die nötigen Ports sind offen. SSH-Zugang ist auf bestimmte IP-Adressen beschränkt oder per Key abgesichert.
• Datensicherung eingerichtet? Regelmäßige Backups, die du im Ernstfall auch zurückspielen kannst.
• Updates und Patches? Betriebssystem und Software werden regelmäßig aktualisiert.

Bei Cloud-KI übernimmt der Anbieter diese Pflichten (steht im Auftragsverarbeitungsvertrag). Bei Self-Hosted bist du verantwortlich. Wer einen Dienstleister wie Done24 nutzt, bekommt Server-Härtung beim Setup mitgeliefert.

Empfohlen — organisatorische Maßnahmen:

• KI-Richtlinie verteilt? Alle Mitarbeiter wissen, was erlaubt ist und was nicht.
• Schulung dokumentiert? Nachweis der KI-Kompetenz nach Art. 4 AI Act.
• Drittlandtransfer geprüft? Bei US-Anbietern: Ist der Anbieter unter dem EU-US Data Privacy Framework zertifiziert?

Die 4 häufigsten DSGVO-Fehler bei KI

Fehler 1: "Wir nutzen ja nur die kostenlose Version"
Das macht es schlimmer. Kostenlose Tarife haben keinen Auftragsverarbeitungsvertrag und verwenden deine Daten zum Modelltraining. Für geschäftliche Nutzung mit Kundenbezug: nicht DSGVO-konform.

Fehler 2: "Auftragsverarbeitungsvertrag reicht"
Ein Auftragsverarbeitungsvertrag ist notwendig, aber nicht ausreichend. Ohne aktualisiertes Verarbeitungsverzeichnis, angepasste Datenschutzerklärung und Training Opt-out fehlen dir wesentliche Bausteine.

Fehler 3: "Das regeln wir später"
Nein. Wenn du heute Kundendaten in ein KI-Tool gibst, ohne die Grundlagen geklärt zu haben, ist das bereits ein Verstoß. Auch ohne böse Absicht.

Fehler 4: "Self-Hosted heißt automatisch DSGVO-konform"
Self-Hosted eliminiert den Auftragsverarbeitungsvertrag und den Drittlandtransfer — wenn du nur lokale Modelle nutzt. Aber die Sicherheitspflicht nach Art. 32 DSGVO liegt jetzt bei dir, nicht beim Cloud-Anbieter. Du brauchst HTTPS, Zugangskontrollen, Backups, Firewall. Dazu ein aktualisiertes Verarbeitungsverzeichnis und — wenn Kundendaten ins Spiel kommen — eine angepasste Datenschutzerklärung. Self-Hosted reduziert den DSGVO-Aufwand bei den Verträgen. Beim Thema Sicherheit verlagert es ihn auf dich.

FAQ: KI DSGVO-konform einrichten

Wie lange dauert es, KI DSGVO-konform einzurichten?

Cloud-KI (ChatGPT Team): 1 bis 2 Stunden für Konfiguration und Dokumentation. Self-Hosted (Open WebUI): Die DSGVO-Dokumentation dauert genauso lang. Das technische Server-Setup kommt extra (4 bis 8 Stunden bei Eigenarbeit oder 24 Stunden mit einem Dienstleister wie Done24).

Brauche ich für jeden KI-Anbieter einen eigenen Auftragsverarbeitungsvertrag?

Ja. Für jeden externen Dienst, der personenbezogene Daten verarbeitet. ChatGPT erfordert einen Auftragsverarbeitungsvertrag mit OpenAI. Claude erfordert einen mit Anthropic. Copilot ist über den Microsoft-365-Vertrag abgedeckt. Bei Self-Hosted mit ausschließlich lokalen Modellen brauchst du keinen. Bei Self-Hosted mit Cloud-APIs brauchst du einen nur für die genutzten API-Anbieter.

Brauche ich einen Auftragsverarbeitungsvertrag mit meinem Hoster (z.B. Hetzner)?

In der Regel nicht. Ein Hoster wie Hetzner stellt dir Infrastruktur bereit — Rechenleistung, Speicher, Netzwerk. Er verarbeitet keine personenbezogenen Daten in deinem Auftrag. Das ist vergleichbar mit dem Vermieter deiner Büroräume: Nur weil Kundendaten in deinem Büro liegen, braucht der Vermieter keinen Auftragsverarbeitungsvertrag. Etwas anderes gilt, wenn der Hoster Managed Services anbietet, bei denen er aktiv auf deine Daten zugreift — aber das ist bei einem einfachen VPS nicht der Fall.

Gilt die DSGVO auch, wenn ich KI nur für interne Texte nutze?

Wenn du keine personenbezogenen Daten eingibst — keine Kundennamen, keine E-Mail-Adressen, nichts Identifizierbares — greift die DSGVO nicht. Du solltest trotzdem den Training Opt-out aktivieren, denn auch Geschäftsgeheimnisse gehören nicht ins Modelltraining eines externen Anbieters. Die vollständige juristische Einordnung findest du im Rechts-Leitfaden auf easyRechtssicher.de.

Was ist, wenn ein Mitarbeiter Kundendaten in die kostenlose Version von ChatGPT eingegeben hat?

Das ist ein DSGVO-Verstoß, für den du als Unternehmer haftest. Sofort-Maßnahmen: Erstens den Training Opt-out im betroffenen Account aktivieren. Zweitens prüfen, welche Daten eingegeben wurden. Drittens die betroffenen Personen informieren, wenn ein hohes Risiko für deren Rechte besteht (Art. 34 DSGVO). Viertens eine KI-Richtlinie erstellen und alle Mitarbeiter schulen.

Welche KI-Lösung hat den geringsten DSGVO-Aufwand?

Self-Hosted auf eigenem Server mit ausschließlich lokalen Modellen. Kein Drittlandtransfer, kein Auftragsverarbeitungsvertrag, kein Training Opt-out. Du musst nur das Verarbeitungsverzeichnis ergänzen. Die Kostenrechnung zeigt, dass Self-Hosted auch finanziell ab 3 Nutzern die bessere Wahl ist.

Sind Sicherheitsmaßnahmen wie HTTPS und Firewall auch DSGVO-Pflicht?

Ja, und zwar eine zentrale. Art. 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Verschlüsselung, Zugangskontrollen, Datensicherung — das ist keine Kür, sondern Pflicht. Die gilt für jeden Server, auf dem personenbezogene Daten liegen, nicht nur für KI. Aber sie gilt eben auch für KI. Ohne diese Grundlage ist dein gesamtes DSGVO-Setup angreifbar: Der beste Auftragsverarbeitungsvertrag hilft nichts, wenn dein Server offen steht. Bei Cloud-KI übernimmt der Anbieter diesen Teil. Bei Self-Hosted bist du dafür verantwortlich — oder du lässt es professionell einrichten.

Fazit: 5 Schritte, dann bist du DSGVO-konform

DSGVO-konformes KI-Setup ist kein Projekt für den nächsten Monat. Es ist etwas, das du heute erledigen kannst.

Die fünf Schritte:

1. Entscheide — Cloud oder Self-Hosted? Das bestimmt deinen DSGVO-Aufwand.
2. Konfiguriere — Training Opt-out aktivieren, Auftragsverarbeitungsvertrag abschliessen, EU-Datengrenze prüfen.
3. Dokumentiere — Verarbeitungsverzeichnis, Datenschutzerklärung, KI-Richtlinie.
4. Verstehe den Vorteil von Self-Hosted — weniger Verträge, weniger Drittland-Themen, schlankere Dokumentation.
5. Prüfe — Checkliste abarbeiten, DSGVO-Pflichten vor Empfehlungen.

Du willst KI DSGVO-konform nutzen — ohne dich durch Server-Setup und Dokumentation zu kämpfen? Done24 richtet Open WebUI auf deinem eigenen Hetzner-Server ein: gehärtet, dokumentiert und übergeben. In 24 Stunden. Ab 690 Euro einmalig. Keine Abo-Kosten. Deine Daten, dein Server, deine Kontrolle. Mehr erfahren über Done24

Stand: Februar 2026. Dieser Artikel stellt keine Rechtsberatung dar. Für die vollständige juristische Einordnung mit Paragraphen, Muster-Texten und Schulungsnachweisen lies den Rechts-Leitfaden "KI und Datenschutz" auf easyRechtssicher.de.