COMPLIANCE

DSGVO-konforme KI-Agenten.

EU-Hosting, AVV nach Art. 28 DSGVO, kein Training auf Kundendaten — so wird KI im Mittelstand rechtssicher.

Plattform kennenlernen →

TL;DR

TL;DR: Eine DSGVO-konforme KI-Agenten-Plattform verarbeitet Unternehmensdaten ausschließlich auf EU-Servern, schließt AVV nach Art. 28 DSGVO ab, trainiert keine Modelle auf Kundendaten und dokumentiert Verarbeitungstätigkeiten nach Art. 30 DSGVO. Dieser Artikel erklärt, was das technisch bedeutet, was der EU AI Act ab August 2026 zusätzlich fordert, wie Mittelständler einen konformen Anbieter erkennen — und warum diese Entscheidung 2026 nicht mehr aufschiebbar ist.

Warum DSGVO-konforme KI 2026 keine Option mehr ist

Deutschen und österreichischen Unternehmen drohen 2026 zwei regulatorische Fristen gleichzeitig: Der EU AI Act greift ab August 2026 mit Vollverpflichtungen für Hochrisiko-KI, und NIS2-Bußgelder werden seit Oktober 2024 aktiv verhängt. Gleichzeitig setzen immer mehr Mittelständler KI-Agenten in sensiblen Prozessen ein — Rechnungsprüfung, HR-Kommunikation, Kundendaten-Analyse.

Das Risiko: Wer einen US-Cloud-Anbieter ohne gültigen TIA und AVV betreibt, zahlt nach Art. 83 DSGVO bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro. Kein Datenschutzbeauftragter unterschreibt heute noch ein Konzept, das Prompt-Daten ohne Rechtsgrundlage in US-Rechenzentren überträgt.

Gleichzeitig ist der Marktdruck real: Wer KI nicht einsetzt, verliert Effizienzvorteile gegenüber Wettbewerbern, die es richtig machen. Der Weg ist also nicht „KI vermeiden“, sondern „KI compliant einführen“.

Was bedeutet DSGVO-Konformität bei KI-Agenten?

Definition: DSGVO-konforme KI bedeutet, dass der KI-Anbieter als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO tätig ist, personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen (Ihres Unternehmens) verarbeitet und alle technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO einhält.

Für KI-Agenten im Unternehmenseinsatz sind insbesondere drei Kriterien entscheidend:

EU-Hosting vs. US-Cloud

Das rechtliche Problem: Werden Anfragen an OpenAI-API, Microsoft Azure (US-Region), Google Cloud (US-Region) oder ähnliche US-Dienste übertragen, handelt es sich um eine Drittstaatenübermittlung nach Art. 44 ff. DSGVO. Der EuGH hat mit dem Schrems-II-Urteil (C-311/18, 16. Juli 2020) Privacy-Shield für ungültig erklärt. Standard-Contractual-Clauses (SCC) allein reichen nicht aus, wenn US-Behörden via CLOUD Act (2018) und FISA Section 702 Zugriff auf Daten erhalten können.

Was das praktisch bedeutet: Jedes Mal, wenn Ihr KI-Agent einen Prompt mit Kundendaten (Name, E-Mail, Bestellnummer) an einen US-Dienst sendet, findet eine Drittstaatenübermittlung statt. Ohne gültige Rechtsgrundlage nach Art. 46 DSGVO (SCC + Transfer Impact Assessment) ist das ein Datenschutzverstoß — auch wenn Sie das technisch nicht sehen.

Was DSGVO-Konformität erfordert:

  • Rechenzentren in der EU oder im EWR (Deutschland, Niederlande, Irland, etc.)
  • Oder: Nachweis von Zusatzmaßnahmen (End-to-End-Verschlüsselung, Pseudonymisierung mit unzugänglichem Schlüssel) bei US-Hosting
  • Schriftlicher Transfer Impact Assessment (TIA) nach Art. 44 DSGVO für jeden Unterauftragsverarbeiter mit US-Bezug
  • Regelmäßige Überprüfung, ob SCCs noch aktuell sind (Kommission aktualisiert SCCs periodisch)

Konkrete Frage an jeden KI-Anbieter:

  • „Wo werden Prompt-Daten und Zwischenergebnisse verarbeitet?“
  • „Werden diese an US-Dienste weitergeleitet?“
  • „Haben Sie einen TIA für alle Unterauftragsverarbeiter?“
  • „Können Sie EU-only-Routing garantieren?“

Auftragsverarbeitung & AVV

Nach Art. 28 DSGVO muss jeder Cloud-Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, einen schriftlichen Auftragsverarbeitungsvertrag (AVV) abschließen. Ohne AVV ist die gesamte Verarbeitung rechtswidrig — unabhängig davon, wie gut die technischen Maßnahmen sind.

Der AVV muss nach Art. 28 Abs. 3 DSGVO mindestens enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien der betroffenen Personen
  • Weisungsgebundenheit des Auftragsverarbeiters
  • Vertraulichkeitspflicht (Art. 28 Abs. 3 lit. b)
  • Technisch-organisatorische Maßnahmen nach Art. 32 (Anlage zum AVV)
  • Genehmigungspflicht für Unterauftragsverarbeiter (Art. 28 Abs. 2)
  • Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e)
  • Lösch- und Rückgabepflicht nach Ende der Leistung (Art. 28 Abs. 3 lit. g)
  • Audit- und Kontrollrecht (Art. 28 Abs. 3 lit. h)

Prüfpunkt: Bietet der KI-Anbieter einen AVV-Template auf seiner Website sofort an — oder müssen Sie ihn erst anfordern? Letzteres ist kein Deal-Breaker, aber ein Warnsignal für den Reifegrad des Compliance-Managements. Kein AVV verfügbar: sofort disqualifizieren.

Praktischer Hinweis für Ihren DSB: Der AVV muss vor Beginn der Verarbeitung abgeschlossen sein. Rückwirkend nachgezogen gilt als Verstoß. Stellen Sie sicher, dass der AVV-Abschluss Teil des Procurement-Prozesses für KI-Tools ist, nicht ein nachgelagerter Schritt.

Kein Training auf Kundendaten

Viele US-amerikanische KI-Anbieter behalten sich in den AGB das Recht vor, Nutzerdaten für Modellverbesserungen zu verwenden. Das ist datenschutzrechtlich problematisch, wenn dabei personenbezogene Daten verarbeitet werden — und ein Verstoß gegen den Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO.

Was Ihr Anbieter schriftlich zusagen muss:

  • Kein Training auf eingereichten Prompts, Dokumenten oder Zwischenergebnissen
  • Keine Weitergabe von Inferenz-Daten an Dritte für deren Zwecke
  • Opt-out-Option (besser: keine Nutzung ohne Opt-in) für jede Datennutzung über die Leistungserbringung hinaus
  • Klare Aussage in den AGB oder einem separaten Data Processing Addendum

Häufiger Fehler: Unternehmen prüfen die Hauptdienste des Anbieters auf Training-Opt-out, übersehen aber, dass der Anbieter Unterauftragsverarbeiter (z.B. cloud-basierte Vektordatenbanken) einsetzt, die eigene Training-Policies haben. Fragen Sie nach der vollständigen Unterauftragsverarbeiter-Liste.

Anforderungen: EU AI Act August 2026

Der EU AI Act (Verordnung (EU) 2024/1689, veröffentlicht 12. Juli 2024) tritt stufenweise in Kraft. Der vollständige Geltungsbeginn für Hochrisiko-KI und GPAI-Modelle ist der 2. August 2026.

Relevante Fristen:

  • 2. August 2025: Verbote für inakzeptable KI-Systeme (Art. 5) und Schulungspflichten für KI-Systemverantwortliche
  • 2. August 2026: Vollständige Anwendung auf Hochrisiko-KI-Systeme (Anhang III) und General-Purpose-AI-Modelle
  • 2. August 2027: Geltung für bestehende Hochrisiko-KI-Systeme, die vor August 2026 bereits im Einsatz waren

Was Mittelständler jetzt tun müssen

Auch wenn Ihr Unternehmen kein KI-System selbst entwickelt, sind Sie als Deployer (Betreiber) von KI-Systemen nach Art. 26 EU AI Act mit folgenden Pflichten konfrontiert:

1. KI-Inventar erstellen (jetzt)

Dokumentieren Sie alle eingesetzten KI-Systeme: Name, Anbieter, Zweck, betroffene Personen, Risikoklasse. Viele Unternehmen entdecken in dieser Übung, dass mehr KI genutzt wird als bekannt — oft „Shadow AI“ in einzelnen Abteilungen.

2. Risikoklassifizierung (bis Q3 2026)

  • Unakzeptable KI (Art. 5): sofort abschalten, falls im Einsatz
  • Hochrisiko-KI (Anhang III): vollständige Compliance bis August 2026
  • Begrenzt/Minimal-Risiko: Transparenzpflichten, dokumentieren

3. Konformitätsnachweise vom Anbieter anfordern (Q2 2026)

Für Hochrisiko-KI: technische Dokumentation, CE-Kennzeichnung, Konformitätsbewertung. Kein Anbieter kann nach August 2026 Hochrisiko-KI ohne diese Nachweise anbieten.

4. Beschäftigte informieren (Pflicht nach Art. 26 Abs. 7 EU AI Act)

Wo KI-Entscheidungen Beschäftigte betreffen (z.B. HR-Systeme), sind Mitarbeitervertretung und Beschäftigte zu informieren.

5. Grundrechte-Folgenabschätzung (GRFA) — für öffentliche Stellen und bestimmte Sektoren

Nach Art. 27 EU AI Act verpflichtend für öffentlich-rechtliche Deployer und private Betreiber in bestimmten Hochrisiko-Bereichen.

Hochrisiko-KI vs. General Purpose AI

| Kriterium | Hochrisiko-KI (Anhang III EU AI Act) | General Purpose AI (GPAI) |

|—|—|—|

| Beispiele | KI in HR-Entscheidungen (Einstellung, Entlassung), Kreditbewertung, medizinische Diagnostik, kritische Infrastruktur-Steuerung | Textgenerierung, Dokumentenanalyse, interne Prozessautomatisierung, Übersetzung |

| Pflichten Anbieter | CE-Kennzeichnung, techn. Dokumentation, Konformitätsbewertung, Marktüberwachung | Technische Dokumentation, Urheberrecht-Policy, Transparenz |

| Pflichten Deployer | Anbieter-Docs prüfen, GRFA, Mitarbeiter informieren, Logs führen | Nutzungsrichtlinien einhalten, Transparenz gegenüber Nutzern |

| Registrierungspflicht | EU-Datenbank (Art. 71) | Nein (außer systemische GPAI) |

| Typischer Mittelstand-Use-Case | Selten (nur bei Einsatz in HR, Finanzen mit Rechtswirkung) | Häufig — die meisten KI-Agenten fallen hier rein |

Praxiseinschätzung für typische Mittelstand-Use-Cases:

Die meisten KI-Agenten für interne Prozessautomatisierung (Buchhaltung, Dokumentenmanagement, interne Wissensdatenbank, Kundenkommunikation ohne automatisierte Entscheidungen) fallen in die Kategorie „begrenzt“ bis „minimal risk“. Dennoch gilt: Dokumentation und AVV sind Pflicht — und die Bereitschaft zur Höherstufung durch Behörden steigt mit dem Grad des Einsatzes.

Wie ki-agenten.shop DSGVO-Konformität sicherstellt

ki-agenten.shop ist Cultureteks KI-Agenten-Plattform für den DACH-Mittelstand. Die Plattform ist auf die spezifischen Compliance-Anforderungen deutscher und österreichischer Unternehmen ausgelegt — nicht nachgelagert optimiert, sondern von Beginn an darauf ausgerichtet.

EU-Rechenzentrum & Datensouveränität

  • Inferenz und Datenverarbeitung: Ausschließlich auf Servern in der EU (Deutschland)
  • Keine US-Weitergabe: Prompt-Daten werden nicht an OpenAI-API, Microsoft Azure US oder Google Cloud US weitergeleitet, es sei denn, der Kunde entscheidet sich explizit dafür und ein schriftlicher TIA liegt vor
  • Mandanten-Isolation: Vollständige Datentrennung zwischen verschiedenen Kundeninstanzen — keine Cross-Customer-Datenmischung in Vektordatenbanken, Caches oder Logs
  • Daten-Residenz-Nachweis: Technische Bestätigung der EU-Verarbeitung auf Anfrage schriftlich verfügbar
  • Datenlöschung: Vollständige Datenlöschung nach Vertragsende gemäß AVV; Löschnachweis auf Anfrage

NIS2-Kompatibilität

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555, in Deutschland umgesetzt als NIS2UmsuCG, in Kraft seit Oktober 2024) gilt für mittlere und große Unternehmen in kritischen Sektoren. Als KI-Dienstleister mit Unternehmen in regulierten Sektoren als Kunden adressiert ki-agenten.shop diese Anforderungen aktiv:

  • Risikomanagement-Maßnahmen (Art. 21 NIS2): Dokumentierte Sicherheitsmaßnahmen für Vertraulichkeit, Integrität und Verfügbarkeit; Sicherheitsaudits nach ISO 27001-Anforderungen
  • Lieferkettensicherheit (Art. 21 Abs. 2 lit. d NIS2): Alle Unterauftragsverarbeiter sind im AVV gelistet, geprüft und auf NIS2-Relevanz bewertet
  • Business Continuity (Art. 21 Abs. 2 lit. c NIS2): Backup-Konzept und Notfallwiederherstellungspläne dokumentiert
  • Incident-Response-Unterstützung: Protokolle und Templates, die Kunden bei der 24h-Erstmeldepflicht nach Art. 23 NIS2 unterstützen
  • Patch-Management: Regelmäßige Updates der eingesetzten Modelle und Infrastruktur-Komponenten; Change-Log verfügbar

Wichtig für NIS2-betroffene Unternehmen: Wenn Ihr Unternehmen selbst NIS2-reguliert ist (kritische Infrastruktur, Energie, Gesundheit, digitale Infrastruktur), muss Ihr KI-Anbieter Teil Ihrer Supply-Chain-Due-Diligence sein. ki-agenten.shop unterstützt Sie dabei mit einem ausgefüllten Vendor-Assessment-Formular für Ihre internen Audits.

Zertifizierungen & Nachweise

Die folgende Tabelle zeigt, welche Compliance-Dokumente ki-agenten.shop bereitstellt:

| Dokument | Verfügbarkeit | Hinweis |

|—|—|—|

| AVV nach Art. 28 DSGVO | Standard-Template sofort verfügbar | Inkl. Unterauftragsverarbeiter-Liste als Anlage |

| TOM-Beschreibung (Art. 32 DSGVO) | Als AVV-Anlage | Technisch-organisatorische Maßnahmen detailliert |

| Unterauftragsverarbeiter-Liste | Im AVV-Anhang | Mit Angabe der Verarbeitungsländer |

| VVT-Eintragstemplate | Für kundenseitiges Verarbeitungsverzeichnis | Vorabgefüllt für ki-agenten.shop-Verarbeitungen |

| Technische Dokumentation (EU AI Act) | Für eingesetzte Modelle und Agenten | Aktualisiert nach Modell-Updates |

| DSFA-Unterstützung | Auf Anfrage, im Onboarding | Screening-Checkliste für typische Use-Cases |

| NIS2-Vendor-Assessment | Auf Anfrage | Ausgefülltes Formular für Kundenaudits |

| Datenlösch-Nachweis | Bei Vertragsende | Schriftliche Bestätigung |

Hinweis: Keine der hier genannten Informationen ersetzt eine individuelle Rechtsberatung. Klären Sie Ihre spezifische Compliance-Situation mit einem auf IT-/Datenschutzrecht spezialisierten Anwalt.

Vergleich: Deutsche KI-Agenten-Plattformen

Der Markt für KI-Agenten-Plattformen mit DSGVO-Fokus ist jung. Folgende Anbieter werden von Mittelständlern im DACH-Raum häufig verglichen:

ki-agenten.shop vs. Langdock vs. patris vs. kamium

| Kriterium | ki-agenten.shop | Langdock | patris | kamium |

|—|—|—|—|—|

| Hauptfokus | KI-Agenten für Mittelstand-Prozesse (SAP, ERP, Dokumente) | LLM-Workspace für Teams (Chat, Suche, Workflows) | Prozessautomatisierung mit KI-Komponenten | KI-Assistent für Unternehmensanwender |

| EU-Hosting | ✅ Deutschland | ✅ EU | ✅ EU | ✅ EU |

| AVV sofort verfügbar | ✅ Ja | ✅ Ja | ✅ Ja | ⚠️ Auf Anfrage |

| SAP/ERP-Integration | ✅ Nativ im Produktkern | ❌ Nicht fokussiert | ⚠️ Individuell konfigurierbar | ❌ Nicht fokussiert |

| Multi-Agent-Orchestrierung | ✅ Kernfeature (mehrere Agenten, Handoffs) | ⚠️ Workflow-basiert, begrenzt | ⚠️ Begrenzt | ❌ Single-Agent |

| DSGVO-Onboarding | ✅ AVV + VVT-Template im Kickstart | ❌ Eigenverantwortung | ❌ Eigenverantwortung | ❌ Eigenverantwortung |

| NIS2-Vendor-Assessment | ✅ Bereitgestellt | ❌ Nicht explizit | ❌ Nicht explizit | ❌ Nicht explizit |

| No-Training-Garantie | ✅ Schriftlich im AVV | ✅ Laut Doku | ✅ Laut Doku | ⚠️ Unklar aus öffentlicher Doku |

| Preismodell | Ab €25.000 Projekteinstieg (Kickstart) | SaaS ab ca. €99/Nutzer/Monat | Projektbasiert (Preise auf Anfrage) | SaaS, Preise auf Anfrage |

| Zielgruppe | Mittelstand 50–500 MA, komplexe Prozesse | Teams aller Größen, Chat-first | KMU mit Prozessdigitalisierungsbedarf | Mittelstand, Assistenz-Use-Cases |

Einschränkung: Diese Tabelle basiert auf öffentlich zugänglichen Informationen und direkten Anbieter-Aussagen (Stand April 2026). Anbieter-Angaben und Produktfeatures können sich ändern. Verifizieren Sie alle compliance-kritischen Anforderungen direkt beim Anbieter, bevor Sie eine Kaufentscheidung treffen.

Wann ist ki-agenten.shop die richtige Wahl:

  • Sie haben konkrete, repetitive Kernprozesse (Rechnungsprüfung, Auftragserfassung, Lieferanten-Kommunikation, internes Reporting), die KI-Agenten vollständig übernehmen sollen
  • Ihr ERP oder SAP muss mit dem KI-System kommunizieren
  • Sie wollen DSGVO- und NIS2-Compliance von Anfang an vollständig dokumentiert, nicht als Nacharbeit
  • Ihr DSB oder Ihre Rechtsabteilung erwartet einen vollständigen AVV mit TOM-Beschreibung zum Start

Wann sind andere Anbieter möglicherweise besser:

  • Sie suchen primär ein KI-gestütztes Team-Chat-Tool ohne tiefe Prozessintegration → Langdock
  • Ihr Fokus liegt auf einem einfachen KI-Assistenten für Einzelanwender → kamium oder ähnliche
  • Sie haben ein laufendes Prozessautomatisierungsprojekt und suchen eine KI-Komponente → patris evaluieren

FAQ

Die folgenden Fragen und Antworten sind für JSON-LD FAQPage Schema-Markup strukturiert.

Ist ki-agenten.shop DSGVO-konform?

Ja. ki-agenten.shop verarbeitet Daten ausschließlich auf EU-Servern in Deutschland, schließt standardmäßig einen AVV nach Art. 28 DSGVO ab und gibt keine Kundendaten für Modell-Training weiter. Die vollständige Compliance-Dokumentation (AVV, TOM-Beschreibung, Unterauftragsverarbeiter-Liste, technische Dokumentation) ist sofort verfügbar — ohne gesonderte Anfrage.

Wo werden meine Daten gespeichert?

Alle Kundendaten werden in deutschen Rechenzentren gespeichert und verarbeitet. Es findet keine Weiterleitung an US-amerikanische Dienste statt, es sei denn, der Kunde entscheidet sich explizit dafür — und in diesem Fall wird vor Beginn ein Transfer Impact Assessment (TIA) nach Art. 44 DSGVO durchgeführt und schriftlich dokumentiert.

Was kostet DSGVO-konforme KI für den Mittelstand?

DSGVO-konforme KI-Agenten-Lösungen beginnen bei ki-agenten.shop ab €25.000 für ein Kickstart-Projekt (1 Use-Case, 4 Wochen Implementierung, vollständige DSGVO-Dokumentation inklusive). SaaS-only-Lösungen anderer Anbieter starten bei ca. €50–€200 pro Nutzer/Monat, erfordern aber eigene DSGVO-Compliance-Arbeit. Der externe Aufwand für rechtliche Prüfung, TIA und DSFA bei Eigenimplementierung mit US-Cloud-Diensten wird von Kanzleien auf €5.000–€15.000 einmalig geschätzt — hinzu kommt laufender Prüfaufwand.

Welche DSGVO-Artikel sind bei KI-Agenten im Unternehmen relevant?

Die wichtigsten Artikel für den betrieblichen KI-Einsatz:

  • Art. 5 DSGVO: Grundsätze (Zweckbindung, Datenminimierung, Speicherbegrenzung)
  • Art. 6 DSGVO: Rechtsgrundlage der Verarbeitung — bei Mitarbeiterdaten oft Art. 88 DSGVO i.V.m. § 26 BDSG
  • Art. 25 DSGVO: Privacy by Design und by Default
  • Art. 28 DSGVO: Auftragsverarbeitungsvertrag (AVV) — Pflicht vor Verarbeitungsbeginn
  • Art. 30 DSGVO: Verzeichnis der Verarbeitungstätigkeiten — KI-Systeme müssen eingetragen werden
  • Art. 32 DSGVO: Technisch-organisatorische Maßnahmen
  • Art. 35 DSGVO: DSFA bei hochrisiko Verarbeitungen
  • Art. 44–49 DSGVO: Drittstaatenübermittlung — relevant bei jedem US-Cloud-Einsatz

Was ist der Unterschied zwischen DSGVO-Konformität und EU AI Act Compliance?

DSGVO schützt personenbezogene Daten — sie gilt bereits vollständig und muss heute eingehalten werden. Der EU AI Act (Verordnung (EU) 2024/1689) schützt zusätzlich vor den spezifischen Risiken von KI-Systemen und tritt vollständig ab August 2026 in Kraft. Beide Regelwerke ergänzen sich: DSGVO regelt den Umgang mit Daten in KI-Systemen, der EU AI Act regelt die Sicherheit, Transparenz und Dokumentation der KI-Systeme selbst. Ein DSGVO-konformer KI-Anbieter ist nicht automatisch EU-AI-Act-konform — fragen Sie nach beiden Nachweisen.

Brauche ich für KI-Agenten eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA nach Art. 35 DSGVO ist verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Typische DSFA-Auslöser im KI-Kontext:

  • Systematische Auswertung von Mitarbeiterdaten durch KI
  • Automatisierte Entscheidungen mit Rechtswirkung (Art. 22 DSGVO), z.B. KI-gestützte Kreditentscheidungen
  • Umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheit, Biometrie)
  • Neue Technologie mit unbekanntem Risikoprofil

Für interne Prozessautomatisierung ohne Personenbezug — zum Beispiel automatisierte Rechnungsverarbeitung bei der ausschließlich Unternehmens- und keine Mitarbeiterdaten verarbeitet werden — ist eine DSFA in der Regel nicht erforderlich. Eine kurze Screening-Checkliste mit Ihrem DSB klärt das in 30 Minuten.

Kann ich einen KI-Agenten einsetzen, der GPT-4 oder Claude verwendet, und dabei DSGVO-konform bleiben?

Ja — unter bestimmten Voraussetzungen. Der Schlüssel liegt in der Architektur: Der KI-Anbieter darf die Modell-API nicht direkt mit Ihren Daten aufrufen, ohne eine DSGVO-konforme Zwischenschicht. ki-agenten.shop kann auf Basis europäischer Modell-Deployments (Azure OpenAI EU, Anthropic-Hosting in EU) oder als On-Premise-Installation arbeiten. In diesem Fall wird der Modellanbieter als Unterauftragsverarbeiter im AVV gelistet, und ein TIA stellt die Rechtmäßigkeit des Datentransfers sicher. Entscheidend: Die Architektur, nicht allein das Modell, bestimmt die DSGVO-Konformität.

Was passiert mit meinen Daten nach Vertragsende?

Nach Art. 28 Abs. 3 lit. g DSGVO ist der Auftragsverarbeiter verpflichtet, nach Ende der Leistung alle personenbezogenen Daten zu löschen oder zurückzugeben. ki-agenten.shop löscht alle Kundendaten innerhalb von 30 Tagen nach Vertragsende und stellt auf Anfrage einen schriftlichen Löschnachweis aus.

Jetzt DSGVO-konforme KI-Agenten einführen

Sie haben konkrete Prozesse, die Sie automatisieren möchten — und wollen dabei keine Compliance-Risiken eingehen. ki-agenten.shop begleitet Sie von der Use-Case-Definition bis zum Go-live, inklusive vollständiger DSGVO-Dokumentation.

Was der nächste Schritt ist:

1. 30-Minuten-Scope-Call

Wir analysieren gemeinsam Ihren Prozess und zeigen, ob und wie KI-Agenten helfen können. Kein Verkaufsgespräch — ein technisches Erstgespräch.

2. DSGVO-Compliance-Check

Wir gehen gemeinsam durch AVV, TIA und VVT-Einträge. Sie erhalten sofort den AVV-Entwurf — damit Ihr DSB von Anfang an eingebunden ist, nicht am Ende.

3. Proof of Concept in 4 Wochen

Ein realer Use-Case, live in Ihrer Umgebung. Festpreis ab €25.000 für das Kickstart-Projekt. Kein unendlicher Evaluationsprozess.

→ Scope-Call buchen | → Unsere Leistungen im Überblick | → Mehr zu DSGVO & KI in unserem Blog

Letzte Aktualisierung: April 2026 | Herausgeber: Culturetek Pte. Ltd. | Kanonische URL: ki-agenten.shop/dsgvo-konforme-ki-agenten

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Datenschutzberatung.

Ist Ihre KI-Plattform bereit für DSGVO, NIS2 und den EU AI Act?

30-minütiges Gespräch: Wir prüfen Ihren Anbieter auf AVV, EU-Hosting und EU-AI-Act-Konformität.

Gespräch vereinbaren →