Auf den Punkt: KI-gestützte Prozessautomatisierung lässt sich in Deutschland vollständig DSGVO-konform betreiben — wenn man von Anfang an die richtigen Fragen stellt. Wer Mandantendaten, Personalakten oder Kundeninfos automatisiert verarbeitet, muss vor allem auf drei Punkte achten: Wo läuft die Infrastruktur? Wo läuft das KI-Modell? Wer dokumentiert den Datenfluss? Dieser Leitfaden zeigt, woran Sie einen seriösen Anbieter erkennen — und welche Antworten Sie konkret hören sollten.

Warum DSGVO bei Automatisierung kein Nebenthema ist

Klassische Software verarbeitet Daten auf Ihren eigenen Systemen — der Datenfluss endet an der Firmen-IP. Automatisierungs-Workflows funktionieren anders: Sie rufen oft externe KI-Modelle, OCR-Dienste oder Cloud-Datenbanken auf. Dabei verlassen Daten unter Umständen Ihr Unternehmen — und damit auch den Bereich, in dem Sie unmittelbare Kontrolle haben. Drei Risiken müssen Sie beherrschen:

Alle drei Risiken sind technisch beherrschbar — vorausgesetzt, der Anbieter denkt sie von Anfang an mit und macht das transparent. Genau hier trennt sich die Spreu vom Weizen.

Die drei Mindestbedingungen

Aus der Praxis: Wenn Sie mit einem Anbieter sprechen und die folgenden drei Punkte nicht klar beantwortet bekommen, sind Sie aus DSGVO-Sicht im Risiko.

✅ Bedingung 1 — Hosting in Deutschland oder verifizierter EU-Standort

Die gesamte Workflow-Infrastruktur (Server, Datenbank, Archive) muss physisch in der EU stehen — idealerweise in Deutschland. Anbieter, die „in der Cloud" laufen, ohne den konkreten Standort zu benennen, sind eine Black Box. Fragen Sie konkret: Welcher Provider (Hetzner, IONOS, STRATO, OVH)? Welches Rechenzentrum (Falkenstein, Nürnberg, Frankfurt, Karlsruhe)? Gibt es ISO 27001-Zertifizierung?

✅ Bedingung 2 — KI-Modell aus der EU oder mit EU-Datenresidenz

Für die KI-Komponente reichen die Hosting-Standorte allein nicht: Auch das verwendete KI-Modell muss EU-konform laufen. Im Einsatz bewährt haben sich Mistral AI (Frankreich), Aleph Alpha (Heidelberg) und für moderate Sensibilität Azure OpenAI in der EU-Region (Frankfurt oder Schweden). Wichtig: Modell-Logs müssen deaktiviert sein, kein Training mit Ihren Daten.

✅ Bedingung 3 — AVV, Verarbeitungsverzeichnis und Datenfluss-Diagramm

Ein seriöser Anbieter liefert vor dem Go-Live drei Dokumente: Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, eine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) und ein visuelles Datenfluss-Diagramm, das in Ihr Verarbeitungsverzeichnis übernommen werden kann. Wer das auf Nachfrage erst „besorgen" muss, hat keine Routine im Umgang mit der DSGVO.

Die KI-Anbieter-Frage konkret beantwortet

Wir bekommen sie in jedem Erstgespräch: „Welchen KI-Anbieter setzt ihr ein?" Die ehrliche Antwort hängt von der Sensibilität Ihrer Daten ab. Hier unsere praktische Einordnung:

Anbieter Wo verarbeitet Empfohlen für
Mistral AIFrankreich (EU)Mandantendaten, Personalakten, Gesundheits- und Rechtsdokumente
Aleph AlphaHeidelberg (DE)Höchstsensible Bereiche: Behörden, Verteidigung, regulierte Branchen
Azure OpenAI (EU)Frankfurt / SchwedenPragmatischer Mittelweg für Mittelstand
Anthropic Claude (Enterprise)EU-Datenresidenz mit SCCKomplexe Analysen mit nur mäßig sensiblen Daten
OpenAI (Standard)USANur für anonymisierte oder nicht-personenbezogene Daten

Bei BTS Intelligence ist die Standardarchitektur: Workflow-Infrastruktur in deutschen Rechenzentren, KI-Modell aus der EU, alle Drittland-Aufrufe vermieden oder durch Pseudonymisierung abgesichert. Wo Mandantendaten oder ähnlich sensible Informationen im Spiel sind, ist Mistral oder Aleph Alpha der Default — nicht weil es Mode ist, sondern weil es 2026 die saubere Lösung ist.

Vier Patterns, die im Alltag schützen

Hosting und Modell sind die Architektur. Den Alltag entscheiden konkrete Patterns, die in jedem Workflow eingebaut sein sollten:

Pattern 1: Pseudonymisierung vor jedem externen Aufruf

Bevor ein Beleg, eine E-Mail oder ein Dokument an ein KI-Modell geschickt wird, werden personenbezogene Daten durch Platzhalter ersetzt: aus „Frau Maria Huber, Münchner Str. 12" wird „PERSON_1, ADRESSE_1". Die KI arbeitet mit den Platzhaltern, die Antwort wird auf dem eigenen Server wieder rückübersetzt. So verlässt der Klarname nie das Unternehmen.

Pattern 2: No-Training und No-Logs als API-Default

Alle ernstzunehmenden KI-Anbieter erlauben, per Header oder API-Parameter zu erzwingen, dass Eingaben nicht für Training oder Logs verwendet werden. Diese Einstellung ist in einem seriösen Setup von Anfang an aktiv — auch wenn der Default des Anbieters bereits konservativ ist.

Pattern 3: Audit-Trail auf eigenem Server

Jeder Datenfluss wird mit Zeitstempel, beteiligten Systemen und betroffenem Datenfeld geloggt — auf Ihrem deutschen Server, nicht in der Cloud des KI-Anbieters. Damit können Sie bei Auskunftsanfragen nach Art. 15 DSGVO exakt nachweisen, was wann mit welchen Daten passiert ist.

Pattern 4: Minimaler Datenfluss

Das vielleicht wichtigste Pattern: Nicht alles, was technisch durchgeschickt werden könnte, sollte auch durchgeschickt werden. Wenn der KI für eine Klassifikation nur der Betreff einer Mail genügt, sollte nicht der ganze E-Mail-Body durchgegeben werden. Datensparsamkeit ist ein DSGVO-Grundsatz — und gleichzeitig die effizienteste Sicherheitsmaßnahme.

🛡 DSGVO-Check

Ist Ihre aktuelle Automatisierung wirklich DSGVO-konform?

Wir prüfen kostenlos Ihren Datenfluss und benennen ehrlich, wo Sie nachschärfen müssen. 30 Minuten am Telefon — auch wenn Sie nicht mit uns weiterarbeiten.

Kostenlosen DSGVO-Check buchen → Leistungen ansehen

Kostenlos & unverbindlich · Direkt mit den Gründern · 30 Min.

Was Sie beim Anbieter konkret abfragen sollten

Drucken Sie diese Liste aus und nehmen Sie sie ins nächste Gespräch mit einem Automatisierungs-Anbieter mit. Wer die Fragen klar beantwortet, ist seriös. Wer ausweicht, hat ein Problem.

  1. Wo läuft die Workflow-Software physisch? (Provider, Rechenzentrum-Standort)
  2. Welche KI-Anbieter werden im Workflow eingebunden? Vollständige Liste, nicht „eine namhafte KI".
  3. Werden meine Daten zum Training von KI-Modellen verwendet? Schriftlich bestätigen lassen.
  4. Wie lange werden Daten im Workflow gespeichert? Klare Löschfristen verlangen.
  5. Wer hat Zugriff auf meine Workflows? Mitarbeitende beim Anbieter, Subunternehmer, Praktikanten?
  6. Gibt es einen AVV nach Art. 28 DSGVO? Vor Vertragsabschluss aushändigen lassen.
  7. Wer trägt im Fall einer Datenpanne welche Verantwortung? Im AVV regeln.
  8. Wie unterstützen Sie Auskunftsanfragen nach Art. 15 DSGVO? Audit-Trail liefern lassen.
  9. Was passiert mit meinen Daten, wenn ich die Zusammenarbeit beende? Löschung & Export vereinbaren.
  10. Verfügen Sie über ISO 27001 oder vergleichbare Zertifikate? Bei sensiblen Branchen relevant.

Branchen-spezifische Stolpersteine

Manche Branchen haben über die DSGVO hinausgehende Pflichten. Das sind die häufigsten Spezialfälle:

Branche Zusätzliche Pflicht Konsequenz für Workflow
SteuerkanzleienBerufsgeheimnis (§ 203 StGB)Pseudonymisierung verpflichtend, EU-Modell zwingend
RechtsanwaltskanzleienAnwaltsverschwiegenheitWie Kanzleien — plus AVV mit der Kammer abstimmen
Arzt- und TherapiepraxenPatientendaten / § 203 StGBOn-Premise oder zertifiziertes EU-Hosting, DSFA Pflicht
ImmobilienmaklerGwG-Pflichten, sensible IdentifikationsdatenSchwärzungs-Workflows mandatengenau dokumentieren
PersonalabteilungenBeschäftigtendatenschutz (§ 26 BDSG)Strikte Datenminimierung, Betriebsrat einbinden

Wie BTS Intelligence das in Kundenprojekten umsetzt

Bei jedem Projekt durchlaufen wir vor der Implementierung eine kurze DSGVO-Checkliste mit dem Kunden:

  1. Welche personenbezogenen Daten fließen durch den Workflow?
  2. Welche Rechtsgrundlage gilt (Vertrag, Einwilligung, berechtigtes Interesse)?
  3. Welche externen Dienste werden aufgerufen — und gibt es jeweils einen AVV?
  4. Welche Pseudonymisierung ist sinnvoll?
  5. Wer braucht Zugriff auf welche Logs?

Daraus entsteht ein konkretes Datenfluss-Diagramm, das in Ihr Verarbeitungsverzeichnis übernommen werden kann. Bei Kanzleien und Praxen liefern wir auf Wunsch zusätzlich eine vorgefertigte DSFA-Vorlage. AVV und TOMs sind Teil der Standard-Einrichtung — nicht optional.

Fazit

DSGVO-konforme Automatisierung ist 2026 kein Kompromiss mehr — vorausgesetzt, sie wird von Anfang an mitgedacht. Deutsches Hosting, EU-KI-Modelle und ein klares Datenfluss-Pattern reichen für 90 % aller Mittelstands-Szenarien. Für regulierte Branchen ergänzen wir Audit-Trails, On-Premise-Setups und DSFA-Vorlagen. Wer Ihnen erzählt, das sei „zu kompliziert" oder „zu teuer", will entweder Aufwand sparen — oder hat es selbst nicht im Griff.

Mehr zu unserer Arbeitsweise auf Leistungen und Preise. Für die regionale Sicht: KI-Automatisierung Ingolstadt, München und weitere Bayern-Städte.

Tufan Enes Yilmaz

Geschäftsführer & Gründer von BTS Intelligence. Begleitet Mittelstand, Steuerkanzleien und regulierte Branchen in Bayern bei der DSGVO-konformen Einführung von Prozessautomatisierung — inklusive AVV, Verarbeitungsverzeichnis und (auf Wunsch) DSFA.

← Alle Ratgeber DSGVO in Steuerkanzleien → Was kostet das?