KI:KUBE

Compliance · DSGVO

Was DSGVO für Cloud-KI bedeutet, und warum lokale Verarbeitung mit KI:KUBE die Diskussion entschärft.

Schrems II hat die Lage für US-Transfers verschärft; das EU-US Data Privacy Framework (seit Juli 2023) entschärft sie teilweise, bleibt aber rechtspolitisch umstritten. Wir zeigen, wo die Cloud-Krücken brechen.

Ausgangslage

Schrems II (EuGH C-311/18, 16.07.2020)

Der EuGH hat das Privacy-Shield-Abkommen für ungültig erklärt. Übermittlungen personenbezogener Daten in die USA sind nur dann zulässig, wenn zusätzliche Schutzmaßnahmen sicherstellen, dass das Schutzniveau der DSGVO eingehalten wird. Die FISA §702 erlaubt US-Behörden den Zugriff auf in den USA gespeicherte Daten: mit dieser Rechtslage ist eine echte Gleichwertigkeit faktisch nicht herstellbar.

Standardvertragsklauseln

Was sie nicht leisten

Standardvertragsklauseln (SCC, neues Modul der EU-Kommission 2021) verschieben das Problem auf die vertragliche Ebene. Sie binden den Auftragnehmer, sie binden aber nicht die NSA. Die deutschen Aufsichtsbehörden haben in mehreren Stellungnahmen klargestellt: SCC alleine reichen nicht, es müssen technische Zusatzmaßnahmen hinzukommen (Verschlüsselung, bei der der Anbieter den Schlüssel nicht hat).

Bei generativer KI ist das technisch nicht umsetzbar: der Cloud-Anbieter muss den Klartext sehen, sonst kann er ihn nicht inferieren.

Die strukturelle Lösung

Ihre Daten bleiben in Ihrem Netz

Bei der lokalen Inferenz findet keine Übermittlung an einen externen Inferenz-Anbieter statt: die Daten werden auf Hardware in Ihrem Netzwerk verarbeitet. Damit entfallen die typischen Schrems-II-Fragen für die Inferenz ebenso wie ein Auftragsverarbeitungsvertrag mit einem Inferenz-Anbieter.

Was Sie weiterhin müssen

DSGVO bleibt, nur bei Ihnen

  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO): die Verarbeitung mit KI:KUBE wird dort eingetragen
  • Datenschutz-Folgenabschätzung (Art. 35) für Hochrisiko-Verarbeitungen: wir liefern Architektur-Bausteine
  • Technisch-organisatorische Maßnahmen (Art. 32): die KI:KUBE wird in einer sicher konfigurierten Grundeinstellung ausgeliefert; Ihr Netz-, Backup- und Zugangs­konzept liegt bei Ihnen
  • Betroffenenrechte (Art. 15 ff.): eingegebene Daten sind Ihre Daten; Auskunft und Löschung erfolgen über Ihre eigenen Systeme

Was die Aufsichtsbehörden sagen

Stellungnahmen

Die Datenschutzkonferenz (DSK) hat in mehreren Beschlüssen den Einsatz von Cloud-KI in der öffentlichen Verwaltung kritisch eingeordnet. Das BSI und die Bundesbeauftragte für den Datenschutz haben sich vergleichbar geäußert. Die Tendenz: lokale Verarbeitung vermeidet viele dieser Restrisiken.

Disclaimer: Beispielhafte Darstellung nach bestem Wissen, Stand 06/2026. Keine Rechtsberatung.

Sehen Sie KI:KUBE an einem Ihrer eigenen Dokumente.

Demo anfragen