Zurück zum Blog
Datenschutz
Praxis

Drittlandtransfer bei KI: Wenn Daten die EU verlassen

ChatGPT, Gemini, Claude — die meisten KI-Dienste verarbeiten Daten in den USA. Was bedeutet das für den DSGVO-Drittlandtransfer? Ein Praxis-Leitfaden.

KCT
KI Comply TeamKI-Compliance Experten
2. April 20255 Min. Lesezeit
Drittlandtransfer bei KI: Wenn Daten die EU verlassen

Drittlandtransfer bei KI: Wenn Daten die EU verlassen

Das Wichtigste in Kürze: Wer KI-Dienste wie ChatGPT, Gemini oder Claude im Unternehmen einsetzt, überträgt in den meisten Fällen personenbezogene Daten in die USA — und damit in ein Drittland im Sinne der Art. 44-49 VO (EU) 2016/679 (DSGVO). Der Drittlandtransfer ist nur zulässig, wenn ein geeigneter Transfermechanismus besteht: das EU-US Data Privacy Framework (DPF), Standardvertragsklauseln (SCC) oder eine Ausnahme nach Art. 49 DSGVO. Zusätzlich verlangt die Rechtsprechung des EuGH seit Schrems II (C-311/18) ein Transfer Impact Assessment (TIA), das die Wirksamkeit der Schutzmaßnahmen im Empfängerland bewertet. Dieser Leitfaden erklärt die drei Transfermechanismen, bewertet den aktuellen Stand des DPF, zeigt die TIA-Anforderungen und gibt Ihnen eine praktische 6-Schritte-Checkliste an die Hand.

Inhaltsverzeichnis

  1. Warum Drittlandtransfer bei KI besonders relevant ist
  2. Die drei Transfermechanismen im Überblick
  3. EU-US Data Privacy Framework: Status und Risiken
  4. Transfer Impact Assessment (TIA)
  5. KI-Anbieter im Vergleich: Serverstandort und Transfermechanismus
  6. Praktische Checkliste: Drittlandtransfer in 6 Schritten absichern
  7. Häufig gestellte Fragen (FAQ)
  8. Nächste Schritte

Warum Drittlandtransfer bei KI besonders relevant ist {#warum-relevant}

Generative KI hat einen geographischen Schwerpunkt: Die mit Abstand leistungsfähigsten Modelle stammen von US-amerikanischen Unternehmen. OpenAI (ChatGPT), Google (Gemini), Anthropic (Claude), Meta (Llama) und Microsoft (Copilot) haben ihren Sitz in den Vereinigten Staaten. Selbst wenn einzelne Anbieter europäische Rechenzentren betreiben, fließen Daten häufig für Training, Monitoring, Abuse-Detection oder Support-Zwecke in die USA zurück.

Das ist datenschutzrechtlich hochrelevant. Die DSGVO behandelt die Übermittlung personenbezogener Daten an Empfänger in Drittländern — also Staaten außerhalb des EWR — als eigenständiges Risiko, das über eine gesonderte Rechtsgrundlage abgesichert werden muss. Die Rechtsgrundlage für die Verarbeitung (z. B. Art. 6 Abs. 1 lit. f DSGVO) allein genügt nicht. Es braucht zusätzlich einen Transfermechanismus nach Kapitel V der DSGVO (Art. 44-49).

Die drei zentralen Probleme bei KI und Drittlandtransfer

1. Datenvolumen und Datenvielfalt: KI-Dienste verarbeiten typischerweise große Mengen an Eingabedaten (Prompts), die personenbezogene Daten enthalten können — von Mitarbeiternamen über Kundenadressen bis hin zu sensiblen Geschäftsinformationen. Je umfangreicher die Nutzung, desto größer das Transfervolumen.

2. Intransparente Datenflüsse: Viele KI-Anbieter dokumentieren ihre Datenflüsse nur unzureichend. Wo genau die Inferenz stattfindet, ob Prompts gespeichert werden und ob Sub-Auftragsverarbeiter in weiteren Drittländern sitzen, ist oft schwer nachzuvollziehen.

3. Zugriffsmöglichkeiten US-amerikanischer Behörden: Seit Schrems II ist bekannt, dass US-Überwachungsgesetze wie Section 702 FISA und Executive Order 12333 europäischen Datenschutzstandards nicht genügen. Das EU-US Data Privacy Framework soll dieses Problem lösen — aber seine Haltbarkeit ist umstritten.

Die drei Transfermechanismen im Überblick {#transfermechanismen}

Art. 44 VO (EU) 2016/679 legt den Grundsatz fest: Personenbezogene Daten dürfen nur in ein Drittland übermittelt werden, wenn der Verantwortliche oder Auftragsverarbeiter die Bedingungen der Art. 44 bis 49 einhält. In der Praxis kommen für KI-Dienste drei Mechanismen in Betracht.

1. Angemessenheitsbeschluss — insbesondere das EU-US Data Privacy Framework (DPF)

Rechtsgrundlage: Art. 45 VO (EU) 2016/679

Die Europäische Kommission kann feststellen, dass ein Drittland ein angemessenes Schutzniveau bietet. Existiert ein solcher Angemessenheitsbeschluss, dürfen Daten ohne weitere Genehmigung in dieses Land übermittelt werden — vergleichbar mit einer Übertragung innerhalb des EWR.

Für die USA gilt seit dem 10. Juli 2023 der Angemessenheitsbeschluss C(2023) 4745, der das EU-US Data Privacy Framework (DPF) als Grundlage nimmt. Allerdings: Dieser Beschluss gilt nur für Transfers an US-Unternehmen, die sich beim US Department of Commerce auf die DPF-Liste haben zertifizieren lassen. Ist ein KI-Anbieter nicht DPF-zertifiziert, können Sie sich nicht auf den Angemessenheitsbeschluss stützen.

Vorteil: Einfachste Lösung — keine SCC, kein TIA erforderlich (solange die DPF-Zertifizierung des Empfängers gültig ist).

Nachteil: Abhängig von der politischen und gerichtlichen Haltbarkeit des DPF (dazu gleich mehr).

2. Standardvertragsklauseln (SCC)

Rechtsgrundlage: Art. 46 Abs. 2 lit. c VO (EU) 2016/679; Durchführungsbeschluss (EU) 2021/914

Standardvertragsklauseln sind von der Europäischen Kommission genehmigte Vertragsmuster, die der Datenexporteur (Ihr Unternehmen) und der Datenimporteur (der KI-Anbieter) unterzeichnen. Die aktuellen SCC vom Juni 2021 bestehen aus einem modularen Aufbau mit vier Modulen:

  • Modul 1: Verantwortlicher → Verantwortlicher
  • Modul 2: Verantwortlicher → Auftragsverarbeiter (typisch für die meisten KI-Dienste)
  • Modul 3: Auftragsverarbeiter → Unter-Auftragsverarbeiter
  • Modul 4: Auftragsverarbeiter → Verantwortlicher

Die meisten KI-Anbieter integrieren SCC bereits in ihre Data Processing Agreements (DPA). OpenAI, Google, Anthropic und Microsoft bieten standardmäßig SCC nach Modul 2 an. Entscheidend ist aber: Seit Schrems II reichen SCC allein nicht mehr aus. Sie müssen ergänzend ein Transfer Impact Assessment durchführen und gegebenenfalls zusätzliche Schutzmaßnahmen (Supplementary Measures) implementieren.

Vorteil: Universell einsetzbar, nicht auf ein bestimmtes Land beschränkt. Dient als Backup, falls das DPF wegfallen sollte.

Nachteil: Erfordert zwingend ein TIA. Ohne dokumentierte Risikobewertung sind SCC nicht compliant.

3. Ausnahmen nach Art. 49 DSGVO

Rechtsgrundlage: Art. 49 VO (EU) 2016/679

Art. 49 enthält Ausnahmeregelungen für Einzelfälle — etwa die ausdrückliche Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a) oder die Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 lit. b). Diese Ausnahmen sind jedoch eng auszulegen und taugen nicht als Grundlage für systematische, wiederholte Transfers — wie sie beim regelmäßigen Einsatz eines KI-Dienstes typischerweise vorliegen.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien 2/2018 klargestellt, dass Art. 49 keine Alternative zu den regulären Transfermechanismen sein darf. Für den betrieblichen KI-Einsatz scheidet Art. 49 als primäre Grundlage daher regelmäßig aus.

Vorteil: Kann in Ausnahmefällen helfen (z. B. einmalige Nutzung, explizite Einwilligung für einen konkreten Vorgang).

Nachteil: Nicht geeignet für systematische Nutzung von KI-Diensten im Unternehmensalltag.

EU-US Data Privacy Framework: Status und Risiken {#dpf}

Das DPF ist derzeit der bequemste Transfermechanismus für den Datenaustausch mit US-KI-Anbietern. Aber seine Geschichte mahnt zur Vorsicht.

Die Vorgeschichte: Safe Harbor und Privacy Shield

Das DPF ist bereits der dritte Anlauf für ein transatlantisches Datenschutzabkommen:

  • Safe Harbor (2000-2015): Vom EuGH in Schrems I (C-362/14) für ungültig erklärt, weil die US-Massenüberwachung kein angemessenes Schutzniveau gewährleistete.
  • Privacy Shield (2016-2020): Vom EuGH in Schrems II (C-311/18) aus denselben Gründen aufgehoben — ergänzend um die Feststellung, dass auch SCC einer Einzelfallprüfung bedürfen.
  • Data Privacy Framework (seit Juli 2023): Basiert auf Executive Order 14086, die neue Verhältnismäßigkeitsanforderungen und einen Rechtsschutzweg (Data Protection Review Court, DPRC) für EU-Bürger einführt.

Was das DPF verbessert hat

Im Vergleich zum Privacy Shield adressiert das DPF tatsächlich einige der vom EuGH kritisierten Punkte:

  • Verhältnismäßigkeitsprinzip: Executive Order 14086 verpflichtet US-Geheimdienste, Signalaufklärung auf das „notwendige und verhältnismäßige" Maß zu beschränken.
  • Unabhängiger Rechtsschutz: Der DPRC ist ein zweistufiges Gremium, bei dem EU-Bürger Beschwerden über unrechtmäßige Überwachung einreichen können.
  • Jährliche Überprüfung: Die Europäische Kommission überprüft die Funktionsweise des DPF regelmäßig.

Warum das DPF auf wackligen Füßen steht — „Schrems III"

Trotz der Verbesserungen gibt es erhebliche Zweifel an der Dauerhaftigkeit des DPF:

1. Klagevorbereitung durch NOYB: Die Organisation NOYB (None of Your Business) von Max Schrems hat angekündigt, auch den dritten Angemessenheitsbeschluss vor dem EuGH anzufechten. Die Argumentation: Executive Order 14086 ist ein einseitiger Akt der US-Exekutive, der jederzeit vom Präsidenten widerrufen werden kann — kein Gesetz mit parlamentarischer Legitimation.

2. Section 702 FISA: Die im April 2024 verlängerte Section 702 des Foreign Intelligence Surveillance Act erlaubt weiterhin die anlasslose Massenüberwachung nicht-US-amerikanischer Personen. Ob die Einschränkungen aus Executive Order 14086 in der Praxis wirksam durchgesetzt werden, ist unklar.

3. Politische Unwägbarkeiten: Das DPF basiert auf einer Executive Order, die ein späterer US-Präsident jederzeit ändern oder aufheben könnte. Politische Kurswechsel in den USA könnten das gesamte Framework über Nacht destabilisieren.

Praktische Konsequenz: Doppelte Absicherung

Unternehmen, die sich ausschließlich auf das DPF verlassen, riskieren im Falle einer Annullierung durch den EuGH den sofortigen Verlust ihres Transfermechanismus — wie es beim Privacy Shield geschah. Die dringende Empfehlung lautet daher: Sichern Sie den Drittlandtransfer parallel über SCC ab, auch wenn das DPF aktuell gültig ist. So haben Sie bei einem Wegfall des DPF bereits einen funktionsfähigen Backup-Mechanismus.

Transfer Impact Assessment (TIA) {#tia}

Seit Schrems II verlangt der EuGH, dass Datenexporteure vor der Nutzung von Standardvertragsklauseln eine Einzelfallbewertung durchführen, ob das Empfängerland ein im Wesentlichen gleichwertiges Schutzniveau bietet. Diese Bewertung wird als Transfer Impact Assessment (TIA) bezeichnet.

Wann ist ein TIA erforderlich?

Ein TIA ist zwingend erforderlich, wenn Sie sich auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder Binding Corporate Rules (Art. 47 DSGVO) als Transfermechanismus stützen. Bei einem gültigen Angemessenheitsbeschluss (DPF) ist kein TIA notwendig — allerdings empfehlen wir aus den oben genannten Gründen, ein TIA zumindest in Grundzügen vorzuhalten.

Die fünf Schritte eines TIA

Der EDSA hat in seinen Empfehlungen 01/2020 einen strukturierten Prozess für das TIA skizziert:

Schritt 1 — Datentransfer identifizieren: Dokumentieren Sie, welche personenbezogenen Daten an welchen Empfänger in welchem Drittland übertragen werden. Bei KI-Diensten umfasst dies insbesondere die Prompt-Daten, Output-Daten und Metadaten (z. B. Nutzungszeiten, IP-Adressen).

Schritt 2 — Transfermechanismus bestimmen: Identifizieren Sie, auf welchen Mechanismus Sie sich stützen (DPF, SCC, Art. 49). Prüfen Sie bei SCC, ob das richtige Modul gewählt wurde.

Schritt 3 — Rechtslage im Empfängerland analysieren: Bewerten Sie, ob das Recht des Empfängerlandes die Wirksamkeit der SCC beeinträchtigen könnte. Für die USA sind insbesondere relevant: Section 702 FISA, Executive Order 12333, der CLOUD Act und der Patriot Act (jetzt USA FREEDOM Act). Berücksichtigen Sie dabei auch die durch Executive Order 14086 eingeführten Einschränkungen.

Schritt 4 — Zusätzliche Schutzmaßnahmen (Supplementary Measures) festlegen: Wenn die Analyse ergibt, dass die SCC allein kein gleichwertiges Schutzniveau gewährleisten, müssen Sie ergänzende Maßnahmen implementieren. Typische Maßnahmen für KI-Dienste sind:

  • Verschlüsselung der Daten in Transit und at Rest mit Schlüsseln, die ausschließlich unter Kontrolle des Exporteurs stehen
  • Pseudonymisierung der Eingabedaten vor der Übermittlung
  • Vertragliche Verpflichtungen des Importeurs, Zugriffsanfragen von Behörden zu prüfen und abzuwehren
  • Nutzung EU-basierter Infrastruktur, sofern der Anbieter eine EU Data Residency Option anbietet
  • Minimierung des Personenbezugs in Prompts durch interne Richtlinien und Schulungen

Schritt 5 — Ergebnis dokumentieren und regelmäßig überprüfen: Das TIA muss schriftlich dokumentiert und anlassbezogen — mindestens aber jährlich — aktualisiert werden. Änderungen in der Gesetzgebung des Empfängerlandes oder neue Gerichtsurteile können eine sofortige Neubewertung erfordern.

Besonderheit bei KI-Anbietern

Bei KI-Diensten ist das TIA anspruchsvoller als bei klassischen Cloud-Diensten. Generative KI-Modelle haben einen zusätzlichen Datenfluss: die potenzielle Nutzung von Eingabedaten zum Training des Modells. Wenn ein Anbieter Prompts zu Trainingszwecken verarbeitet, werden die Daten nicht nur übermittelt, sondern dauerhaft in das Modell integriert — eine Löschung oder Rückholung ist dann praktisch unmöglich. Prüfen Sie daher im TIA explizit, ob der Anbieter eine verbindliche Opt-out-Möglichkeit für das Training bietet und ob diese vertraglich abgesichert ist.

KI-Anbieter im Vergleich: Serverstandort und Transfermechanismus {#anbieter-vergleich}

Die folgende Tabelle gibt einen Überblick über die Drittlandtransfer-Situation bei den wichtigsten KI-Anbietern (Stand: April 2026). Beachten Sie, dass sich Zertifizierungen und Serverstandorte ändern können — prüfen Sie den aktuellen Status stets direkt beim Anbieter.

KI-AnbieterHauptsitzServerstandort (Inferenz)TransfermechanismusDPF-zertifiziert?
OpenAI (ChatGPT, GPT API)USAUSA; EU-Option über Azure (Enterprise)DPF + SCCJa
Google (Gemini, Vertex AI)USAWeltweit; EU-Region wählbarDPF + SCCJa
Anthropic (Claude)USAUSA; EU-Region über AWS/GCP verfügbarDPF + SCCJa
Microsoft (Copilot, Azure OpenAI)USAEU-Region wählbar (EU Data Boundary)DPF + SCCJa
Meta (Llama via Cloud-Anbieter)USAAbhängig vom Hosting-AnbieterSCC (über Hosting-Anbieter)Ja (Meta)
Mistral AIFrankreichEU (Paris, Amsterdam)Kein DrittlandtransferNicht erforderlich
Aleph AlphaDeutschlandEU (Deutschland)Kein DrittlandtransferNicht erforderlich

Hinweise zur Tabelle:

  • Die DPF-Zertifizierung können Sie jederzeit im offiziellen Register unter dataprivacyframework.gov prüfen.
  • Auch bei DPF-zertifizierten Anbietern mit EU-Serverstandort können Daten zu Support-, Sicherheits- oder Monitoring-Zwecken in die USA fließen. Prüfen Sie die jeweilige DPA-Dokumentation sorgfältig.
  • EU-Anbieter wie Mistral AI oder Aleph Alpha vermeiden den Drittlandtransfer vollständig — ein relevanter Vorteil, wenn Ihr Unternehmen das Transferrisiko minimieren möchte.

Praktische Checkliste: Drittlandtransfer in 6 Schritten absichern {#checkliste}

Diese Checkliste fasst die wesentlichen Handlungsschritte zusammen, um den Drittlandtransfer bei der Nutzung von KI-Diensten DSGVO-konform abzusichern.

Schritt 1: Datenflüsse kartieren

  • Identifizieren Sie alle KI-Dienste, die in Ihrem Unternehmen genutzt werden (auch Shadow AI).
  • Dokumentieren Sie für jeden Dienst: Welche Datenkategorien werden übermittelt? An welchen Empfänger? In welchem Land?
  • Berücksichtigen Sie auch Sub-Auftragsverarbeiter — der KI-Anbieter selbst nutzt häufig Cloud-Infrastruktur von Dritten.

Schritt 2: Transfermechanismus identifizieren

  • Prüfen Sie, ob der KI-Anbieter DPF-zertifiziert ist (Register unter dataprivacyframework.gov).
  • Prüfen Sie, ob das DPA des Anbieters SCC nach Durchführungsbeschluss (EU) 2021/914 enthält.
  • Stellen Sie sicher, dass das korrekte SCC-Modul gewählt wurde (typischerweise Modul 2: Verantwortlicher → Auftragsverarbeiter).

Schritt 3: Transfer Impact Assessment durchführen

  • Erstellen Sie ein TIA nach den fünf Schritten des EDSA (siehe oben).
  • Analysieren Sie die einschlägigen US-Überwachungsgesetze und bewerten Sie deren Auswirkungen auf die übermittelten Daten.
  • Dokumentieren Sie Ihre Bewertung schriftlich und nachvollziehbar.

Schritt 4: Zusätzliche Schutzmaßnahmen implementieren

  • Nutzen Sie EU Data Residency Optionen, wo verfügbar (z. B. Azure EU Data Boundary, Google Cloud EU-Region).
  • Implementieren Sie Pseudonymisierung oder Anonymisierung der Eingabedaten.
  • Schulen Sie Mitarbeitende, keine unnötigen personenbezogenen Daten in KI-Tools einzugeben.
  • Deaktivieren Sie die Nutzung von Eingabedaten zum Modelltraining (Opt-out).

Schritt 5: Vertragliche Absicherung prüfen

  • Stellen Sie sicher, dass ein wirksamer Auftragsverarbeitungsvertrag (AVV) nach Art. 28 VO (EU) 2016/679 vorliegt.
  • Prüfen Sie, ob der AVV Regelungen zum Drittlandtransfer, zu Sub-Auftragsverarbeitern und zur Benachrichtigung bei Behördenanfragen enthält.
  • Bei DPF: Dokumentieren Sie die DPF-Zertifizierung des Anbieters mit Datum und Zertifizierungsnummer.

Schritt 6: Regelmäßige Überprüfung einrichten

  • Überprüfen Sie mindestens jährlich, ob die DPF-Zertifizierung noch besteht und ob sich die Rechtslage geändert hat.
  • Richten Sie ein Monitoring für relevante Gerichtsentscheidungen ein (insbesondere eine mögliche Schrems III-Klage).
  • Aktualisieren Sie Ihr TIA bei wesentlichen Änderungen — etwa bei Wechsel des Cloud-Anbieters, neuen Überwachungsgesetzen oder einem Wegfall des DPF.

Häufig gestellte Fragen (FAQ) {#faq}

Reicht das EU-US Data Privacy Framework als alleiniger Transfermechanismus?

Rechtlich ja — solange der Angemessenheitsbeschluss C(2023) 4745 gültig ist und der konkrete KI-Anbieter DPF-zertifiziert ist, benötigen Sie weder SCC noch ein TIA. Praktisch empfehlen wir aber dringend, parallel SCC zu vereinbaren. Die Geschichte von Safe Harbor und Privacy Shield zeigt, dass Angemessenheitsbeschlüsse für die USA vom EuGH aufgehoben werden können. Wer dann keinen Backup-Mechanismus hat, steht über Nacht ohne Rechtsgrundlage für den Transfer da.

Brauche ich ein TIA, wenn der KI-Anbieter EU-Server nutzt?

Es kommt darauf an. Wenn der Anbieter ausschließlich Daten im EWR verarbeitet und kein Zugriff aus Drittländern möglich ist, liegt kein Drittlandtransfer vor — und kein TIA ist erforderlich. In der Praxis ermöglichen viele Anbieter jedoch Remote-Zugriff aus den USA (z. B. für Support oder Incident Response). Schon ein solcher Fernzugriff auf personenbezogene Daten stellt nach Auffassung des EDSA einen Drittlandtransfer dar. Prüfen Sie die DPA-Dokumentation daher sorgfältig auf Klauseln zu Remote Access.

Was passiert, wenn das DPF durch den EuGH aufgehoben wird (Schrems III)?

In diesem Fall würde — wie nach Schrems II im Jahr 2020 — der Angemessenheitsbeschluss mit sofortiger Wirkung ungültig. Transfers, die ausschließlich auf dem DPF basieren, wären ab diesem Zeitpunkt rechtswidrig. Unternehmen, die parallel SCC vereinbart haben, könnten auf diese umstellen — müssten aber ein aktuelles TIA vorweisen. Erfahrungsgemäß gewährt die Aufsicht eine kurze informelle Übergangsfrist, aber verlassen sollten Sie sich darauf nicht. Bereiten Sie sich jetzt vor.

Kann ich Art. 49 DSGVO (Ausnahmen) als Grundlage für den täglichen KI-Einsatz nutzen?

Nein. Art. 49 DSGVO enthält Ausnahmen für Einzelfälle, nicht für systematische, regelmäßige Übermittlungen. Die Nutzung eines KI-Dienstes im Unternehmensalltag — z. B. tägliche Nutzung von ChatGPT durch 50 Mitarbeitende — ist kein Einzelfall. Der EDSA hat in seinen Leitlinien 2/2018 ausdrücklich betont, dass Art. 49 restriktiv auszulegen ist. Selbst die Einwilligung nach Art. 49 Abs. 1 lit. a müsste für jeden einzelnen Übermittlungsvorgang informiert und freiwillig erteilt werden — bei hunderten Prompts pro Tag schlicht unpraktikabel.

Sind europäische KI-Anbieter die sicherere Wahl?

Aus Drittlandtransfer-Perspektive: Ja, eindeutig. Anbieter wie Mistral AI (Frankreich) oder Aleph Alpha (Deutschland) verarbeiten Daten ausschließlich im EWR. Es fällt kein Drittlandtransfer an, kein TIA ist erforderlich, und das Risiko einer Schrems III-Entscheidung ist irrelevant. Allerdings müssen Sie auch bei EU-Anbietern die übrigen DSGVO-Anforderungen erfüllen: Auftragsverarbeitungsvertrag, Verzeichnis der Verarbeitungstätigkeiten, gegebenenfalls DSFA. Die Wahl eines EU-Anbieters beseitigt nur das Drittlandtransfer-Risiko — nicht alle datenschutzrechtlichen Pflichten.

Nächste Schritte {#naechste-schritte}

Der Drittlandtransfer bei KI-Diensten ist eines der komplexesten Themen an der Schnittstelle von Datenschutz und künstlicher Intelligenz. Die Rechtslage ist dynamisch — ein EuGH-Urteil, eine neue Executive Order oder ein Wechsel der US-Administration können die Spielregeln über Nacht ändern.

Wer jetzt sauber aufgestellt ist — mit dokumentierten Datenflüssen, doppelter Absicherung (DPF + SCC), einem aktuellen TIA und geschulten Mitarbeitenden — kann solche Veränderungen gelassen aufnehmen.

KI Comply unterstützt Sie dabei:

  • KI-Schulungen vermitteln Ihren Mitarbeitenden, welche Daten sie in KI-Tools eingeben dürfen und welche nicht — eine der wirksamsten Supplementary Measures für den Drittlandtransfer.
  • Compliance-Vorlagen für TIA, AVV-Prüfung und Vendor Due Diligence helfen Ihnen, die Dokumentationspflichten effizient zu erfüllen.
  • Regelmäßige Updates halten Sie über Änderungen bei DPF, SCC und Aufsichtspraxis auf dem Laufenden.

Jetzt kostenlos testen und Ihren KI-Drittlandtransfer absichern.

Rechtsquellen

  • DrittlandtransferArt. 44-49 VO (EU) 2016/679 (Quelle)
  • EU-US Data Privacy FrameworkAngemessenheitsbeschluss C(2023) 4745
  • StandardvertragsklauselnDurchführungsbeschluss (EU) 2021/914
  • Schrems IIEuGH C-311/18

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Weiterlesen

Bild
Datenschutz

ChatGPT und Datenschutz: DSGVO-Leitfaden für Unternehmen

ChatGPT im Unternehmen einsetzen und dabei die DSGVO einhalten? Dieser Leitfaden erklärt alle datenschutzrechtlichen Anforderungen — von der Rechtsgrundlage bis zur DSFA.

Bild
Compliance

KI-Vendor Due Diligence: KI-Anbieter richtig prüfen

Bevor Sie KI-Software einkaufen, müssen Sie den Anbieter prüfen. Unsere Checkliste zeigt, welche Fragen Sie stellen sollten — von DSGVO bis AI Act.

Bild
Datenschutz

Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme: Leitfaden

Wann brauchen Sie eine DSFA für Ihre KI-Anwendungen? Dieser Leitfaden erklärt die Pflicht nach Art. 35 DSGVO und zeigt Schritt für Schritt, wie Sie vorgehen.

Bild
Regulierung

AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen

AI Act und DSGVO — zwei EU-Verordnungen, ein Ziel: verantwortungsvolle KI. Wir erklären die Unterschiede, Überschneidungen und was Unternehmen beachten müssen.

Checkliste: DSFA für KI-Systeme durchführen
Datenschutz

Checkliste: DSFA für KI-Systeme durchführen

Praxisnahe Checkliste für die Datenschutz-Folgenabschätzung bei KI-Anwendungen. Schritt für Schritt durch alle Pflichtinhalte nach Art. 35 DSGVO -- mit Vorlage und Muster.

Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage
Regulierung

Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage

Warum rein maschinell erzeugte Inhalte in Deutschland keinen Werkschutz genießen, wo die Grenze zur schützfähigen KI-Assistenz verläuft und wie Unternehmen ihre Rechte an KI-gestütztem Content sichern.

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen