Recht und DSGVO7 Min Lesezeit
DSGVO bei Sprachmodellen, was Marketingteams klären müssen
Redaktion brandneo
Wer ein Sprachmodell für Marketing-Workflows einsetzt, verarbeitet personenbezogene Daten. Kundennamen in Briefings, E-Mail-Adressen aus CRM-Exports, Kontakte aus Slack-Threads. DSGVO greift in diesen Fällen, unabhängig davon, ob das Tool als „nur ein Chat" wahrgenommen wird. Was Marketingteams 2026 klären müssen, lässt sich auf sechs Punkte eingrenzen: Verarbeitungs-Region, AVV, Daten-Retention, Modell-Training, Pseudonymisierung, Betroffenenrechte.
Was die DSGVO bei Sprachmodellen verlangt
Die DSGVO behandelt jede Verarbeitung personenbezogener Daten gleich, ob im klassischen CRM oder im Chat-Fenster eines Sprachmodells. Vier Pflichten sind besonders relevant.
Rechtsgrundlage. Für jede Verarbeitung braucht es eine. Im Marketing meistens berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Datensparsamkeit. Nur das in den Prompt einspeisen, was wirklich nötig ist. Kunden-Namen ersetzen durch Codes, wenn ein Briefing-Entwurf die Person nicht zwingend kennen muss.
Transparenz. Wer Sprachmodelle einsetzt und damit personenbezogene Daten verarbeitet, dokumentiert das im Verarbeitungsverzeichnis (Art. 30 DSGVO).
Auftragsverarbeitung. Wenn der Sprachmodell-Anbieter im Auftrag des Unternehmens Daten verarbeitet, braucht es einen AVV (Art. 28 DSGVO).
Die sechs zentralen Klärungs-Punkte
Verarbeitungs-Region. Wo läuft das Modell? US-Server, EU-Server, on-prem? Wer in DACH operiert, dokumentiert das.
| Anbieter | EU-Endpoint verfügbar? | Standard-Verarbeitung |
|---|---|---|
| Anthropic Claude | Ja, EU-Endpoint mit Hosting in Frankfurt | US-Server (Standard) |
| OpenAI ChatGPT Enterprise/Team | Data Residency in EU optional | US-Server (Standard) |
| Google Gemini Workspace | EU-Datenregion via Workspace-DPA | EU-Server (bei Workspace-Setup) |
| Microsoft 365 Copilot | EU-Datengrenze | EU-Server |
| Mistral Le Chat | EU-Hosting Standard | EU-Server |
| Aleph Alpha | EU-Hosting Standard | EU-Server |
Wer auf US-Verarbeitung angewiesen ist, prüft die Anwendbarkeit des Data Privacy Framework (DPF) seit Juli 2023.
AVV. Jeder Sprachmodell-Anbieter, der personenbezogene Daten verarbeitet, braucht einen abgeschlossenen Auftragsverarbeitungs-Vertrag. Anthropic, OpenAI und Google bieten Standard-AVV für ihre Enterprise- und Team-Tarife. Free- und Plus-Tarife sind häufig nicht AVV-fähig.
Daten-Retention. Anthropic Claude Enterprise: 30 Tage Standard, Zero-Retention auf Anfrage möglich. OpenAI Team und Enterprise: keine Speicherung für Modell-Training, 30 Tage Operations-Logs. Google Workspace: keine Speicherung für Training in Workspace-Setups.
Modell-Training. Standard-Antwort bei Enterprise- und Team-Tarifen: nein. Bei Free- und Plus-Tarifen meist ja, mit Opt-out-Möglichkeit. Wer in DACH produktiv arbeitet, vermeidet Tarife mit Default-Training.
Pseudonymisierung. Bevor Daten in den Prompt fließen, lassen sich personenbezogene Felder ersetzen. „Kunde XY GmbH" wird zu „Kunde A", „peter.mustermann@firma.de" zu „kontakt_001".
Betroffenenrechte. Wenn jemand Auskunft (Art. 15) oder Löschung (Art. 17) verlangt, muss das Unternehmen reagieren können. Bei Modell-Training nicht mehr rückholbar.
Praxis: ein Setup, das funktioniert
Stufe 1: Tool-Wahl. Nur Anbieter mit EU-Hosting oder zumindest EU-Datenregion. Claude Enterprise mit EU-Endpoint, ChatGPT Enterprise mit EU-Data-Residency, Microsoft 365 Copilot mit EU-Datengrenze.
Stufe 2: AVV. Mit allen relevanten Anbietern abgeschlossen, im Dokumenten-System abgelegt, im Verarbeitungsverzeichnis verlinkt.
Stufe 3: Pseudonymisierung im Workflow. Briefing-Templates, Reporting-Templates, Recherche-Prompts so gebaut, dass personenbezogene Felder erst spät einfließen.
Stufe 4: Mitarbeitenden-Schulung. Quartalsweise. Konkret: was darf in welchen Prompt, was nicht.
Trade-offs
| Was sich verschiebt | Konsequenz |
|---|---|
| EU-Endpoint statt US-Cloud | Höhere Tarif-Kosten, weniger Modell-Auswahl |
| Pseudonymisierung im Workflow | Mehraufwand pro Prompt, geringeres Risiko |
| AVV mit allen Anbietern | Initial-Aufwand, später Routine |
| Zero-Retention auf Anfrage | Kein Audit-Log, dafür höchste Datensparsamkeit |
| Verarbeitungsverzeichnis aktuell halten | Quartalsweises Update, sonst veraltet |
Take
DSGVO bei Sprachmodellen ist klärbar. Was Marketingteams stolpern lässt, ist nicht die Rechtslage, sondern die Annahme, dass „Chat-Tool" und „CRM-System" unterschiedlich behandelt werden dürften. Werden sie nicht.
Was offen bleibt
Schrems III, die mögliche Nachfolge-Diskussion zum Data Privacy Framework, läuft. Wenn der EuGH den DPF kippt, müssen alle US-basierten Verarbeitungen neu bewertet werden. Strategie: EU-Endpoints bevorzugen, wo verfügbar.
Verwandt