Wenn deutsche Mittelständler ChatGPT Enterprise oder Microsoft 365 Copilot mit “EU-Region” einsetzen, gehen sie meist davon aus, dass ihre Daten in Europa bleiben. Eine genauere Lektüre der Anbieter-eigenen Dokumente zeigt: das stimmt nur bedingt. Sobald die KI-Tools produktiv genutzt werden — mit Web-Suche, Plugins, Code-Interpreter oder Bildgenerierung — fließen Daten in die USA. Belegt nicht aus einer Aktivisten-Kampagne, sondern aus dem offiziellen Trust-Center und den Help-Artikeln von OpenAI, Microsoft und Anthropic selbst.

Worum es geht

Die DSGVO-Konformität von KI-Tools ist 2026 für deutsche Mittelständler kein akademisches Thema mehr. Der Bußgeldrahmen aus Art. 83 DSGVO reicht bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes; ab dem 2. August 2026 kommt der Pflichtenkatalog des EU AI Act (Art. 99) hinzu mit weiteren bis zu 15 Millionen Euro für Hochrisiko-Verstöße. Wer KI in der täglichen Arbeit einsetzt, muss wissen, wo die Daten verarbeitet werden — und auch, ob die Marketing-Versprechen der Anbieter mit den technischen und rechtlichen Realitäten übereinstimmen.

Die Antwort ist differenziert — und für viele Mittelständler unangenehm. “EU-Region” oder “Daten bleiben in Europa” greift in der Praxis nur unvollständig. Die folgenden drei Belege stammen direkt aus den offiziellen Dokumenten der Anbieter selbst.

Beleg 1 – OpenAI: Tools verlassen die EU-Region (offiziell zugegeben)

OpenAI hat im Januar 2026 das Angebot erweitert. ChatGPT Enterprise/Edu/Healthcare-Kunden in der EU bekommen seitdem erstmals echte Inferenz-Residency: Die GPU-Berechnung läuft in der EU, nicht mehr nur die Speicherung-at-Rest. Das ist ein realer Fortschritt gegenüber dem Vor-Stand, wo nur die Datenablage in der EU lag und die eigentliche Inferenz in den USA stattfand.

Aber: Das offizielle OpenAI Help-Center stellt im selben Atemzug eine entscheidende Einschränkung klar:

“Data that is stored and processed outside OpenAI’s infrastructure through external integrations (e.g., Apps & MCP, Web Search, if enabled) may be stored outside the chosen data region.”

Übersetzt: Wann immer Sie eine ChatGPT-Funktion benutzen, die nicht reine LLM-Inferenz ist — also Web-Suche, Plugins, MCP-Apps, Code Interpreter, File-Verarbeitung, Bildgenerierung — kann die Datenverarbeitung außerhalb der EU stattfinden, auch wenn Sie EU-Residency gebucht haben.

Plus: Explizit ausgenommen sind “Apple Intelligence” und alle nicht-GA-Features (Beta/Alpha). Wer eine neue ChatGPT-Funktion testet, ist potenziell außerhalb der EU-Region.

Konkret: Eine ChatGPT-Anfrage “Suche mir auf Bing nach …” verlässt die EU-Region. Eine Anfrage mit aktivem Code Interpreter verlässt die EU-Region. Plug-in-Aufrufe verlassen die EU-Region.

Für 80 Prozent der produktiven Mittelstands-Anwendungen — die genau diese Funktionen brauchen — greift die EU-Residency damit nicht.

ChatGPT-Nutzung im Mittelstand: Wo greift EU-Residency? Balkendiagramm zeigt, dass nur 20 Prozent reine Texteingaben in der EU bleiben, Web-Suche, Code Interpreter, Bildgenerierung und Plugins die EU verlassen

Schätzung: Nur einfache Texteingaben ohne externe Tools (ca. 20 % der Nutzung) bleiben vollständig in der EU-Region. Alle anderen Anwendungsfälle verlassen die EU-Region laut OpenAI-eigener Dokumentation.

Beleg 2 – Microsoft EU Data Boundary: “smoke and mirrors”

Microsoft betreibt unter den US-Anbietern die ehrlichste Daten-Residency-Initiative (EU Data Boundary, kurz EUDB). Das ist sachlich richtig. Aber selbst Microsoft räumt in der eigenen Dokumentation laufende Ausnahmen ein.

Auf Microsoft Learn sind Services konkret aufgelistet, die “a subset of Customer Data, pseudonymized personal data, or Professional Services Data” auf laufender Basis aus der EU Data Boundary heraus transferieren. Dazu kommt eine Generalklausel:

“…where data stored in the EU Data Boundary will be accessed remotely by personnel located outside the EU Data Boundary.”

Im April 2026 hat Microsoft für Microsoft 365 Copilot zusätzlich “Flex Routing” eingeführt: EU-Tenants können wählen, ob LLM-Inferenz innerhalb der EU Data Boundary stattfindet — oder in Nordamerika und Australien. Default ist “EU Data Boundary only”, aber die Option, dass Copilot-Anfragen in die USA gehen, ist bewusst eingebaut.

Computer Weekly hat das EUDB-Konzept öffentlich kritisch eingeordnet: “Microsoft EU Data Boundary dubbed ‘smoke and mirrors’”. Der Begriff stammt aus der Fachpresse, nicht aus einer Aktivisten-Kampagne — sondern aus der nüchternen technischen Bewertung der Lücken in Microsofts Versprechen.

Beleg 3 – Anthropic: Standard-API ist USA, kein EU-Default

Anthropic ist der Anbieter mit der schmälsten EU-Story. Im offiziellen Anthropic Privacy Center wird klargestellt:

“Anthropic’s current infrastructure stores all workspace data in the United States.”

Direkter Zugriff über claude.ai und über die Anthropic-API: standardmäßig US-Infrastruktur. Workspace-Daten (Projects, Memories, Files): werden in den USA gespeichert. EU-Verarbeitung gibt es nur über AWS Bedrock in Frankfurt (eu-central-1) oder Google Cloud Vertex AI — beides muss aktiv konfiguriert werden, der Standard-Weg ist USA.

Microsoft Foundry mit Claude in EU-Region: laut Anthropic-Compliance-Seite Stand Mai 2026 noch “Coming 2026” — also nicht voll verfügbar.

Wer also Claude.ai im Browser öffnet oder die Anthropic-API direkt anspricht: Alle Daten gehen in die USA. Das ist Default, nicht Ausnahme.

Die fünf Schichten der “Datenverarbeitung”

Jede KI-Anwendung hat fünf Schichten, in denen Daten verarbeitet werden. “EU-Region” greift in den meisten Fällen nur in der ersten:

Schicht	Was passiert dort	Wo läuft es bei US-Anbietern?
1. Inferenz	Das LLM beantwortet die Anfrage	Bei OpenAI Enterprise EU seit Januar 2026 EU. Bei Anthropic Standard: USA. Bei Microsoft Copilot mit EUDB: EU (außer Flex Routing aktiv).
2. Tool-Ausführung	Web-Suche, Plugins, Code-Interpreter, Bildgenerierung	Häufig USA, weil externe Services (Bing, DALL-E etc.) eigene Residency-Regeln haben
3. Logs / Telemetrie	Prompt-Logs, Sicherheits-Pipeline, Misuse-Detection	Meist USA bei OpenAI und Anthropic, EU bei Microsoft EUDB-Services
4. Sub-Processoren	CDN, Backup, Ticketing, Support-Systeme	Global verteilt, oft USA
5. Mutter-Konzern-Zugriff	OPS-Teams, Security-Teams, US-Behörden via CLOUD Act	Immer USA, solange der Anbieter US-Konzern ist

Schicht 1 ist die einzige, bei der “EU-Region” technisch ehrlich sein kann. Schichten 2 bis 5 sind bei US-Anbietern fast immer ganz oder teilweise außerhalb der EU.

Die fünf Schichten der Datenverarbeitung – Status bei US-KI-Anbietern

Die rechtliche Lage: CLOUD Act und Schrems III

Selbst wenn alle fünf Schichten in der EU laufen würden, bliebe die rechtliche Falle bestehen: Der US CLOUD Act (Public Law 115-141) verpflichtet US-Konzerne zur Datenherausgabe auf US-Behördenanordnung, unabhängig vom physischen Server-Standort. Microsoft, OpenAI, Anthropic und Google sind alle US-Konzerne und alle CLOUD-Act-pflichtig.

Das EU-US Data Privacy Framework (DPF) versucht, die Schrems-II-Lücke zu schließen. Es hat im September 2025 seine erste juristische Herausforderung beim EuGH überstanden (Freshfields-Bericht). Aber:

Max Schrems argumentiert öffentlich, dass die jüngsten US-Politik-Veränderungen — die Restrukturierung des Privacy and Civil Liberties Oversight Board (PCLOB) und der FTC unter der aktuellen US-Administration — die DPF-Grundlage erneut untergraben. Beide Institutionen sind kritisch für die Beschwerde-Mechanismen, die das DPF rechtfertigen.
Schrems hat sinngemäß formuliert, eine neue Klage könnte unnötig sein, weil die EU-Kommission das DPF aufgrund der US-internen Veränderungen ohnehin pausieren oder kippen muss (IAPP-Bericht).
Schrems III ist nicht “off the table” — sondern aktiv in Vorbereitung (noyb.eu).

Wer heute auf das DPF setzt, baut auf einem Fundament, das in 12 bis 24 Monaten weggebrochen sein kann.

Was das für deutsche Mittelständler praktisch bedeutet

Drei reale Schadenslagen, die aus “EU-Hosting reicht doch” entstehen:

Aufsichtsbehörden-Anfrage. Eine Datenschutzaufsicht prüft die Verarbeitung Ihrer Mitarbeiter-Daten in einem KI-Tool. Sie verweisen auf den AVV mit “EU-Hosting”. Die Aufsicht bohrt nach: “Wo läuft die Misuse-Detection-Pipeline? Wer hat Support-Zugriff? Wie ist Telemetrie konfiguriert?” Wer das nicht beantworten kann, verliert die Argumentation.

Mandanten- oder Patienten-Beschwerde. Ein Mandant einer Steuerkanzlei oder Patient eines Krankenhauses erfährt, dass seine Akten durch ein US-Tool gegangen sind. Der Schweigepflicht- oder Berufsgeheimnis-Verstoß steht im Raum, unabhängig davon, ob ein Bußgeld kommt — der Reputationsschaden ist real. Für Kanzleien und andere Berufsgeheimnisträger ist das ein existenzielles Thema.

CLOUD-Act-Anfrage. Eine US-Behörde fragt unter dem CLOUD Act Daten an, die Sie in einem US-Tool verarbeitet haben. Ihr Anbieter teilt Ihnen das gegebenenfalls nicht mit (Gag-Order). Die Daten gehen raus, Sie erfahren es nicht. Das ist seit 2018 ein realistisches Szenario für jedes US-Tool mit DSGVO-relevanten Daten.

Was funktioniert wirklich? Das Tier-Modell

Aus der ehrlichen Lesart der Anbieter-Originaldokumente folgt eine klare Tier-Logik. Die zentrale Erkenntnis: “LLM in der EU” ist nicht gleich “DSGVO-konforme KI-Lösung”. Erst eine Application-Architektur über dem LLM macht den Einsatz für ein KMU rechtssicher.

Tier A – DSGVO-Application + EU-LLM darunter

Die KI-Anwendung ist nicht die nackte LLM-Inferenz, sondern eine Application-Architektur, die Anonymisierung, Rollen-Berechtigung, Audit-Trails, Mandanten-Trennung, Compliance-Logging und vertragliche Kontrolle integriert hat. Der LLM darunter ist eine EU-Variante (Mistral, Ollama-lokal). Das ist die einzige Variante, die für sensible Mittelstandsdaten ohne tiefe Eigen-Architektur DSGVO-konform funktioniert.

Beispiel: Eine selbst-gehostete Plattform mit Anonymisierungs-Layer wie etwa Genesis, das wir bei Avirem entwickeln, plus Mistral oder Ollama-lokal als LLM-Adapter darunter. Die Sicherheitsarchitektur sorgt dafür, dass kein Prompt das eigene Hoheitsgebiet verlässt — und das doppelte Sicherheits-Konzept prüft jede Anfrage gegen die Berechtigungsstruktur, bevor sie überhaupt das LLM erreicht. Wer detaillierter nachvollziehen will, wie die Schichten 2 bis 5 in einer solchen Application-Architektur in der EU bleiben, findet die Belegführung in unserer DSGVO-Konformitätsdokumentation und im Datenschutz-Whitepaper.

Tier B – Roher EU-LLM via Direkt-API

Der LLM-Anbieter ist EU-Rechtsperson, EU-Hosting, kein US-Mutter. Die DSGVO-Konformität entsteht aber nur, wenn der Kunde die Application-Architektur selbst baut — eigenes Logging, eigene Audit-Trails, eigene Anonymisierung, eigene Rollen-Verwaltung. Pure API ohne Application-Layer ist nicht ausreichend für sensible Daten.

Beispiel: Mistral La Plateforme pur. Mistral ist Stand Mai 2026 der einzige verbleibende generische Spitzen-LLM ohne US-Mutter — aber als rohe API ist er Tier B.

Tier C – Spezialisierte EU-Tools

Anbieter ist EU-Rechtsperson, hat eine eigene Application-Architektur für seinen spezifischen Anwendungsbereich integriert.

Beispiele: DeepL Pro (Übersetzung), Neuroflash (Marketing-Texte), Aleph Alpha Pluri (Enterprise-LLM mit eigenem Compliance-Stack).

Tier D – US-Anbieter mit “EU-Region” (Augenwischerei)

Inferenz technisch in EU. Aber Tool-Use-Daten verlassen die EU-Region (von OpenAI offiziell dokumentiert), Logs laufen teilweise außerhalb (Microsoft Learn dokumentiert), CLOUD Act greift unverändert.

Beispiele: OpenAI Enterprise EU Region, Anthropic Enterprise (AWS Frankfurt), Microsoft Copilot mit EU Data Boundary, Google Cloud Vertex AI EU.

Für sensible Personen-Daten (Mandanten, Patienten, Personalakten) ungeeignet. Für unkritische Geschäfts-Anwendungen (Code-Hilfe ohne PII, allgemeine Recherche) mit dokumentierter Risikoabwägung vertretbar.

Tier E – US-Anbieter ohne EU-Residency

Standard-Tarife ohne AVV (ChatGPT Free/Plus, Claude Free/Pro, Gemini Free, DeepL Free). Für DSGVO-relevante Mittelstands-Anwendungen ungeeignet.

Das Tier-Modell: KI-Anbieter nach DSGVO-Eignung für sensible Daten

Welcher Tier für Ihren konkreten Use-Case in Frage kommt, lässt sich anhand weniger Fragen eingrenzen:

Entscheidungsbaum: Welcher Tier passt zu meinem Use-Case? Drei Fragen führen über personenbezogene Daten, Berufsgeheimnis und Self-Hosting-Bedarf zu Tier A, Tier C oder Tier D mit Risikoabwägung

Sechs konkrete Schritte für die Praxis

1. Inventur machen. Welche KI-Tools werden im Unternehmen eingesetzt — auch unbeantragt? Browser-History, Copilot-Lizenzen, ChatGPT-Konten von Mitarbeitern. Die ehrliche Bestandsaufnahme ist die Basis aller weiteren Schritte.

2. AVV-Status prüfen. Wer ChatGPT Plus oder Claude Pro im Unternehmen nutzt, hat keinen AVV — das ist DSGVO-Verstoß ab dem ersten personenbezogenen Datum. ChatGPT Team und Enterprise haben AVV, aber EU-Region greift nur in Enterprise und auch dort nicht für Tools.

3. Datenklassifikation. Welche Daten gehen in welches Tool? Mandanten-, Patienten-, Personalakten gehören nicht in Tier-D-Tools, auch nicht im Enterprise-Tarif.

4. Tier-A- oder Tier-C-Pfade prüfen. Für sensible Daten ist Self-Hosting mit DSGVO-Application-Architektur (Tier A) oder ein spezialisiertes EU-Tool für den abgegrenzten Anwendungsfall (Tier C) der einzige rechtssichere Weg. Unser Datenschutz-Vergleich zeigt die Unterschiede zwischen den Anbieter-Klassen Punkt für Punkt.

5. Schriftliche Risikoabwägung dokumentieren. Wer Tier-D-Tools für unkritische Anwendungen einsetzt, dokumentiert die Abwägung im Verfahrensverzeichnis — das ist im Audit-Fall entscheidend. Der Datenschutz-Leitfaden liefert eine Vorlage für die nötige Argumentationskette.

6. Anbieter aktiv anschreiben. Schriftliche Anfrage an den Datenschutz-Kontakt: Wo läuft Inferenz, wo Logs, wo Misuse-Detection, welche Sub-Processoren in welchen Ländern, gibt es CLOUD-Act-Anordnungen unter Gag-Order? Schweigen oder Ausweich-Antworten sind Information.

Fazit

“EU-Hosting” bei US-KI-Anbietern ist kein einfaches Ja oder Nein. Es ist ein partielles Versprechen, das sich auf eine einzelne technische Schicht (Inferenz) beschränkt und an den anderen Schichten (Tools, Logs, Sub-Processoren, US-Mutter unter CLOUD Act) zerfällt. Für unkritische Anwendungen kann das ausreichend sein. Für Mandanten-, Patienten-, Personal- oder Geschäftsgeheimnis-Daten ist es nicht ausreichend.

Wer als deutscher Mittelständler heute saubere DSGVO-Konformität bei sensiblen KI-Anwendungen will, hat genau zwei Pfade: eine DSGVO-Application-Architektur über einem EU-LLM (Tier A) oder ein spezialisiertes EU-Tool für seinen abgegrenzten Anwendungsfall (Tier C). Alles andere ist ein Risiko, das man mit dokumentierter Abwägung tragen kann oder auch nicht — aber nicht ohne diese Abwägung.

Das ist nicht unsere Meinung. Das steht in den Anbieter-eigenen Dokumenten.

Wenn Sie wissen möchten, wie eine Tier-A-Architektur in Ihrem Unternehmen konkret aussieht — vom Anonymisierungs-Layer über Rollen und Audit-Trails bis zur EU-LLM-Anbindung — werfen Sie einen Blick auf unsere Funktionen oder vereinbaren Sie ein Beratungsgespräch. Wir zeigen Ihnen den Unterschied zwischen “EU-Region im Marketing” und “EU-Verarbeitung in allen fünf Schichten”.

Quellen

Stand: 10. Mai 2026. Dieser Artikel ersetzt keine Rechtsberatung. Für die DSGVO-Bewertung im Einzelfall sprechen Sie mit Ihrem Datenschutzbeauftragten oder einem auf IT-Recht spezialisierten Anwalt.

EU-Hosting bei ChatGPT, Claude und Copilot – warum es Augenwischerei ist