Ihr Tresor vs. die Cloud eines US-Konzerns.
Wo liegen Ihre Daten? Wer hat Zugriff? Und was passiert damit?
Übersicht
| Kriterium | Genesis | ChatGPT Enterprise | Microsoft Copilot |
|---|---|---|---|
| Wo liegen Ihre Daten? | Ihr eigener Server | Microsoft-Cloud (USA) | Microsoft-Cloud (USA/EU) |
| Hat der Anbieter Zugriff? | Nein | Ja | Ja |
| AV-Vertrag nötig? | Nein | Ja (US-Konzern) | Ja (US-Konzern) |
| DSGVO-konform? | Architekturbedingt | Fraglich (Cloud Act) | Fraglich (Cloud Act) |
| Anonymisierung? | Lokal, automatisch | Keine | Keine |
| Daten für KI-Training? | Technisch unmöglich | Opt-out nötig | Opt-out nötig |
| Lokaler Betrieb? | Ja | Nein | Nein |
1. Datenhoheit
Alle Daten liegen auf dem Server des Kunden. Der Hersteller hat zu keinem Zeitpunkt Zugriff. Keine Cloud-Abhängigkeit. Volle Kontrolle über Backup, Löschung und Verschlüsselung.
Alle Daten werden in der Cloud von OpenAI/Microsoft verarbeitet und gespeichert. Die Daten unterliegen dem US Cloud Act — US-Behörden können Zugriff verlangen, auch auf Daten von EU-Bürgern. Copilot hat Zugriff auf alle Microsoft-365-Daten.
2. Auftragsverarbeitung
Kein AV-Vertrag erforderlich. Kraichgau KI verarbeitet keine Daten im Auftrag. Die Software wird als Produkt geliefert. Der Kunde betreibt sie eigenverantwortlich.
AV-Vertrag mit US-Konzern zwingend erforderlich. Zusätzlich Standardvertragsklauseln (SCCs) für Drittlandtransfer. Rechtliche Situation nach Schrems II weiterhin unsicher.
3. Anonymisierung
Plugin „Doppelte Sicherheit“: Eine lokale KI auf dem Kundenserver erkennt automatisch alle sensiblen Daten und ersetzt sie durch Platzhalter, bevor irgendetwas das Haus verlässt. Vollautomatisch, nachvollziehbar, kein manuelles Eingreifen.
Keine eingebaute Anonymisierung. Der Nutzer muss selbst darauf achten, keine sensiblen Daten einzugeben. In der Praxis passiert das regelmäßig — insbesondere bei Copy-Paste von Dokumenten. Es gibt keine technische Schutzschicht.
4. KI-Training mit Ihren Daten
Garantiert ausgeschlossen. Genesis sendet keine Daten an den Hersteller. Bei lokalen KI-Modellen verlassen keinerlei Daten das Netzwerk. Bei externen Anbietern werden Daten vorab anonymisiert.
OpenAI und Microsoft geben an, Enterprise-Daten nicht für Training zu verwenden. Dies basiert auf einer vertraglichen Zusicherung, nicht auf einer technischen Garantie. AGB können einseitig geändert werden.
5. US Cloud Act
Nicht betroffen. Genesis läuft auf dem Server des Kunden in Deutschland/EU. Kraichgau KI ist ein deutsches Unternehmen. Weder der Hersteller noch US-Behörden haben Zugriff.
Direkt betroffen. US-Behörden können Herausgabe von Daten verlangen — auch wenn diese in EU-Rechenzentren liegen. OpenAI und Microsoft sind gesetzlich verpflichtet, diesem Verlangen nachzukommen. Der Kunde wird möglicherweise nicht informiert. Dies steht im direkten Widerspruch zur DSGVO (Art. 48).
6. Mandantengeheimnis & Berufsgeheimnis § 203 StGB
Betrifft: Rechtsanwälte, Ärzte, Steuerberater, Wirtschaftsprüfer, Apotheker
- Daten verlassen nie den Kundenserver
- Hersteller hat keinen Zugriff
- Automatische Anonymisierung bei externer KI
- Kein Strafbarkeitsrisiko nach § 203 StGB
- BRAO und Berufsordnung architekturbedingt erfüllt
- Daten werden an US-Cloud übertragen
- OpenAI/Microsoft als potenzielle „Mitwisser“
- Keine Anonymisierung — Klardaten
- Strafbarkeitsrisiko nach § 203 StGB
- Standesrechtliche Bedenken (BRAO § 43a, BORA § 2)
7. Drittlandtransfer
- Lokale KI (Ollama): Kein Transfer
- Mistral (EU): Kein Transfer
- OpenAI (USA): Nur anonymisierte Daten
- Lizenzserver: Deutschland
- Jede Nutzung: Drittlandtransfer
- EU-Rechenzentrum: Rechtlich trotzdem USA (Cloud Act)
- Ausweichmöglichkeit: Keine
- Kein lokaler Betrieb möglich
8. Langfristige Risiken
- Keine Abhängigkeit von AGB-Änderungen
- Keine Preiserhöhungen durch Cloud-Anbieter
- Funktioniert auch ohne Internet (lokale KI)
- Daten jederzeit exportierbar — kein Vendor-Lock-in
- Unabhängig von politischen Entwicklungen
- AGB können einseitig geändert werden
- Preise können jederzeit erhöht werden
- Vollständige Cloud-Abhängigkeit
- Bei Kündigung: Unklarheit über Datenlöschung
- Risiko: Schrems III könnte EU-US Framework kippen
Die Kernfrage
„Würden Sie Ihre Mandantenakten einem US-Konzern geben und darauf vertrauen, dass er sie nicht liest?“
„Oder behalten Sie sie lieber in Ihrem eigenen Tresor?“
Genesis ist der Tresor.
Weiterführende Dokumente
- Datenschutz-Whitepaper – Architektur und Datenhoheit im Detail
- DSGVO-Konformität – Art. 5 bis Art. 49 DSGVO im Detail
- Datenschutz-Leitfaden – Checkliste für den datenschutzkonformen Betrieb
- Sicherheitskonzept – Technische Sicherheitsmaßnahmen
- Genesis für Rechtsanwälte – Berufsgeheimnis und Mandantenakten
Stand: April 2026 · Version 1.1