Wichtigste Erkenntnisse
- DeepSeek API trägt das höchste DSGVO-Risiko aller großen LLMs, da Server dem chinesischen Datenzugangsgesetz (PIPL) unterliegen; Qwen und Llama lokal haben gleichwertiges niedriges Risiko
- Claude und GPT-4o APIs mit EU-Datenspeicherung tragen mittleres Risiko und erfordern Standardvertragsklauseln (SVKs)
- Empfohlene Stacks: Startups (Claude + SVK), datenempfindliche Orgs (Qwen 24 GB lokal), Unternehmen (Multi-GPU Qwen + Air-Gap)
- Risikoentscheidungsmatrix behandelt fünf Vektoren: Datenspeicherung, Ausbildungsdaten-Gerichtsbarkeit, ToS-Datenspeicherung, SVK-Anforderung und rechtliches Urteil
- Lokale Qwen- und Llama-Modelle erfüllen Artikel 44 (kein Transfer), Artikel 25 (Datenschutz durch Design) und Artikel 32 (Sicherheit)
Vier DSGVO-Risikovektoren für LLMs
Das DSGVO-Risiko bei der Verwendung eines LLMs wird durch vier unabhängige Faktoren bestimmt: Datenspeicherung, Ausbildungsdaten-Gerichtsbarkeit, ToS-Datenspeicherung und SVK/TIA-Anforderungen.
Risikohauptrix: Modellweiser Vergleich
Die folgende Tabelle fasst das DSGVO-Risikoprofil der einzelnen Bereitstellungsoptionen zusammen.
Modellweises Urteil und empfohlene Verwendung
Verwenden Sie diesen Abschnitt, um zu verstehen, wann jede Bereitstellung für Ihre DSGVO-Compliance-Position angemessen ist.
Empfohlener Stack nach Organisationstyp
Der richtige LLM-Stack hängt von der Datenempfindlichkeit, dem Budget und der Compliance-Position Ihrer Organisation ab.
Ist DeepSeek DSGVO-konform, wenn ich es mit einer SVK verwende?
Nein. SVKs allein sind nicht ausreichend für DSGVO-Transfers nach Artikel 44 nach China, weil: (1) es keine EU-China-Angemessenheitsentscheidung nach Schrems II gibt; (2) chinesisches Gesetz (PIPL) Unternehmen verpflichtet, Daten mit staatlichen Behörden zu teilen; (3) große Anbieter weigern sich, mit SVKs in China zu operieren. Verwenden Sie DeepSeek API nicht für personenbezogene Daten von EU-Bewohnern. Für nicht-sensible Aufgaben ist das lokale Gewichtsmodell sicherer.
Erfüllt die Verwendung von Claude EU mit SVK die DSGVO?
Ja, mit Vorbehalten. Claude EU hält Ihre Daten während der Verarbeitung in Irland oder Deutschland und löscht sie nach 30 Tagen. Anthropic hat ein DSGVO-konformes DPA veröffentlicht. Technisch ist es jedoch immer noch ein "Transfer" aufgrund von Training und Beziehung. Für praktische Compliance ist Claude EU + SVK akzeptabel. Für die stärkste Position (kein Transferrisiko) verwenden Sie lokale Qwen oder Llama.
Kann ich Llama 4 Scout als direkten Ersatz für Claude verwenden?
Für DSGVO-Compliance: Ja. Llama ist Open-Source und kann lokal ausgeführt werden, daher erfüllt es die Anforderungen vollständig. Für Leistung: vielleicht. Llama ist kleiner als Claude, daher schneller und billiger lokal auszuführen, aber möglicherweise weniger fähig bei komplexen Aufgaben. Testen Sie es mit Ihrem Workload.
Was passiert, wenn ich meine Prompts lokal für Auditzwecke protokolliere?
Protokollierung wird für Artikel-30-Compliance empfohlen. Protokollieren Sie: Modellname, Sitzungs-Zeitstempel, Input-Token-Anzahl, Output-Token-Anzahl und einen SHA-256-Hash des Prompts und der Antwort. Protokollieren Sie NICHT den Rohtexte von Prompts mit personenbezogenen Daten. Hash-basierte Protokollierung erfüllt Artikel 30 (Verarbeitungsverzeichnis) und Artikel 32 (Sicherheit), ohne gegen Artikel 5(1)(e) (Speicherbegrenzung) zu verstoßen.