PromptQuorumPromptQuorum

Ist Qwen DSGVO-konform?

Read in:
🇺🇸en🇩🇪de🇫🇷fr🇯🇵ja🇨🇳zh

Schnelle Antwort

Lokal auf eigener Hardware betriebenes Qwen ist DSGVO-konform, da keine Prompt-Daten Ihre Infrastruktur verlassen und kein Drittlandtransfer nach Artikel 44 stattfindet. Die Qwen-API über Alibaba Cloud erfordert wie jeder Nicht-EU-Anbieter Standardvertragsklauseln und eine Transferfolgenabschätzung.

  • Lokales Qwen: kein Datentransfer = kein Artikel-44-Problem
  • Qwen-API (Alibaba Cloud): SCC + TIA nach Post-Schrems-II erforderlich
  • Empfehlung: Qwen 2.5 14B oder Qwen 3 8B lokal via Ollama für datensensible Aufgaben

Aktualisiert: 2026-05

Privacy & Security

Wichtigste Punkte

  • Lokale Qwen-Bereitstellung ist DSGVO-konform: Prompts verlassen niemals Ihren Server, daher gilt Artikel 44 (Drittlandtransfers) nicht
  • Qwen-API über Alibaba Cloud erfordert Standardvertragsklauseln + Transferfolgenabschätzung — dieselbe Anforderung wie bei OpenAI oder Anthropic-API
  • Apache-2.0-Lizenz bedeutet, dass Gewichte prüfbar sind: Sie können überprüfen, was das Modell tut, was Artikel 25 (Datenschutz durch Technikgestaltung) erfüllt
  • Für datensensible Aufgaben (HR, Recht, Medizin) ist lokales Qwen der risikoärmere Weg gegenüber jeder Cloud-LLM-API

Lokales Qwen ist DSGVO-konform — die Architektur ist der Grund

DSGVO-Artikel 44 verbietet die Übermittlung personenbezogener Daten in ein Land außerhalb der EU ohne angemessene Rechtsgrundlage. Wenn Sie Qwen lokal betreiben, findet keine Datenübermittlung statt — das Modell verarbeitet alles auf Ihrer Hardware innerhalb Ihrer Jurisdiktion. Das ist der Grund, warum die lokale Bereitstellung die am besten verteidigbare DSGVO-Position ist.

Die Qwen-Modellgewichte (Qwen 2.5, Qwen 3) werden unter Apache 2.0 veröffentlicht. Das bedeutet, Sie können sie herunterladen, prüfen und dauerhaft auf Ihrem eigenen Server betreiben — die Lizenz kann nicht widerrufen werden. Artikel 25 (Datenschutz durch Technikgestaltung) ist erfüllt, weil Sie nachweisen können, dass sensible Daten niemals extern übertragen werden.

Betreiben Sie Qwen lokal via Ollama: ollama run qwen2.5:14b für ein allgemeines 14B-Modell oder ollama run qwen3:8b für die aktuelle Qwen-3-Generation. Beide benötigen 10–12 GB VRAM bei Q4_K_M. Eine Standard-RTX-3080 oder RTX-4070 ist ausreichend.

Qwen-API über Alibaba Cloud — ein anderes Risikoprofil

Die Qwen-API (api.qwen.ai, über Alibaba Cloud) wird in China gehostet. Alle personenbezogenen Daten, die über die API gesendet werden, sind ein Drittlandtransfer nach DSGVO-Artikel 44. China hat keine EU-Angemessenheitsentscheidung, daher benötigen Sie Standardvertragsklauseln (SCC) und eine Transferfolgenabschätzung (TIA), bevor Sie es für Daten mit Personenbezug verwenden.

Dies ist dieselbe Anforderung, die für OpenAI, Anthropic und Google Cloud gilt. Es ist kein spezifisches Qwen-Problem — es ist ein strukturelles Problem bei jeder Cloud-LLM außerhalb der EU. Das zusätzliche China-spezifische Risiko ist das Datenschutzgesetz für personenbezogene Informationen (PIPL), das auf staatliche Anfrage Offenlegung erzwingen kann.

Wenn Sie die Qwen-API verwenden müssen, tun Sie dies nur für nicht-personenbezogene Daten (z. B. öffentliche Dokumente, Code-Generierung ohne personenbezogene Daten). Für personenbezogene oder geschäftlich vertrauliche Daten verwenden Sie stattdessen die lokale Bereitstellung.

BereitstellungDaten verlassen Server?DSGVO-Artikel 44 gilt?Erforderliche Maßnahme
Qwen lokal (Ollama)NeinNeinKeine — Architektur ist konform
Qwen-API (Alibaba Cloud)JaJaSCC + TIA für personenbezogene Daten erforderlich
Claude / OpenAI (EU-Region)Ja (EU)TeilweiseSCC noch erforderlich; TIA kann leichter sein

Schnelle Antworten: Qwen und DSGVO

Erfüllt der lokale Betrieb von Qwen DSGVO-Artikel 25?
Ja. Artikel 25 fordert Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen — technische Maßnahmen, die unnötige Datenoffenlegung verhindern. Qwen lokal auf einem isolierten Server ohne ausgehende Netzwerkanrufe für Inferenz direkt zu betreiben, erfüllt diese Anforderung. Ergänzen Sie dies mit Festplattenverschlüsselung und Zugriffskontrollen für eine vollständige Artikel-25-Umsetzung.
Ist Alibaba Cloud DSGVO-konform?
Alibaba Cloud bietet DSGVO-konforme Konfigurationen für EU-ansässige Daten (Region Frankfurt). Wenn Sie die EU-Region von Alibaba Cloud mit aktivierten SCC verwenden, ist das DSGVO-Transferrisiko auf dasselbe Niveau wie AWS oder Azure reduziert. Die Qwen-API (api.qwen.ai) ist jedoch ein separates Produkt — überprüfen Sie, welche Infrastrukturregion Ihre Anfragen verarbeitet.
Welches Qwen-Modell ist am besten für DSGVO-sensible Workflows?
Für 12 GB VRAM: Qwen 2.5 14B bei Q4_K_M (allgemeine Aufgaben) oder Qwen 2.5 Coder 14B (code-intensive Workflows). Für 6–8 GB VRAM: Qwen 3 8B bei Q4_K_M. Beide laufen vollständig offline via Ollama. Vollständige Einrichtungsschritte finden Sie im vollständigen DSGVO-Qwen-Einrichtungsleitfaden.
Benötige ich einen Auftragsverarbeitungsvertrag mit Ollama?
Nein. Ollama ist eine lokale Laufzeitumgebung — sie hat keine Serverkomponente und verarbeitet keine Daten in Ihrem Auftrag. Es ist kein AVV erforderlich, da Ollama kein Auftragsverarbeiter nach DSGVO-Artikel 28 ist. Das Modell läuft vollständig auf Ihrer Hardware.
← Zurück zu Prompt Bites