Glossar
Souveränität & Compliance

DSGVO (GDPR) für AI-Inferenz

Die DSGVO (Datenschutz-Grundverordnung, engl. GDPR) ist das EU-Gesetz, das die Verarbeitung personenbezogener Daten regelt. Für AI-Inferenz gilt sie, sobald ein Prompt oder eine Antwort personenbezogene Daten enthält: Sie handeln als Verantwortlicher (Controller), Ihr Inferenz-Anbieter als Auftragsverarbeiter (Processor), und rechtmäßige Nutzung erfordert eine gültige Rechtsgrundlage, einen Data Processing Agreement und eine Verarbeitung, die die Daten keinem unrechtmäßigen Zugriff aussetzt - auch nicht über einen internationalen Transfer.

Warum die DSGVO für Inferenz gilt

Prompts sind selten anonym. Kundennachrichten, Support-Tickets, Dokumente, Code mit Zugangsdaten, medizinische oder juristische Texte tragen regelmäßig personenbezogene Daten - und sobald Ihre Anwendung sie an eine Inferenz-API sendet, regelt die DSGVO diese Verarbeitung. Sie bleiben der Controller (Sie entscheiden, warum und wie die Daten genutzt werden); der Anbieter, der das Modell betreibt, ist ein Processor, der auf Ihre Weisung handelt. Die Kernpflichten der DSGVO folgen daraus: eine Rechtsgrundlage für die Verarbeitung, Datenminimierung, Zweckbindung und ein schriftlicher Data Processing Agreement nach Artikel 28.

Das wird leicht übersehen, weil sich ein API-Aufruf wie ein technisches Detail anfühlt und nicht wie eine Datenübermittlung. Doch Inferenz liest bei jeder Anfrage Ihre echten Produktionsdaten - sie ist einer der sensibelsten Datenflüsse einer modernen Anwendung, kein Hintergrund-Dienst. Wo und durch wen diese Verarbeitung geschieht, ist daher eine DSGVO-Frage, nicht nur eine technische.

DSGVO-Compliance ist nicht Datensouveränität

Die schwierige Frage bei AI ist nicht, ob man DSGVO-konform sein kann, sondern was Compliance tatsächlich bringt. Personenbezogene Daten an einen Anbieter außerhalb der EU zu senden, ist ein internationaler Transfer in ein Drittland, den die DSGVO nur mit bestimmten Garantien erlaubt - Standard Contractual Clauses oder einem Angemessenheitsbeschluss wie dem EU-US Data Privacy Framework. Solche Garantien können einen Transfer rechtmäßig machen. Was sie nicht können, ist ihn souverän zu machen: Die EU-Region eines US-Hyperscalers kann vollständig DSGVO-konform sein und Ihre Daten dennoch für US-Behörden erreichbar lassen. In Schrems II kippte Europas höchstes Gericht genau aus diesem Grund den vorherigen Transfer-Rahmen - US-Überwachungsrecht (FISA Section 702, gestützt durch den CLOUD Act) kann einen US-kontrollierten Anbieter zur Offenlegung von Daten zwingen, wo auch immer sie gespeichert sind, ungeachtet des Vertrags.

Compliance und Souveränität sind also zwei verschiedene Maßstäbe. DSGVO-Compliance bedeutet, personenbezogene Daten rechtmäßig zu verarbeiten - eine Rechtsgrundlage, ein DPA, gültige Transfer-Garantien - und ein Anbieter unter fast jeder Jurisdiktion kann sie erfüllen. Datensouveränität ist stärker: dass kein fremdes Recht Ihre Daten überhaupt erreichen kann. Darüber entscheidet die Jurisdiktion des Anbieters, nicht der Ort, an dem das Modell gebaut wurde - ein Open-Weight-Modell beliebiger Herkunft, das von einem EU-Anbieter auf EU-Infrastruktur betrieben wird, ist zugleich compliant und souverän, während dasselbe Modell hinter einer US-kontrollierten API compliant sein kann, aber nie souverän. Residency, Jurisdiktion und der DPA sind die Dimensionen, die diese Lücke gemeinsam schließen.

Compliant und souverän bei Infercom

Auf seinen EU-gehosteten Modellen bietet Infercom beides. Ihre Inferenz läuft in der EU, unter einer EU-Betreibergesellschaft ohne US-Mutter, mit einem unterzeichenbaren Artikel-28-DPA und im Trust Center gelisteten Sub-Prozessoren - die Inferenz-Ebene ist damit compliant und souverän, keine ständige Ausnahme, die Sie in einem Audit rechtfertigen müssen. Sie allein macht Sie nicht compliant: eine Rechtsgrundlage, Datenminimierung und Ihre eigenen Controller-Pflichten bleiben bei Ihnen. Und wir sind transparent über die Ränder, denn Souveränität ist etwas zum Nachprüfen, nicht zum Blind-Vertrauen - unser Katalog bietet auch eine globale Modell-Ebene, die außerhalb der EU geroutet wird, im Portal klar als non-sovereign gekennzeichnet, sodass Sie einen Workload EU-only halten können, wenn er es muss, und manche Betriebsdaten werden von einem US-Sub-Prozessor unter Standard Contractual Clauses verarbeitet: rechtmäßig nach DSGVO, aber dennoch ein Transfer, weshalb wir ihn im DPA benennen, statt ihn zu verbergen.

Quellen

Verwandte Begriffe

Sehen Sie, wie EU-Jurisdiktion, Data Residency und ein unterzeichenbarer DPA auf unserer EU-souveränen AI-Plattform zusammenkommen - Kontrolle, an der Sie uns festhalten können, kein Siegel.

Bereit, die Zukunft der AI in Europa zu gestalten?

Schließen Sie sich zukunftsorientierten Unternehmen an, die Souveräne KI mit Weltklasse-Performance einsetzen