Governance & Sicherheit

DSGVO, Sicherheit & digitale Souveränität — ohne Bremse

Governance ist im deutschen Mittelstand kein Beiwerk, sondern die Bedingung für den Rollout. Datenschutzbeauftragter, Einkauf und Betriebsrat entscheiden mit. Laut Bitkom 2025 haben nur 23 % der Unternehmen feste Regeln für den KI-Einsatz — 77 % arbeiten ohne Governance. Dieses Kapitel zeigt, wie du Sicherheit, Beschaffung und Mitbestimmung so aufsetzt, dass sie tragen statt bremsen.

23 %

haben KI-Regeln

93 %

bevorzugen DE-Anbieter

Datenschutz-Level

2–3 Tage

bis zum AVV

Bitkom 2025 · meinGPT-Plattform · anonymisiert

Datenschutz pro Use-Case — kein Alles-oder-Nichts

Die meisten Anbieter zwingen dich zu einer einzigen Datenschutz-Einstellung für das ganze Unternehmen. Wir trennen das in vier Level, einstellbar pro Use-Case. Das gewählte Level bestimmt die zulässigen Unterauftragnehmer und damit den Inhalt deines AVV.

Level 1 · EU Only

Behörden, Gesundheit, Finanz

Level 2 · EU Hosting

Standard für die meisten

Level 3 · Worldwide + DPF

US-Anbieter mit Framework

Level 4 · Worldwide + PII-Filter

maximale Modellauswahl

Ein produzierender Mittelständler nimmt seine GxP-Prozesse bewusst aus dem Scope und fährt Level 1, während die Marketing-Abteilung im selben Haus Level 4 mit PII-Filter nutzt. So bleibt jede Aufgabe auf dem passenden Schutzniveau.

Originaldaten bleiben bei dir

Der DataVault läuft on-premise in deiner Infrastruktur. Deine Dokumente und Embeddings verlassen den Standort nie. Nur die für eine Frage relevanten Textschnipsel gehen verschlüsselt an die Cloud, werden stateless verarbeitet und danach gelöscht. Ein Rate-Limit verhindert Massen-Exfiltration. Bei einem Cloud-Vorfall sind deine sensiblen Daten geschützt, weil sie nie dort lagen.

Azure OpenAI EU-DataZone — verifizierbar, nicht versprochen

Der häufigste Einwand des Datenschutzbeauftragten lautet: „OpenAI heißt USA, also verboten." Das stimmt für die Standard-API. Wir nutzen den Azure OpenAI Service in der EU-DataZone: dieselben GPT-Modelle, aber ohne Zugriff durch OpenAI, ohne Trainingsnutzung, mit Verarbeitung ausschließlich in der EU.

Das Entscheidende: Du kannst es selbst prüfen. Ein Befehl der Azure-CLI zeigt, dass das Abuse-Monitoring deaktiviert ist.

az cognitiveservices account show -n resource_name -g resource_group
# zeigt "ContentLogging": "false"

Der Unterschied zwischen „Hosting in Frankfurt" und Souveränität ist der zwischen einer Adresse und einem Vertrag.

Research Digitale Souveränität 2026

Schreibzugriffe — restriktiv starten, kontrolliert freigeben

Lesende Integrationen sind die sichere Standard-Posture: Der RAG-Suchindex durchsucht dein Wissen, ohne etwas zu verändern. Wo KI in Systemen handeln soll, greift JWT-Identity-Forwarding: meinGPT gibt einen signierten Token (RS256, eine Stunde gültig) an das Zielsystem weiter, das Nutzer und Organisation sicher identifiziert. Schreibzugriffe werden damit auditierbar und übernehmen die Berechtigungen aus dem Quellsystem. Der Admin startet restriktiv und gibt Methoden und Scopes per Policy kontrolliert frei.

Beschaffung, die der Einkauf unterschreiben kann

Den AVV erstellen wir in 2–3 Werktagen — inklusive vollständiger TOMs, einem Verzeichnis der Unterauftragnehmer für dein gewähltes Level und den Datenschutz-Informationen zu den Modellen. Als externen Datenschutzbeauftragten setzen wir auf heyData. Betroffenenrechte nach Art. 15 und 17 DSGVO sind automatisiert umsetzbar.

Betriebsrat — früh einbinden, schnell ausrollen

Die Mitbestimmung nach § 87 BetrVG ist real, nicht optional. Das ArbG Hamburg (Az. 24 BVGa 1/24) hielt fest: Sobald ein Unternehmen Corporate-Lizenzen einkauft, entsteht das Mitbestimmungsrecht. Es gibt keinen Trick, das zu umgehen.

Aus über 100 KI-Rollouts sehen wir das Muster klar: Wer den Betriebsrat früh einbindet, rollt schneller aus. Wer ihn auf „später" verschiebt, verliert Wochen im Mitbestimmungstermin. Deshalb sind Anonymisierung der Nutzungsmetriken und dokumentierbare Zweckbindung Produkt-Features, nicht Versprechen — und eine Betriebsvereinbarungs-Vorlage gehört zum Service.

Was den Betriebsrat überzeugt

Die Plattform liefert technisch, was die Betriebsvereinbarung fordert:

Togglebare Anonymisierung — Metriken aggregiert, keine Einzelprofile
Kein Profiling als Default, mit Audit-Trail der Admin-Einstellungen
Zweckbindung über Assistant-Governance und Usage Policies
Export & Löschung pro Nutzer für DSGVO Art. 15/17
Transparente Sub-Prozessor-Listen für die Betriebsrats-Akte

Eine Betriebsvereinbarungs-Vorlage spart realistisch 3–5 Anwaltsstunden.

Souveränität ist eine Architektur, kein Label

Geografie ist nicht Jurisdiktion. Vor dem französischen Senat bestätigte Microsoft im Juni 2025 unter Eid, dass US-Behörden über den CLOUD Act auf EU-Daten zugreifen können — auch innerhalb des EU Data Boundary. Ein Server in Frankfurt allein löst das nicht. Als ein europäischer Großkonzern im Dezember 2025 seinen Cloud-Ausstieg ankündigte, war das ein Signal an den Mittelstand.

Souveränität ist kein Label, sondern eine Architektur.

meinGPT · Kern-These zur digitalen Souveränität

Unsere Antwort ist baulich: Multi-Modell statt Single-Vendor, EU-Hosting als Default, vier Datenschutz-Level und ein PII-Filter. Die Plattform ist made und hosted in Germany (Hetzner, Ökostrom), extern pentestet (SySS) und durch ein Bug-Bounty-Programm abgesichert.

Wo du weiterliest

Governance entscheidet nicht über das Ob, sondern über das Wie des Rollouts. Wie Schreibzugriffe in der Praxis tief in deine Systeme gehen, zeigt Automatisierung. Wie du den Betriebsrat als Verbündeten gewinnst, vertieft das Change Management. Und wie sich der gesamte Rollout in Stufen ordnet, liest du in der Strategie sowie im konkreten Ablauf unter Rollout.