Wie ein pragmatischer KI-Stack mit EU-Hosting und DSGVO-Fokus aussieht
Ein DSGVO-fähiger KI-Stack ist keine einzelne „EU-Checkbox“, sondern eine Architektur aus Region, Datenfluss, Zugriff, Logging und Vertragskette. Für Dienstleister und Agenturen reicht oft: EU-gehostete App- und Datenbank-Schicht, klar dokumentierte Modell-API-Pfade, getrennte Umgebungen und Retention auf Logs.
Steve Baka empfiehlt: Datenhoheit dort, wo Personenbezug entsteht (CRM, Vektordatenbank, Tickets) — Modell-API nur mit minimierten Payloads und AVV/TIA. Primärquellen: EDPB Opinion 28/2024 (öffnet in neuem Tab), DSK KI-Orientierungshilfe (öffnet in neuem Tab).
Zielbild: Ihr könnt in einem Architekturdiagramm jeden Pfeil mit Rechtsgrundlage und Löschfrist erklären.
Architekturbausteine und typische Datenflüsse
Frontend/Workflow (z. B. Next.js auf EU-Edge/Region) → Orchestrierung (Agent, Queues) → Daten (Postgres/Supabase EU, Object Storage EU) → Modell-API (ggf. US mit TIA) → Monitoring (EU, ohne Roh-Prompts). RAG: Ingest in EU, Embeddings in EU, nur Query-Snippets an API wenn nötig.
Schlüsselmanagement: Secrets in Vault/Platform Secrets, Rotation, getrennte Keys pro Umgebung. Keine Produktionsdaten in Entwickler-Laptops.
Details zu Transfer: AVV und TIA. Details zu Policies: DSGVO-LLM-Checkliste.
Hosting-Regionen und Betriebsgrenzen
Wählt Regionen nach Datenresidenz der verarbeiteten Inhalte, nicht nach Latenz allein. EU-Region für DB und Logs; API-Anbieter nur, wenn TIA und Maßnahmen dokumentiert sind. OpenAI Data Controls (öffnet in neuem Tab) und Enterprise-Optionen sind Bausteine — kein Ersatz für eigene Datenfluss-Map.
Betriebsgrenzen: max. Prompt-Größe, verbotene Datenklassen in Prompts (Gesundheit, vollständige Verträge ohne Freigabe), Rate Limits, Timeout → sichere Queue.
Verknüpfe mit Hybrid-Routing, wenn mehrere Modell-Pfade parallel laufen.
Logging, Monitoring und Löschung
Logge Entscheidungen (siehe HITL), nicht zwingend vollständige Prompts. Retention: z. B. 30–90 Tage je Sensibilität, danach Löschung oder Anonymisierung. Monitoring: Fehlerrate, Latenz, Kosten — getrennt von personenbezogenen Inhalten.
Incident-Pfad im Governance-Rollenkonzept verankern.
Limit: „EU-Hosting“ bei Subprocessors in Drittländern bricht die Kette — Subprocessor-Liste prüfen.
Entscheidungs-Checkliste vor Go-Live
□ Datenfluss-Map signiert □ AVV/TIA für jeden Transfer □ EU-DB und Backups in EU □ Rollen und Secrets □ Retention □ Pilot mit KPI □ Review mit Legal bei Mittel/Hochrisiko.
Für Integrationslasten: CRM/E-Mail-Architektur. Für Kosten: OpenAI vs. Open Source Kostenmodell.
So wird EU-Stack zum Betriebsmodell — nicht zum Verkaufsargument ohne Substanz.
