Zum Inhalt springen
Zurück zum Blog
DSGVO Startup KI Tools Compliance Checkliste

DSGVO-Checkliste für Startups: KI-Tools rechtskonform einsetzen (2025)

Veröffentlicht am 7. Juli 2025 · Aktualisiert 3. April 2025 · 15 Min. Lesezeit · von Lurus Team

Ihr baut schnell. Euer Team liefert Features im Wochen-, manchmal Tagesrhythmus. Irgendwann hat jemand eine KI-Coding-Erweiterung installiert, und jetzt nutzt die halbe Entwicklermannschaft sie täglich. Niemand hat geprüft, ob das Tool einen Auftragsverarbeitungsvertrag hat. Niemand hat es im Verarbeitungsverzeichnis dokumentiert. Niemand hat darüber nachgedacht, wohin der Code eigentlich geht, wenn jemand auf „Senden” klickt.

Das ist typisch für europäische Startups. Die Produktivitätsgewinne von KI-Coding-Tools sind schwer zu ignorieren, und die Compliance-Seite wird oft aufgeschoben. Aber die DSGVO wartet nicht auf eure Series A.

Dieser Leitfaden ist eine praktische Schritt-für-Schritt-Checkliste. Er ersetzt keine qualifizierte Rechtsberatung, aber er hilft euch zu verstehen, was passieren muss und in welcher Reihenfolge. (Für einen Vergleich der Tools siehe: Die besten KI-Coding-Tools für EU-Entwickler 2025)

Warum Startups die DSGVO ernst nehmen müssen

Große Unternehmen haben Rechtsabteilungen, Datenschutzbeauftragte und etablierte Vendor-Review-Prozesse. Startups haben das normalerweise nicht. Aber die DSGVO gilt unabhängig von der Unternehmensgröße. Die Verordnung unterscheidet nicht zwischen einem Fünf-Personen-Team und einem Fortune-500-Konzern.

Was sich ändert, ist das praktische Risikoniveau. Startups haben typischerweise weniger formale Prozesse für die Tool-Prüfung, übernehmen neue Tools schnell nach Entwicklerpräferenz, verarbeiten Nutzerdaten vom ersten Tag an und gehen davon aus: „Wir sind zu klein, um bestraft zu werden.”

Diese Annahme ist gefährlich. Europäische Datenschutzbehörden haben Unternehmen aller Größen mit Bußgeldern belegt. Die Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen – je nachdem, was höher ist.

Über Behörden hinaus werden eure B2B-Kunden fragen. Enterprise-Kunden verlangen zunehmend Nachweise der DSGVO-Konformität während der Beschaffung. Wenn ihr nicht zeigen könnt, dass eure Entwicklungstools dokumentiert und durch AVVs abgedeckt sind, verliert ihr möglicherweise Deals.

Die Checkliste: 10 Schritte zur konformen KI-Tool-Nutzung

Schritt 1: Prüft, welche KI-Tools euer Team tatsächlich nutzt

Bevor ihr etwas fixen könnt, müsst ihr wissen, was im Einsatz ist. Das klingt offensichtlich, aber in der Praxis entdecken viele Startups Tools, von denen sie nichts wussten.

Was zu prüfen ist:

  • VS Code Erweiterungen (Copilot, Cursor, Cody, Lurus Code, etc.)
  • Browser-basierte KI-Tools (ChatGPT, Claude.ai, Gemini)
  • CLI-Tools (Claude Code, Lurus CLI, aider)
  • KI-gestützte Code-Review- oder Security-Scanning-Tools
  • Jedes Tool, das euren Quellcode oder Prompts erhält

Fragt jeden Entwickler. Erstellt eine gemeinsame Tabelle mit jedem Tool, wer es nutzt, welcher Tarif, und ob es für Kundenprojekte oder internen Code verwendet wird.

Warum das wichtig ist: Ihr könnt Art. 30 DSGVO (Verzeichnis der Verarbeitungstätigkeiten) nicht einhalten, wenn ihr nicht wisst, welche Tools Daten in eurem Auftrag verarbeiten.

Schritt 2: Klassifiziert die Daten in eurer Codebasis

Nicht jeder Code trägt das gleiche Compliance-Risiko. Ein Startup, das ein Open-Source-Entwicklertool baut, hat eine ganz andere Risikolage als eines, das Gesundheitsdaten verarbeitet.

Bewertet eure Codebasis auf:

  • Personenbezogene Daten (Namen, E-Mail-Adressen, User-IDs, IP-Adressen): unter Art. 4 DSGVO geschützt
  • Besondere Kategorien (Gesundheitsdaten, biometrische Daten, ethnische Herkunft, politische Meinungen): strengeren Regeln unter Art. 9 DSGVO unterworfen
  • Geschäftskritischer Code (proprietäre Algorithmen, Geschäftsgeheimnisse, Authentifizierungslogik): kein DSGVO-Thema per se, aber ein Vertraulichkeitsrisiko
  • Credentials und Secrets (API-Keys, Datenbankpasswörter, Tokens): sollten niemals ein KI-Tool erreichen

Wenn euer Code niemals personenbezogene Daten berührt (selten bei den meisten SaaS-Startups), ist euer Compliance-Risiko durch KI-Tools gering. Wenn ihr besondere Kategorien verarbeitet, braucht ihr den stärksten verfügbaren Schutz.

Schritt 3: Verifiziert Auftragsverarbeitungsverträge für jedes Tool

Das ist der wichtigste Compliance-Schritt – und derjenige, den die meisten Startups überspringen.

Art. 28 DSGVO ist eindeutig: Immer wenn ihr einen Drittanbieter-Service nutzt, der personenbezogene Daten in eurem Auftrag verarbeitet, müsst ihr einen schriftlichen Auftragsverarbeitungsvertrag (AVV) haben, bevor die Verarbeitung beginnt. Ein Tool ohne gültigen AVV zu nutzen ist ein eigenständiger Verstoß, selbst wenn nie ein Datenleck auftritt.

Für jedes KI-Tool auf eurer Liste, verifiziert:

  1. Bietet der Anbieter einen AVV an? Die meisten großen Anbieter tun das, aber die Qualität variiert.
  2. Ist der AVV unterschrieben oder akzeptiert? Jemand in eurem Startup muss ihn formell akzeptieren.
  3. Was sagt der AVV konkret? Achtet auf: Zweckbindung, Subunternehmer-Listen, Aufbewahrungsfristen, Modell-Training-Opt-out (oder Garantie), Datenstandort und Benachrichtigungsfristen bei Verstößen.

Wenn ein Anbieter überhaupt keinen AVV anbietet, könnt ihr dieses Tool nicht für Arbeit mit personenbezogenen Daten nutzen.

Schritt 4: Bewertet die Mechanismen für Datenübermittlungen

Wenn eines eurer KI-Tools Daten außerhalb des Europäischen Wirtschaftsraums (EWR) sendet, braucht ihr einen gültigen Rechtsmechanismus für diese Übermittlung. Hier wird es für US-basierte Tools kompliziert.

Der EU-US Data Privacy Framework (DPF) wurde im Juli 2023 verabschiedet. Allerdings hat NOYB eine umfassendere Anfechtung vor dem EuGH angekündigt. Die Grundlage ist vorerst stabil, aber nicht langfristig garantiert. Mehr Hintergrundinformationen: EU-Datensouveränität für Entwickler. Parallel dazu wurde FISA Section 702, der US-Nachrichtendiensten erlaubt, US-Unternehmen zur Herausgabe von Daten über Nicht-US-Personen zu verpflichten, im April 2024 verlängert und läuft bis April 2026.

Was Startups tun sollten:

  • Für jedes Tool, das Daten in die USA überträgt, dokumentiert den Übermittlungsmechanismus (DPF-Zertifizierung, SCCs oder beides)
  • Führt ein vereinfachtes Transfer Impact Assessment (TIA) durch: Sind die Daten sensibel genug, dass US-Behördenzugriff ein echtes Risiko darstellt?
  • Prüft, ob eine EU-only-Alternative existiert, die die Übermittlung ganz vermeidet

Der einfachste Ansatz ist, US-Übermittlungen für sensiblen Code komplett zu vermeiden. EU-gehostete Tools eliminieren diese gesamte Compliance-Ebene.

Schritt 5: Erstellt euer Verzeichnis der Verarbeitungstätigkeiten

Art. 30 DSGVO verlangt von Verantwortlichen, Aufzeichnungen über ihre Verarbeitungstätigkeiten zu führen. Auch unter der 250-Mitarbeiter-Schwelle verlangt Art. 30(5) Aufzeichnungen, wenn die Verarbeitung „nicht nur gelegentlich” erfolgt oder besondere Kategorien von Daten umfasst. Die meisten Startups, die täglich KI-Coding-Tools nutzen, fallen in die Kategorie „nicht nur gelegentlich”.

Für jedes KI-Tool dokumentiert:

FeldBeispiel
VerarbeitungstätigkeitKI-gestützte Codeentwicklung
Tool / AuftragsverarbeiterLurus Code (Scramble Cloud UG)
ZweckQuellcode-Review, Code-Generierung, Sicherheitsanalyse
DatenkategorienQuellcode, Entwickler-Prompts, Dateipfade
Personenbezogene DatenJa/Nein + Kategorien (z.B. E-Mail-Muster in Code)
RechtsgrundlageBerechtigtes Interesse (Art. 6(1)(f))
DatenübermittlungEU-only / USA via DPF+SCCs
AufbewahrungsfristGemäß AVV (z.B. keine Speicherung nach Verarbeitung)
AVV-ReferenzUnterzeichnet am [Datum], Dokumentenlink

Das muss kein 50-seitiges Dokument sein. Eine gut gepflegte Tabelle oder Notion-Seite reicht, solange sie korrekt und aktuell ist.

Schritt 6: Prüft, ob eine DSFA erforderlich ist

Eine Datenschutz-Folgenabschätzung (DSFA) ist unter Art. 35 DSGVO erforderlich, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” mit sich bringt. Ihr braucht wahrscheinlich eine, wenn euer Code besondere Kategorien von Daten verarbeitet, ihr Daten in großem Umfang verarbeitet, oder die DSFA-Liste eurer Aufsichtsbehörde KI-Tools umfasst.

Für die meisten Early-Stage-Startups, die an Standard-SaaS-Produkten arbeiten, ist eine vollständige DSFA wahrscheinlich nicht erforderlich. Aber dokumentiert eure Begründung. „Wir haben das Risiko bewertet und festgestellt, dass eine DSFA nicht notwendig ist, weil…” ist eine viel bessere Antwort als Schweigen.

Schritt 7: Legt interne Richtlinien für die KI-Tool-Nutzung fest

Einen AVV zu haben ist notwendig, aber nicht ausreichend. Eure Entwickler brauchen auch klare Regeln, wie KI-Tools verantwortungsvoll zu nutzen sind.

Eine praktische KI-Nutzungsrichtlinie sollte abdecken:

  • Zugelassene Tools: Listet auf, welche KI-Tools für Firmencode autorisiert sind.
  • Kontext-Hygiene: Niemals Credentials oder personenbezogene Datenbeispiele in KI-Prompts einfügen. Nutzt .env-Dateien und synthetische Daten.
  • Sensible Projekte: Für Gesundheits-, Finanz- oder andere sensible Daten die KI-Tool-Nutzung auf EU-only-Anbieter beschränken.
  • Kundencode: Klärt, ob Kundencode von KI-Tools verarbeitet werden darf. Viele Kundenverträge verbieten das Teilen von Code mit Dritten.

Haltet die Richtlinie kurz. Ein zweiseitiges Dokument, das Leute tatsächlich lesen, schlägt ein zwanzigseitiges Dokument, das niemand öffnet.

Schritt 8: Konfiguriert Tool-Level Datenschutzeinstellungen

Die meisten KI-Coding-Tools bieten datenschutzrelevante Konfigurationsoptionen. Nehmt euch die Zeit, sie korrekt einzurichten.

Häufige Einstellungen zum Prüfen:

  • Telemetrie: Viele Tools senden standardmäßig Nutzungsanalytik. Deaktiviert, was ihr könnt.
  • Code-Kontext-Umfang: Nutzt .aiignore oder ähnliche Konfiguration, um sensible Verzeichnisse auszuschließen.
  • Modell-Training-Opt-out: Wenn euer Anbieter Daten fürs Training nutzt, optiert explizit aus.
  • Aufbewahrung: Wählt die kürzeste verfügbare Aufbewahrungsoption.

Schritt 9: Wählt das richtige Tool für euer Risikoprofil

Nicht alle KI-Coding-Tools sind aus Compliance-Sicht gleich. So sieht die Landschaft für europäische Startups 2025 aus:

EU-gehostet, niedrigste Compliance-Last:

Lurus Code ist derzeit die unkomplizierteste Option für Startups, die KI-Coding-Unterstützung ohne den Compliance-Overhead von US-Datenübermittlungen wollen. Es ist ein deutsches Unternehmen, läuft auf EU-Infrastruktur, bietet AVVs für alle Tarife (nicht nur Enterprise) und nutzt euren Code niemals fürs Modell-Training. Ihr bekommt einen einzelnen AVV mit einer EU-Entität, und es gibt keinen Übermittlungsmechanismus, über den ihr euch Sorgen machen müsstet.

US-basiert, mit Aufwand handhabbar:

GitHub Copilot (Enterprise-Tarif) bietet EU-Datenresidenz als Konfigurationsoption. Claude Code und die Standard-Copilot-Tarife verarbeiten Daten in den USA, was bedeutet, dass ihr SCCs, ein Transfer-Assessment und Bewusstsein über die laufende DPF-Rechtslage braucht. Diese Tools sind nicht per Definition nicht-konform – sie erfordern mehr Compliance-Arbeit für eine rechtmäßige Nutzung, und diese Arbeit ist fortlaufend, während sich der rechtliche Rahmen weiterentwickelt.

Consumer-KI-Tools (ChatGPT Web, Claude.ai Free Tier):

Diese haben typischerweise keine Enterprise-AVVs und sind nicht geeignet für die Verarbeitung von Code, der personenbezogene Daten enthält, in einem professionellen Kontext.

Schritt 10: Plant regelmäßige Reviews ein

Compliance ist kein einmaliges Projekt. Die Rechtslage ändert sich (DPF-Anfechtungen, neue EuGH-Urteile), Tools aktualisieren ihre AGB, und die Nutzungsmuster eures Teams ändern sich.

Setzt einen wiederkehrenden vierteljährlichen Review: Sind neue Tools im Einsatz? Haben Anbieter AVV-Bedingungen oder Subunternehmer-Listen geändert? Hat eure Codebasis begonnen, neue Datenkategorien zu verarbeiten?

Mit guten Aufzeichnungen dauert das eine Stunde pro Quartal. Ein Jahr ausfallen zu lassen macht daraus eine Woche Nachholarbeit.

Die Kosten des Scheiterns

Jenseits von Bußgeldern (europäische Datenschutzbehörden haben allein 2023 über 2,1 Milliarden Euro an Strafen verhängt) umfassen die praktischen Kosten verlorene Enterprise-Deals (B2B-Kunden verlangen Compliance-Dokumentation), verpflichtende Abhilfemaßnahmen, die den Betrieb pausieren können, und Investorenprüfung während der Due Diligence.

Es von Anfang an richtig zu machen kostet ein paar Stunden Dokumentation. Es falsch zu machen kostet Größenordnungen mehr.

Der einfachste Weg für EU-Startups

Wenn ihr die Compliance-Komplexität minimieren wollt, während ihr eurem Team trotzdem Zugang zu leistungsstarken KI-Coding-Tools gebt, ist der einfachste Ansatz:

  1. Wählt ein EU-gehostetes KI-Coding-Tool mit eingebautem AVV (Lurus Code erfüllt dieses Profil)
  2. Dokumentiert es in eurem Verarbeitungsverzeichnis
  3. Legt eine grundlegende interne Nutzungsrichtlinie fest
  4. Reviewt vierteljährlich

Das wird nicht jeden Grenzfall abdecken, und ihr solltet trotzdem einen qualifizierten Datenschutzberater für eure spezifische Situation konsultieren. Aber es bringt euch von „wir haben keine Ahnung, ob wir konform sind” zu „wir haben eine verteidigbare Position” an einem einzigen Nachmittag.

Wenn du KI-Tools für Code-Reviews einsetzt, lies auch unseren Artikel über automatisiertes vs. manuelles Code-Review.

Brauchen wir einen Datenschutzbeauftragten, bevor wir KI-Coding-Tools nutzen können?

Nicht unbedingt. Ein DSB ist nach Art. 37 DSGVO nur verpflichtend, wenn eure Kerntätigkeiten umfangreiche Verarbeitung besonderer Kategorien, umfangreiche systematische Überwachung umfassen, oder ihr eine öffentliche Stelle seid. Die meisten Early-Stage-Startups erreichen diese Schwellen nicht. Allerdings haben einige EU-Mitgliedstaaten (wie Deutschland) niedrigere Schwellen: In Deutschland ist ein DSB erforderlich, sobald 20 oder mehr Mitarbeiter regelmäßig mit automatisierter Verarbeitung personenbezogener Daten befasst sind. Unabhängig davon, ob ihr einen formellen DSB braucht, gilt die Checkliste in diesem Artikel für eure KI-Tool-Nutzung.

Können wir Free-Tier-KI-Tools nutzen und trotzdem DSGVO-konform sein?

Es kommt auf das Tool an. Einige Free-Tier-KI-Tools bieten keinen Auftragsverarbeitungsvertrag, was bedeutet, dass ihr sie nicht rechtmäßig für die Verarbeitung von Code nutzen könnt, der personenbezogene Daten enthält. Andere, wie Lurus Code, beinhalten einen AVV sogar im kostenlosen Tarif. Prüft die spezifischen Bedingungen des Anbieters, bevor ihr annehmt, ein kostenloses Tool sei verboten oder konform. Der Tarif, den ihr bezahlt, ist weniger wichtig als die rechtlichen Vereinbarungen, die daran geknüpft sind.

Was passiert, wenn wir KI-Tools ohne AVV genutzt haben?

Technisch seid ihr in Verletzung von Art. 28 DSGVO, aber der Himmel stürzt nicht ein. Der praktische Schritt ist, jetzt AVVs in Kraft zu setzen. Unterschreibt die Vereinbarungen wo möglich rückwirkend, dokumentiert die Lückenperiode und setzt Kontrollen für die Zukunft ein. Wenn eine Aufsichtsbehörde fragt, ist die Fähigkeit zu zeigen, dass ihr die Lücke identifiziert, behoben und einen Prozess zur Verhinderung eines Wiederauftretens implementiert habt, deutlich besser als keine Kenntnis des Problems zu haben.

Reicht es, einfach ein EU-gehostetes Tool zu wählen?

Nein. Ein EU-gehostetes Tool zu wählen eliminiert das Datenübermittlungsrisiko, was der größte Compliance-Aufwand für die meisten Startups ist. Aber ihr braucht trotzdem einen AVV, ihr müsst das Tool trotzdem in eurem Verarbeitungsverzeichnis dokumentieren, und ihr braucht trotzdem grundlegende interne Richtlinien. EU-Hosting ist die stärkste Grundlage, aber kein Ersatz für den Rest der Compliance-Struktur.

Fazit

DSGVO-Compliance für KI-Coding-Tools ist nicht so überwältigend, wie es von außen aussieht. Für die meisten Startups bricht sich die praktische Arbeit herunter auf: Wisst, welche Tools ihr nutzt; stellt sicher, dass jedes einen AVV hat; dokumentiert eure Verarbeitungstätigkeiten; legt grundlegende interne Richtlinien fest; und reviewt regelmäßig.

Die größte einzelne Entscheidung ist, wohin eure Daten gehen. Ein EU-gehostetes Tool zu wählen entfernt die komplexeste Compliance-Ebene (internationale Datenübermittlungen) komplett. Das spart Rechtskosten, vereinfacht eure Dokumentation und gibt euch eine stärkere Position gegenüber Enterprise-Kunden und Investoren.

Fangt mit dem Audit an. Arbeitet euch durch die Checkliste. Investiert diese Woche eine Stunde, und ihr seid in einer grundlegend besseren Position als die meisten Startups in eurer Phase.

Weitere Artikel

DSGVO GDPR

DSGVO & KI-Coding-Tools: Was europäische Entwickler wissen müssen (2025)

Welche KI-Coding-Tools sind DSGVO-konform? Wir erklären Schrems II, FISA 702, Datenresidenz und welche Fragen du deinem KI-Tool-Anbieter stellen solltest – mit praktischer Checkliste.

DSGVO Cursor

Ist Cursor DSGVO-konform? Was EU-Entwickler wissen müssen

Eine sachliche Analyse des DSGVO-Status von Cursor: Serverstandorte, Privacy Mode, AVV-Verfügbarkeit und was EU-Entwickler vor dem professionellen Einsatz beachten sollten.

DSGVO GitHub Copilot

Ist GitHub Copilot DSGVO-konform? Eine Plan-für-Plan-Analyse

Eine detaillierte Aufschlüsselung der DSGVO-Konformität von GitHub Copilot nach Plan: Welche Pläne trainieren mit Ihren Daten, was Zero Retention wirklich bedeutet, AVV-Verfügbarkeit und die FISA-702-Herausforderung.