DSGVO-konformes KI-CRM: Datenresidenz, CLOUD Act und EU AI Act
EU-Rechenzentrum heißt nicht EU-Recht: Was der CLOUD Act für KI-CRMs bedeutet, welche Fragen KMU jedem Anbieter stellen sollten und wie Datensouveränität wirklich geht.
"Unsere Daten liegen in Frankfurt, also sind wir DSGVO-konform." Dieser Satz beruhigt viele Geschäftsführungen, und er ist leider zu kurz gedacht. Wo Daten liegen und welches Recht auf sie zugreifen kann, sind zwei verschiedene Fragen. Für KI-CRMs, die Kundendaten durch Sprachmodelle schicken, wird der Unterschied geschäftsrelevant. Hier ist die Einordnung ohne Juristendeutsch, mit einer Checkliste für jedes Anbietergespräch.
Datenresidenz ist nicht Datensouveränität
Datenresidenz beantwortet: Wo stehen die Server. Datensouveränität beantwortet: Welche Rechtsordnung kann auf die Daten zugreifen.
Der Haken heißt CLOUD Act: US-Recht kann US-Unternehmen verpflichten, Daten herauszugeben, unabhängig davon, wo diese physisch gespeichert sind. Ein EU-Rechenzentrum eines US-Hyperscalers erfüllt also die Residenz, bleibt aber über den Mutterkonzern der US-Jurisdiktion ausgesetzt. Europäische Anbieter bieten beides: Residenz und Jurisdiktion.
Dass dieses Thema keine Theorie ist, zeigen zwei Entwicklungen. Erstens die Bußgeld-Realität: Die größte Einzelstrafe wegen unzulässiger EU-US-Datentransfers liegt bei 1,2 Milliarden Euro, kumuliert haben DSGVO-Strafen die Marke von 7 Milliarden Euro überschritten. Zweitens der Markt selbst: AWS hat Anfang 2026 eine eigene europäische Sovereign Cloud mit erster Region in Brandenburg gestartet, betrieben unter separater Rechtsstruktur. Wenn die Hyperscaler eigene Souveränitäts-Angebote bauen, ist das die Bestätigung, dass Standard-Cloud das Problem nicht löst.
Wo KI-CRMs heute stehen
Die modernen KI-CRMs, von Attio bis zu den kleineren KI-nativen Anbietern, sind fast durchwegs US- oder UK-Unternehmen. Die KI-Verarbeitung läuft zusätzlich über die APIs großer US-Modellanbieter. Beides ist mit Auftragsverarbeitungsvertrag, Standardvertragsklauseln und einer Transfer-Folgenabschätzung grundsätzlich nutzbar. Aber der Aufwand und das Restrisiko liegen bei Dir:
- Du dokumentierst die Transferkette und hältst sie aktuell, bei jedem neuen Subprozessor.
- Du erklärst das Setup Deinen Kunden, deren Einkauf zunehmend nach Datenstandort fragt.
- Du beantwortest die Fragen von Datenschutzbeauftragten und gegebenenfalls Betriebsrat.
- Und Du trägst das Risiko, wenn sich die Rechtslage zu Transfers erneut dreht, was sie in den letzten Jahren mehrfach getan hat.
Im DACH-Raum kommt dazu: Die österreichische Datenschutzbehörde zählt zu den strengsten in Europa. "Alle machen das so" ist dort kein Argument.
Die Checkliste: 6 Fragen an jeden Anbieter
Stell diese Fragen jedem CRM-, ERP- oder KI-Anbieter, bevor Du unterschreibst:
- Wo werden unsere Daten gespeichert und verarbeitet, inklusive Backups und Logs, nicht nur die Produktivdaten?
- Welcher Rechtsordnung unterliegt der Anbieter und seine Muttergesellschaft?
- Welche Subprozessoren sind beteiligt, insbesondere: Welche KI-Modellanbieter, und wo verarbeiten diese?
- Werden unsere Daten für Modelltraining verwendet, und ist der Ausschluss vertraglich zugesichert?
- Wie sieht das Löschkonzept aus, und was passiert mit den Daten bei Vertragsende?
- Gibt es einen AV-Vertrag nach Art. 28 DSGVO, und deckt er die KI-Verarbeitung explizit ab?
Wenn ein Anbieter bei Frage 3 oder 4 ausweicht, hast Du Deine Antwort.
Der EU AI Act kommt dazu
Am 2. August 2026 wird die nächste Stufe des EU AI Act wirksam. Für KMU, die KI im Kundenkontakt einsetzen, heißt das im Kern: Transparenz- und Kennzeichnungspflichten, Dokumentation der eingesetzten Systeme und je nach Anwendungsfall eine Risikoeinstufung. Wer heute ein KI-System einführt, sollte diese Pflichten von Anfang an mitbauen statt nachrüsten. Für Systeme mit Telefonie und Outbound-Kontakt kommen in Österreich zusätzlich die Regeln des TKG 2021 dazu.
Unser Ansatz: Souveränität als Architektur, nicht als Feature
Bei ChangeMy.ai ist Datensouveränität kein Add-on, sondern die Bauweise:
Europäische Infrastruktur. Dein KI-Gehirn läuft auf europäischer Infrastruktur, auf Wunsch in österreichischen Rechenzentren. Datenstandort und Jurisdiktion passen zusammen.
Eigentum. Code, Daten und Modelle gehören Dir. Es gibt keinen Anbieter, der Deine Kundendaten als Asset hält, weil der Anbieter Du bist.
Keine Trainingsnutzung. Deine Daten trainieren keine fremden Modelle. Punkt, und vertraglich festgehalten.
Compliance eingebaut. Datenschutz-Folgenabschätzung, Verarbeitungsverzeichnis und die Dokumentation für den EU AI Act sind Teil des Projekts, nicht Deine Hausaufgabe danach. Auch die Grenzen des TKG 2021 für Telefonie-Agenten bauen wir direkt in die Logik ein.
So wird DSGVO vom Bremsklotz zum Verkaufsargument: Du kannst Deinen Kunden schwarz auf weiß zeigen, wo ihre Daten liegen und wem sie gehören.
FAQ
Ist ein US-CRM mit EU-Rechenzentrum automatisch DSGVO-widrig?
Nein. Mit AV-Vertrag, Standardvertragsklauseln und Transfer-Folgenabschätzung ist die Nutzung möglich. Es bleibt ein dokumentations- und erklärungsintensives Setup mit Restrisiko, und genau diesen Aufwand vermeidet eine europäische Architektur.
Reicht das EU-US Data Privacy Framework nicht aus?
Es ist die aktuelle Rechtsgrundlage für viele Transfers. Seine Vorgänger wurden zweimal gerichtlich gekippt. Wer seine Kernsysteme auf dieser Grundlage baut, baut auf eine politische Variable.
Was bedeutet der EU AI Act konkret für unser KMU?
Für die meisten KMU-Anwendungen: Kennzeichnung von KI-Interaktionen, Dokumentation der Systeme, Risikoeinstufung der Anwendungsfälle. Wir liefern die Unterlagen als Teil des Projekts mit.
Prüft Ihr auch unsere bestehenden Tools?
Ja. Im 48h-Blueprint schauen wir uns Deine aktuelle Tool-Landschaft inklusive Datenflüsse an und zeigen, wo Handlungsbedarf besteht.
Der nächste Schritt
Erzähl uns, welche Systeme Ihr heute nutzt. Du bekommst in 48 Stunden einen konkreten Bauplan, inklusive Blick auf Datenflüsse und Compliance.
[Erstgespräch buchen](https://changemy.ai/kontakt)
---
*Weiterlesen: Attio Alternative · KI-CRM Vergleich 2026 · CRM und ERP verbinden*
*Dieser Beitrag ist keine Rechtsberatung. Alle Angaben laut öffentlich zugänglichen Quellen, Stand Juli 2026, ohne Gewähr.*