Vergleichstabelle · Stand 2026
DSGVO & AI-Compliance — Anbieter im Vergleich
18 Kriterien gegen 4 Anbieter. Wenn Du AI-Provider direkt nutzt, bleibst Du allein verantwortlich für AVV, Audit-Log und DSGVO-Selfservice.
| Kriterium | OpenAI direkt | Anthropic direkt | Google Vertex AI | RealSync Dynamics |
|---|---|---|---|---|
| Datenresidenz | ||||
EU-Server erzwingbar DSGVO Art. 44 OpenAI / Anthropic: US-only. Google: EU optional auf Vertex, aber nicht Default. | ||||
Schrems-II-konform ohne Zusatzmaßnahmen eu_local-Modus läuft auf Hostinger-EU-Server, kein Drittlandtransfer. | ||||
| Verträge | ||||
AVV / DPA verfügbar DSGVO Art. 28 OpenAI / Anthropic AVV decken Schrems-II nur unzureichend (US-LawCloud Act). | ||||
Sub-Prozessoren öffentlich gelistet | ||||
Vertragssprache Deutsch + Gerichtsstand DE | ||||
| Audit-Trail | ||||
Audit-Log pro AI-Aufruf Direkt-Provider liefern nur Account-Logs, kein Per-Call-Detail. | ||||
Pro-Call: User, Modell, Tokens, Kosten, Residenz | ||||
CSV/PDF-Export für Auditor | ||||
| DSGVO-Rechte | ||||
Auskunft Art. 15 als API DSGVO Art. 15 | ||||
Löschung Art. 17 als API DSGVO Art. 17 | ||||
Datenportabilität Art. 20 DSGVO Art. 20 | ||||
| Mandanten-Isolation | ||||
Multi-Tenant mit RLS | ||||
Pro-Tenant Daten-Hoheit | ||||
| Branchen-Compliance | ||||
§ 203 StGB Mandantengeheimnis (Anwälte) Strikte EU-Local-Verarbeitung erforderlich. | ||||
BAIT / MaRisk (Finanzaufsicht) RealSync erfüllt technische Anforderungen, BaFin-Anzeige bleibt beim Kunden. | ||||
BSI IT-Grundschutz (Behörden) Vorbereitung in EU-local-Mode möglich, BSI-Zertifikat noch nicht erteilt. | ||||
| Wirtschaftlichkeit | ||||
Setup-Fee | 0 € | 0 € | 0 € | 0 € |
Compliance-Aufwand intern OpenAI direkt = Sie bauen AVV, Audit-Log, Selfservice selbst. RealSync = enthalten. | 40-160 PT | 40-160 PT | 20-80 PT | 5-15 PT |
Wie Du diese Tabelle liest
Ja — Anforderung erfüllt out-of-the-box.
Teilweise — funktioniert mit Einschränkungen / Zusatzaufwand.
Nein — nicht abgedeckt, Du musst es selbst bauen.
Quellen: EuGH Schrems-II-Urteil (C-311/18, 16.07.2020) · BfDI Positionsbestimmung KI & Datenschutz (2024) · EDSA Guidelines 03/2022 (Dark Patterns) · BSI Grundschutz-Kompendium · BaFin Rundschreiben 10/2021 (MaRisk) · Sub-Prozessoren-Status laut jeweils öffentlichen DPAs (Stand Mai 2026). Die Tabelle erhebt keinen Anspruch auf juristische Vollständigkeit; im konkreten Mandat ist Einzelberatung erforderlich.