DSGVO-konforme KI muss nicht die teuerste sein
Die gängige Annahme: Wer DSGVO-konform KI nutzen will, zahlt europäischen Aufpreis. Aleph Alpha statt DeepSeek. Azure statt Groq. Compliance als Kostenfaktor. Diese Annahme ist falsch — aber nur wenn man das Problem an der richtigen Stelle löst.
Die Preise sind heute nicht nachhaltig
LLM-API-Preise sind seit 2023 um rund 80 Prozent gefallen. Was GPT-4-Niveau vor zwei Jahren noch $30 pro Million Token kostete, bekommt man heute unter $1. Das klingt gut — ist aber kein Marktgleichgewicht.
Die großen Anbieter verbrennen Kapital, um Marktanteile zu sichern. Laut internen Planungsdokumenten, die von Fortune und The Information ausgewertet wurden, kalkuliert OpenAI mit kumulierten Verlusten von rund 44 Milliarden Dollar zwischen 2023 und 2028 — Profitabilität erst ab 2029 oder 2030. Analysten beschreiben die aktuellen API-Preise einheitlich als "investor-subventionierte Landnahme", die bei einem Squeeze Richtung Profitabilität oder IPO nicht zu halten ist.
Das bedeutet nicht, dass Preise morgen steigen. Es bedeutet, dass die heutige Kostenkalkulation auf einem Fundament steht, das von Investorenkapital abhängt — nicht von echten Marktpreisen.
Das Compliance-Dilemma bei günstigen Anbietern
Wer heute die günstigsten Anbieter nutzen will, stößt auf ein strukturelles DSGVO-Problem. Ein Vergleich der Output-Preise (Stand: Mai 2026, offizielle Listenpreise):
| Anbieter | Output ($/1M Token) | DSGVO-Status |
|---|---|---|
| DeepSeek V4 | $0,50 | Hochproblematisch (China, kein Angemessenheitsbeschluss) |
| DeepSeek R1 | $0,20 | Hochproblematisch (China) |
| Groq — Llama 3.3 70B | $0,79 | Problematisch (USA, CLOUD Act) |
| Mistral Small 3.2 | $0,30 | EU-nativ, DSGVO-konform |
| GPT-5 | $10,00 | Problematisch (USA, CLOUD Act) |
| Aleph Alpha — Pharia | ~$33,00 | EU-nativ, auf BSI-C5-zertifizierter Infrastruktur |
DeepSeek ist der extremste Fall: Die Berliner Beauftragte für Datenschutz hat im Juli 2025 bei Apple und Google eine Meldung nach Art. 16 DSA eingereicht, die App als illegalen Inhalt eingestuft und die Entfernung aus deutschen App-Stores erwirkt. Datentransfer nach China ohne EU-Angemessenheitsbeschluss, keine nachgewiesenen Standardvertragsklauseln — für Unternehmen mit echten Compliance-Anforderungen keine vertretbare Option.
Die EU-nativen Alternativen kosten ein Vielfaches. Aleph Alpha läuft auf STACKIT-Infrastruktur (BSI C5-zertifiziert), ist made in Germany — und für viele Anwendungsfälle preislich außerhalb des Realistischen.
Das scheinbare Ergebnis: DSGVO-konform bedeutet teuer.
Der Denkfehler
Das Problem liegt nicht beim Anbieter. Es liegt bei den Daten, die zum Anbieter gesendet werden.
DSGVO-Pflichten entstehen, weil in Prompts personenbezogene Daten enthalten sind: Kundennamen, E-Mail-Adressen, IBAN, Telefonnummern, Gesundheitsdaten. Diese Daten verlassen die EU — das ist der Auslöser für Art. 46 DSGVO, für AVV-Pflichten, für das Drittland-Transfer-Problem.
Wenn diese Daten vor dem API-Call pseudonymisiert werden, ändert sich die Ausgangslage grundlegend. Ein Prompt der statt "Schreibe eine Mahnung an Max Mustermann, IBAN DE89 3704 0044 0532 0130 00" nur noch "Schreibe eine Mahnung an [PERSON_1], IBAN [IBAN_1]" enthält, überträgt keine personenbezogenen Daten mehr im Klartext.
Das verschiebt das Compliance-Risiko. Nicht weg — aber an eine Stelle, die technisch kontrollierbar ist.
Was das in der Praxis bedeutet
Eine Proxy-Schicht zwischen Anwendung und LLM-Anbieter erkennt PII automatisch, ersetzt sie vor dem API-Call durch Platzhalter und setzt sie in der Antwort wieder ein. Die Anwendung sieht den Originaltext. Der LLM-Anbieter sieht nur pseudonymisierte Daten.
Erstens: Die Anbieterwahl bleibt offen. Wer günstige Inferenz braucht, kann Groq oder Mistral Small nutzen — mit deutlich besserem Risikoprofil als ohne Proxy, weil keine PII im Klartext übertragen wird.
Zweitens: Das Risikoniveau sinkt auch bei bestehenden Anbietern. Selbst wenn weiterhin OpenAI genutzt wird, ist der Datenschutz-Exposure geringer.
Wichtig: HMAC-Pseudonymisierung ist keine vollständige Anonymisierung im Sinne der DSGVO — der Betreiber kann mit dem Schlüssel re-identifizieren. Der Drittland-Transfer bleibt formal relevant. Aber das Risikoprofil verändert sich erheblich, weil beim LLM-Anbieter kein Klartext-PII ankommt.
Mistral als Referenzpunkt
Die Gleichung fällt nicht zwingend zugunsten nicht-europäischer Anbieter aus. Mistral Small 3.2 kostet $0,30 pro Million Output-Token — EU-nativ, günstiger als GPT-5 um Faktor 33, günstiger als Aleph Alpha Pharia um etwa Faktor 110.
Für viele Enterprise-Anwendungsfälle ist Mistral technisch ausreichend. Wer auf GPT-5 angewiesen ist, zahlt den Aufpreis für Modellqualität — nicht für Compliance.
Die eigentliche Frage
Die günstigsten LLM-Anbieter sind heute DSGVO-problematisch. Die DSGVO-konformen EU-Anbieter sind teuer. Das ist ein reales Dilemma — aber kein unlösbares.
Wer PII vor dem API-Call behandelt, entkoppelt die Compliance-Frage von der Anbieterwahl. Das ist kein Workaround, sondern Architektur: der Ort, an dem das Problem tatsächlich entsteht — der Prompt — ist auch der Ort, an dem es sich lösen lässt.
Bereit für DSGVO-konforme KI-Nutzung?
Anoniq anonymisiert alle personenbezogenen Daten automatisch bevor sie an LLM-Provider gesendet werden. OpenAI-kompatible API, keine Code-Änderungen nötig.