DSGVO, §203 StGB und KI GDPR, §203 StGB and AI

DSGVO, §203 StGB und KI — wie Ihr Unternehmen compliant bleibt

GDPR, §203 StGB and AI — How Your Company Stays Compliant

Dürfen Unternehmen in Deutschland vertrauliche Daten in KI-Systeme eingeben? Mit der richtigen technischen Architektur — ja. Können pseudonymisiert direkte Identifikatoren vor jedem externen KI-Aufruf, sodass rohe Identifikatoren Ihre Systeme nie verlassen. Und dort, wo die rechtliche Würdigung im Einzelfall bei Ihrem Datenschutzbeauftragten liegt, lassen wir Sie nicht allein: Wir arbeiten mit Ihrem Datenschutz zusammen, bringen unsere Erfahrung ein und gehen bewusst konservativ vor — wir setzen keinen Wizard ein, den wir für unsicher halten. Das Ziel: Ihren Anwendungsfall gemeinsam zur Compliance führen.

Can companies in Germany enter confidential data into AI systems? With the right technical architecture — yes, they can. Können pseudonymizes direct identifiers before every external AI call, so raw identifiers never leave your systems. And in the corner cases where the final legal call rests with your Datenschutzbeauftragter, we don't leave you on your own: we work alongside your data protection officer, bring our experience, and stay deliberately conservative — we won't deploy a wizard we consider unsafe. The goal: getting your use case to compliance, together.

Compliance-Audit anfragen Request Compliance Audit
EU-VerarbeitungEU processing · PseudonymisiertPseudonymized · On-Premise möglichOn-Premise available
Bidirektionale Pseudonymisierung
Bidirectional Pseudonymization
DSGVO-konforme EU-Server
GDPR-Compliant EU Servers
On-Premise möglich, wenn gewünscht
On-Premise available on request
Für §203-Berufsträger konzipiert
Designed for §203 professionals

Datenschutz ist in die Architektur eingebaut. Die abschließende rechtliche Bewertung trifft Ihr Datenschutz bzw. Justiziar.

Privacy is built into the architecture. The final legal assessment rests with your data protection officer or counsel.

Mehr erfahren Learn more

Wie funktioniert die bidirektionale Pseudonymisierung von Können?

How does Können's bidirectional pseudonymization work?

1

Originaldokument

Original Document

Ihr Team gibt das Dokument mit echten Namen und Daten ein — wie gewohnt.

Your team enters the document with real names and data — business as usual.

2

Automatische Pseudonymisierung

Automatic Pseudonymization

Direkte Identifikatoren — Namen, Kontaktdaten, IBAN, Steuer- und Policennummern — werden vor jedem externen Aufruf durch Platzhalter ersetzt. Die Zuordnungstabelle bleibt auf Ihren Systemen.

Direct identifiers — names, contact details, IBAN, tax and policy numbers — are replaced with placeholders before any external call. The mapping table stays on your systems.

3

KI-Verarbeitung

AI Processing

Der KI-Anbieter erhält nur die pseudonymisierte Fassung. Die echten Identifikatoren und die Zuordnung verlassen Ihre Systeme nicht.

The AI provider receives only the pseudonymized version. The real identifiers and the mapping never leave your systems.

4

Re-Identifikation

Re-Identification

Platzhalter werden automatisch durch die echten Daten ersetzt — intern, auf Ihren Systemen.

Placeholders are automatically replaced with real data — internally, on your systems.

5

Fertiges Ergebnis

Finished Result

Ihr Team erhält das fertige Dokument mit allen echten Daten — die echten Identifikatoren hat der KI-Anbieter nie gesehen.

Your team receives the finished document with all real data — the real identifiers were never seen by the AI provider.

Das Ergebnis: Ihr Team arbeitet mit echten Namen und Daten — direkte Identifikatoren verlassen Ihre Systeme nie im Klartext. Wichtig und ehrlich: Es handelt sich um Pseudonymisierung (Art. 4 Nr. 5 DSGVO), nicht um vollständige Anonymisierung. Inhaltliche und prozessuale Angaben werden — ohne diese direkten Identifikatoren — auf EU-Infrastruktur verarbeitet.

The result: Your team works with real names and data — direct identifiers never leave your systems in clear text. Honestly and precisely: this is pseudonymization (Art. 4(5) GDPR), not full anonymization. Content and process details — stripped of those direct identifiers — are processed on EU infrastructure.

Wer braucht KI, die §203 ernst nimmt?

Who needs AI that takes §203 seriously?

§203 StGB schützt Berufsgeheimnisse. Er betrifft nicht nur Anwälte und Ärzte, sondern auch eine viel größere Gruppe von Unternehmen und Fachleuten:

§203 StGB protects professional secrets. It affects not just lawyers and doctors, but a much larger group of companies and professionals:

📋

Wirtschaftsprüfer und Steuerberater

Accountants & Tax Advisors

Ihre Mandanten vertrauen Ihnen sensible Finanz- und Steuerdaten an. Die ungeschützte Weitergabe an KI-Systeme kann §203-StGB-relevant sein.

Clients trust you with sensitive financial and tax data. Passing it to AI systems unprotected can be relevant under §203 StGB.

⚖️

Unternehmensberater mit vertraulichen Mandaten

Consultants with Confidential Mandates

Interim Manager, Strategy-Berater, M&A-Experten verarbeiten täglich Geschäftsgeheimnisse. KI-Einsatz ohne Schutz kann rechtlich heikel sein.

Interim managers, strategy consultants, and M&A advisors handle trade secrets daily. Using AI without protection can be legally risky.

🏦

Finanzdienstleister und Versicherungen

Financial Services & Insurance

Bankgeheimnis, Versicherungsverträge, Kreditvergabe — alle sensibel. KI-Systeme müssen garantieren, dass diese Daten intern bleiben.

Banking secrecy, insurance contracts, credit decisions — all sensitive. AI systems must guarantee these stay internal.

🔐

Projektleiter mit Zugang zu vertraulichen Daten

Project Managers with Confidential Data Access

Jeder, der mit Geschäftsgeheimnissen, Kundendaten oder internen Strategien arbeitet, ist potenziell betroffen. Für alle ist es strafrechtlich relevant, ob Daten an Dritte weitergegeben werden — auch an KI-Anbieter.

Anyone working with trade secrets, customer data, or internal strategies is potentially affected. It's a criminal matter for everyone whether data is disclosed to third parties — including AI providers.

Wo laufen die KI-Modelle — in den USA oder in Europa?

Where do the AI models run — in the US or Europe?

Verarbeitung über EU-Infrastruktur

Processing on EU infrastructure

Können ist auf EU-Inferenz ausgelegt — über Anbieter mit Rechenzentren in Frankfurt (z. B. Google Vertex AI, AWS Bedrock). Ziel: keine Verarbeitung in den USA. Die konkrete Routing-Konfiguration stimmen wir pro Einsatz mit Ihnen ab.

Können is designed for EU inference — via providers with data centers in Frankfurt (e.g. Google Vertex AI, AWS Bedrock). The goal: no processing in the US. The concrete routing setup is agreed with you per deployment.

Weitere Sicherheitsmaßnahmen:

Additional security measures:

  • Kurze, vertraglich geregelte Aufbewahrung von API-Logs
  • Short, contractually defined retention of API logs
  • Keine Nutzung Ihrer Daten zum Training von KI-Modellen — vertraglich vereinbart
  • No use of your data for training AI models — contractually agreed
  • Für maximale Datensouveränität: On-Premise-Deployment als Option
  • For maximum data sovereignty: on-premise deployment as an option

An welchen Standards richtet sich Können aus?

Which standards does Können align with?

DSGVO Art. 28

Datenverarbeiter-Vereinbarung, Auftragsverarbeitung

Data Processor Agreement, Contract Processing

§203 StGB

Risikoreduktion durch Pseudonymisierung direkter Identifikatoren + EU-Verarbeitung

Risk reduction via pseudonymization of direct identifiers + EU processing

§62a StBerG

Anforderungen an Steuerberater-Datenverarbeitung

Requirements for Tax Advisor Data Processing

EU AI Act

Transparenz und Dokumentation von KI-Systemen

Transparency and Documentation of AI Systems

NDA / Geheimhaltung
NDA / Confidentiality

Vertraulichkeitsvereinbarungen und sichere Datenhandhabung

Confidentiality agreements and secure data handling

Die häufigsten Einwände — und wie Können sie löst

Common objections — and how Können solves them

🏢

„Unsere Kundendaten dürfen die Firma nicht verlassen"

"Our client data must not leave the company"

Die echten Identifikatoren — Namen, Kontaktdaten, Mandantennummern — verlassen Ihre Systeme nicht. Der KI-Anbieter sieht nur die pseudonymisierte Fassung; die Zuordnung bleibt bei Ihnen, und das Ergebnis wird intern wieder re-identifiziert. Hinweis: Inhaltliche Angaben werden — ohne diese Identifikatoren — extern verarbeitet.

The real identifiers — names, contact details, client numbers — do not leave your systems. The AI provider sees only the pseudonymized version; the mapping stays with you, and the result is re-identified internally. Note: content is processed externally, stripped of those identifiers.

🗽

„Die KI-Anbieter sitzen in den USA"

"AI providers are based in the US"

Stimmt — OpenAI, Anthropic und die meisten KI-Anbieter sind in den USA. Deshalb ist Können auf EU-Infrastruktur ausgelegt: Modelle über Vertex AI bzw. Bedrock in Frankfurt. Die übermittelten Daten sind pseudonymisiert und werden auf EU-Servern verarbeitet. Ziel: kein US-Transfer.

True — OpenAI, Anthropic, and most AI providers are in the US. That's why Können is designed for EU infrastructure: models via Vertex AI or Bedrock in Frankfurt. The transmitted data is pseudonymized and processed on EU servers. The goal: no US transfer.

🤐

„Ich bin zur Verschwiegenheit verpflichtet"

"I'm bound by professional secrecy"

Genau das ist der Punkt. Die bidirektionale Pseudonymisierung ist dafür entwickelt, das §203-Risiko beim KI-Einsatz deutlich zu senken: direkte Identifikatoren verlassen Ihre Systeme nicht im Klartext. Ob das in Ihrem konkreten Fall ausreicht, bewertet Ihr Berufsträger bzw. Justiziar — wir liefern die technische Grundlage dafür.

That's exactly the point. Bidirectional pseudonymization is built to substantially lower the §203 risk of using AI: direct identifiers don't leave your systems in clear text. Whether that suffices in your specific case is for your professional or counsel to assess — we provide the technical basis for it.

📊

„Werden unsere Daten zum Training verwendet?"

"Is our data used to train the AI?"

Nein. Es wird vertraglich vereinbart, dass Ihre Daten nicht zum Training von KI-Modellen verwendet werden. Die Aufbewahrung von API-Logs ist kurz und vertraglich geregelt. Und wenn Sie maximale Kontrolle wollen, ist On-Premise-Deployment als Option vorgesehen.

No. It is contractually agreed that your data is not used to train AI models. Retention of API logs is short and contractually defined. And if you want maximum control, on-premise deployment is available as an option.

☁️

„Wir wollen keine Cloud"

"We don't want cloud"

Kein Problem. On-Premise-Deployment ist als Option vorgesehen: Die Lösung läuft dann auf Ihren eigenen Servern, in Ihrem Netzwerk, unter Ihrer Kontrolle — maximale Datensouveränität. Den Umfang stimmen wir pro Projekt ab.

No problem. On-premise deployment is available as an option: the solution then runs on your own servers, in your network, under your control — maximum data sovereignty. The scope is agreed per project.

Wie sieht Ihre aktuelle Situation aus?

What's your current situation?

Wir sprechen mit Ihnen über Ihre Compliance-Anforderungen, prüfen Ihre aktuelle KI-Nutzung und zeigen auf, wo Pseudonymisierung und EU-Verarbeitung helfen können. Kostenlos und unverbindlich.

We'll discuss your compliance requirements, review your current AI usage, and show where pseudonymization and EU processing can help. Free and non-binding.

Kostenlose Compliance-Beratung Free Compliance Consultation Direkt Termin buchen Book a Call Directly
Klar, dass Ihre KI-Lösung compliant sein muss? Clear that your AI solution must be compliant? Kostenlose Beratung → Free Consultation →