Zum Hauptinhalt springen
DSGVO-konforme KI: Warum wir das Honeyfield AI Gateway gebaut haben
KI & Machine Learning

DSGVO-konforme KI: Warum wir das Honeyfield AI Gateway gebaut haben

DSGVO-konforme KI für regulierte Unternehmen: Wie das Honeyfield AI Gateway die neuesten Modelle nutzbar macht – DORA-, NIS2- und KRITIS-tauglich, über EU-Server.

Honeyfield Team
10. Juli 2026
7 Min

Es gibt im DACH-Raum gerade ein absurdes Paradox: Die Unternehmen, die am meisten von KI profitieren würden, sind die, die sie am wenigsten nutzen dürfen. Banken, Versicherungen, Gesundheitswesen, kritische Infrastruktur, öffentliche Hand: überall dieselbe Situation. Die Fachabteilungen wollen, die Compliance sagt zu Recht "so nicht".

Die Bedenken sind berechtigt. Wer Kundendaten oder interne Dokumente direkt an die API eines US-Anbieters schickt, hat ein DSGVO-Problem, und je nach Branche auch ein DORA-, NIS2- oder KRITIS-Problem. Die üblichen Auswege sind beide schlecht: entweder komplett verzichten und zusehen, wie der Wettbewerb davonzieht, oder schwächere selbstgehostete Modelle betreiben und mit den Ergebnissen leben.

Wir standen als Dienstleister für Kunden im Finanzumfeld selbst genau vor diesem Problem. Also haben wir es gelöst und daraus ein Produkt gemacht: das Honeyfield AI Gateway.

Was ein AI Gateway ist und warum es das Problem löst

Ein AI Gateway (auch LLM Gateway genannt) ist eine zentrale Vermittlungsschicht zwischen den Anwendungen eines Unternehmens und den KI-Modellen dahinter. Statt dass jede Anwendung und jedes Team direkt bei einem US-Anbieter anfragt, laufen alle KI-Anfragen über einen einzigen, kontrollierten Punkt.

Beim Honeyfield AI Gateway liegt dieser Punkt vollständig auf EU-Infrastruktur, betrieben in Frankfurt. Das ändert die Compliance-Lage grundlegend:

Datenrouting über die EU. Die Anfragen laufen über europäische Server und werden dort verarbeitet, wo europäisches Recht gilt. Kein direkter Datenabfluss der eigenen Systeme an US-Endpunkte.

Volle Nachvollziehbarkeit. Jede Anfrage ist protokollierbar: Wer hat wann welches Modell mit welcher Anwendung genutzt? Genau die Auditierbarkeit, die DORA und NIS2 von kritischen Dienstleistern verlangen.

Zentrale Kontrolle. Berechtigungen, Budgets und Modellzugriffe werden an einer Stelle verwaltet. Die Schatten-KI, bei der Mitarbeitende firmeninterne Daten in private ChatGPT-Konten kopieren, verliert ihren Nährboden, weil der offizielle Weg der bequemere ist.

Immer die neuesten Modelle. Und das ist der entscheidende Unterschied zum Selber-Hosten: Über das Gateway stehen die jeweils aktuellsten Modelle zur Verfügung. Kein Kompromiss bei der Qualität, kein eigener GPU-Cluster, kein Modell-Betrieb.

Architektur des Honeyfield AI Gateways: Anwendungen im Unternehmen greifen über EU-Infrastruktur kontrolliert auf aktuelle KI-Modelle zu

Claude und DSGVO: Die Frage, die uns am häufigsten gestellt wird

"Dürfen wir Claude überhaupt nutzen?" ist inzwischen die häufigste Frage in unseren Erstgesprächen, und die Suchanfragen dazu haben sich in den letzten Monaten vervielfacht. Die ehrliche Antwort: Es kommt darauf an, wie.

Direkt über die US-API mit personenbezogenen Daten: heikel und je nach Branche ein klares Nein der Datenschutzbeauftragten. Über eine EU-Vermittlungsschicht mit Auftragsverarbeitung, EU-Routing, Protokollierung und zentraler Kontrolle: eine ganz andere Diskussion. Genau diese Diskussion führen wir regelmäßig gemeinsam mit den Datenschutz- und Compliance-Verantwortlichen unserer Kunden, und sie endet deutlich öfter mit einem Ja.

Aus der Praxis: Alles läuft bei uns selbst darüber

Das AI Gateway ist kein Konzeptpapier, sondern seit Monaten unser eigenes Rückgrat. Unsere gesamte KI-Nutzung, von der Entwicklung über die Buchhaltung bis zu den Chatbots aus Teil 7 dieser Serie, läuft über genau diese Infrastruktur. Jeder Chatbot, den wir für Kunden bauen, ist dadurch automatisch DSGVO-konform aufgestellt, ohne dass es ein eigenes Compliance-Projekt braucht.

Wir verkaufen also nichts, was wir nicht selbst jeden Tag im Produktivbetrieb nutzen.

Für wen das relevant ist

Kurz gesagt: für jedes Unternehmen, bei dem der Satz "wir würden ja gerne, aber der Datenschutz" schon einmal gefallen ist. Besonders für Finanzdienstleister mit DORA-Pflichten, Betreiber kritischer Infrastruktur unter NIS2 und KRITIS, und Unternehmen, deren Kunden vertraglich EU-Datenverarbeitung verlangen.

Die KI-Compliance-Frage wird in den nächsten Jahren nicht kleiner, mit dem EU AI Act kommt die nächste Regulierungsebene dazu. Ein zentrales Gateway ist die Architektur, mit der man darauf vorbereitet ist, statt jedes Mal von vorn zu beginnen.

Nächster Teil: MCP-Server – die Technologie, mit der Claude und ChatGPT an echte Datenquellen angebunden werden, vom österreichischen Rechtsinformationssystem bis EUR-Lex.

Sie wollen die neuesten KI-Modelle nutzen, ohne Ihre Compliance zu riskieren? Sprechen Sie mit uns über das AI Gateway.

DSGVO-konforme KIAI GatewayLLM GatewayDORANIS2KI Compliance

Über den Autor

Honeyfield Team

Teilen

Bereit für Ihr nächstes Projekt?

Lassen Sie uns gemeinsam Ihre digitale Vision verwirklichen.