Such-KI und DSGVO sind kein Widerspruch, wenn man die richtigen Fragen stellt. Wir sehen drei Fallen, in die viele Setups laufen, und zeigen, wie man sie vermeidet.
Falle 1: US-Hosting trotz EU-Niederlassung
Viele namhafte Search-Anbieter haben eine EU-Tochter und werben mit „DSGVO-konform". Im Kleingedruckten: die Daten werden auf US-Servern verarbeitet, oft mit Sub-Prozessoren in dritten Ländern. Die EU-Tochter ist die Rechnungs-Anschrift, nicht der Verarbeitungs-Ort.
Was Sie konkret prüfen sollten:
- Wo werden die Daten tatsächlich verarbeitet? (nicht „wo ist das Unternehmen ansässig")
- Welche Sub-Prozessoren werden eingesetzt? Liste anfordern.
- Gibt es eine EU-Standardvertragsklausel (SCC) für jeden Drittstaaten-Transfer?
Falle 2: Tracking der Endkunden
Viele Search-Anbieter erheben Tracking-Daten auf Endkunden-Ebene: IP, User-ID, Browser-Fingerprint. Das ist Teil der „Personalisierungs-Versprechen". Aus DSGVO-Sicht: zustimmungspflichtig und im Cookie-Banner zu deklarieren.
Bei Eywora ist die Personalisierung anonym: kein User-Tracking, keine Cookies, keine IP-Speicherung. Personalisiertes Re-Ranking läuft pro Session, anonym. Was nicht erhoben wird, kann auch nicht datenschutzkritisch werden.
Falle 3: Black-Box-KI ohne Erklärbarkeit
Art. 22 DSGVO erlaubt automatisierte Entscheidungen nur unter bestimmten Bedingungen, und fordert Transparenz. Wenn Sie nicht erklären können, warum ein Produkt auf Platz 1 rankt, ist das datenschutzrechtlich heikel, sobald Personalisierung im Spiel ist.
Lösung: Search Debugger. Für jeden Treffer sehen Sie, welche Faktoren mit welchem Gewicht zum Ranking beitrugen. Damit ist die KI-Entscheidung erklärbar, auch gegenüber Aufsichtsbehörden.
- US-Hosting im Hintergrund
- IP- und User-Tracking
- Black-Box-Ranking
- Hosting nur in Deutschland
- Anonyme Personalisierung
- Search Debugger erklärt alles
Was eine wirklich DSGVO-konforme Such-KI ausmacht
- Hosting in der EU, idealerweise in Deutschland. Keine Daten-Transfers in Drittstaaten.
- AVV (Auftragsverarbeitungsvertrag) inklusive, ohne Mehrkosten oder Pro-Forma-Verträge.
- Anonyme Personalisierung, keine User-IDs, keine Tracking-Cookies.
- Erklärbarkeit durch Search Debugger oder vergleichbare Transparenz-Tools.
- Klare Sub-Prozessor-Liste, dokumentiert und änderungsfähig mit Vorlauf.
- 30-Tage-Löschung nach Vertragsende, mit Bestätigung.
Eywora-Position
Wir haben Eywora aus der Praxis heraus gebaut. „Eywora sammelt keine Kundendaten" ist kein Marketing-Slogan, sondern ein technischer Designsatz: das System ist so gebaut, dass es Kundendaten gar nicht braucht, um zu performen.
Hosting in Deutschland, AVV inklusive, ISO 27001 in Vorbereitung, TISAX auf Anfrage. Details auf der Datenschutz-Seite und im AVV-Standardtext.
Drei Fragen, die Sie jedem Anbieter stellen sollten
- „Wo werden meine Daten tatsächlich verarbeitet?", Server-Standorte sollten klar dokumentiert sein, nicht nur die Firmen-Adresse.
- „Welche personenbezogenen Daten erheben Sie über meine Endkunden?", Idealantwort: keine. Realität: oft IP, User-ID oder Session-Tracking. Lassen Sie sich die Liste schriftlich geben.
- „Können Sie mir für einen konkreten Treffer erklären, warum er rankt?", Wenn die Antwort „das ist die Black-Box-KI" lautet, sind Sie bei Art. 22 DSGVO in Gefahr.