Cohere und DSGVO: Ist Cohere DSGVO-konform für den Unternehmenseinsatz?
Cohere stellt einen Auftragsverarbeitungsvertrag (AVV) bereit und unterstützt EU-Datenresidenz über private Cloud- und regionale Deployment-Optionen. Für deutsche und DACH-Unternehmen, die eine DSGVO-konforme KI-API-Alternative zu OpenAI oder Anthropic suchen, ist Cohere aufgrund seines starken Enterprise-Fokus und seiner Souveränitäts-Deployment-Optionen eine ernstzunehmende Wahl — allerdings erfordert die vertragliche und technische Einrichtung sorgfältige Vorbereitung.
Was ist Cohere?
Cohere ist ein kanadisches KI-Unternehmen, das Large-Language-Model-APIs für Unternehmen bereitstellt. Zu den Hauptprodukten gehören Cohere Command (Texterstellung), Cohere Embed (semantische Suche und Retrieval) und Cohere Rerank (Relevanzranking) — alle speziell für Enterprise- und Produktivumgebungen entwickelt.
Im Gegensatz zu verbraucherorientierten KI-Anbietern richtet sich Cohere an ML-Engineering-Teams, Datenplattformen und Enterprise-Software-Integrationen. Das wichtigste Unterscheidungsmerkmal ist der Fokus auf private Deployments: Cohere ermöglicht es Kunden, Modelle innerhalb der eigenen Cloud-Infrastruktur (AWS, Azure, GCP) oder On-Premise zu betreiben — was Datensouveränitätsfragen im Vergleich zu geteilten SaaS-APIs deutlich vereinfacht.
In Deutschland ist Cohere weniger bekannt als OpenAI oder Anthropic, aber im Enterprise-Bereich zunehmend präsent — insbesondere in Branchen mit hohen Anforderungen an Datenschutz und Datenresidenz.
Ist Cohere DSGVO-konform?
Cohere kann DSGVO-konform eingesetzt werden. Das Unternehmen stellt Enterprise-Kunden einen AVV zur Verfügung, unterstützt EU-Datenresidenz über Cloud-Provider-spezifische EU-Regionen und bietet Standardvertragsklauseln (Standard Contractual Clauses, SCCs) für internationale Datentransfers an.
Wesentliche Compliance-Faktoren im Überblick:
- AVV verfügbar: Cohere stellt einen Auftragsverarbeitungsvertrag bereit, der die Anforderungen von Art. 28 DSGVO abdeckt. Dieser ist für Enterprise-Kunden erhältlich und kann über das Vertriebs- oder Rechtsteam von Cohere angefordert werden.
- EU-Datenresidenz: Cohere unterstützt Deployments innerhalb von EU-Cloud-Regionen (z. B. AWS Frankfurt, Azure West Europe). Daten können so konfiguriert werden, dass sie im EWR verbleiben.
- Private Cloud (BYOC): Mit dem Bring-Your-Own-Cloud-Modell kann die Modell-Inferenz vollständig in der eigenen Cloud-Umgebung des Kunden stattfinden — ohne dass Daten die eigene Infrastruktur verlassen.
- Standardvertragsklauseln: SCCs stehen für Transfers aus der EU in Coheres kanadische oder US-amerikanische Infrastruktur bereit, sofern die cloud-gehostete API außerhalb einer EU-Region genutzt wird.
- SOC 2 Typ II und HIPAA: Cohere ist SOC 2 Typ II-zertifiziert und bietet HIPAA-konforme Deployments an — relevant für regulierte Branchen.
Coheres Auftragsverarbeitungsvertrag (AVV)
Coheres AVV deckt die Anforderungen von Art. 28 DSGVO für Auftraggeber-Auftragnehmer-Verhältnisse ab: Verarbeitungszwecke, Datenkategorien, Aufbewahrungsfristen und Pflichten gegenüber Unterauftragsverarbeitern.
Für deutsche Unternehmen ist der AVV der Ausgangspunkt — nicht der Endpunkt. Zusätzlich sind folgende Schritte erforderlich:
- Sicherstellen, dass SCCs vorhanden sind, wenn die cloud-gehostete Cohere-API außerhalb einer EU-Region genutzt wird.
- Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO um Cohere ergänzen.
- Eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn Cohere zur Verarbeitung sensibler personenbezogener Daten oder in risikobehafteten Anwendungsfällen eingesetzt wird.
- Den genutzten Deployment-Modus dokumentieren (geteilte API, EU-Region oder private Cloud), da dies die Datenfluss-Dokumentation wesentlich beeinflusst.
Cohere vs. OpenAI / Claude im DSGVO-Vergleich
Für Procurement-Teams, die einen datenschutzfokussierten Vergleich anstellen, ist Coheres wichtigstes Unterscheidungsmerkmal das private Deployment-Modell:
| Merkmal | Cohere | OpenAI API | Claude (Anthropic) |
|---|---|---|---|
| AVV verfügbar | Ja | Ja | Ja |
| EU-Datenresidenz | Ja (Cloud-Regionen + BYOC) | Eingeschränkt (Azure OpenAI) | Eingeschränkt |
| Private Cloud (BYOC) | Ja | Teilweise (Azure OpenAI) | Nein |
| SCCs für EU-Transfers | Ja | Ja | Ja |
| Training mit Ihren Daten | Nein (Enterprise) | Nein (API) | Nein |
Coheres Private-Cloud-Option ist besonders relevant für deutsche Unternehmen in regulierten Branchen — Finanzdienstleistungen, Gesundheitswesen, Rechtsberatung — bei denen Datenresidenz eine harte Anforderung ist. Mit einem BYOC-Deployment verlässt kein Datum die eigene Infrastruktur, was die DSGVO-Compliance erheblich vereinfacht.
EU-Datenresidenz-Optionen von Cohere
Cohere bietet drei Deployment-Modi, die für die EU-Datenresidenz relevant sind:
- Geteilte Cloud-API: Anfragen werden auf Coheres geteilter Infrastruktur verarbeitet. Daten können in Nordamerika verarbeitet werden. SCCs sind für den DSGVO-konformen Einsatz erforderlich.
- Cloud-Marketplace (EU-Region): Cohere-Modelle über AWS Marketplace oder Azure Marketplace in einer EU-Region (z. B. Frankfurt, Amsterdam) deployen. Daten verbleiben in der EU-Cloud-Region.
- Private Cloud / BYOC: Cohere-Modelle vollständig in der eigenen Cloud oder On-Premise betreiben. Keine Daten verlassen die eigene Infrastruktur. Dies ist die compliance-stärkste Option für regulierte Unternehmen.
Für deutsche Unternehmen mit strikten Datensouveränitätsanforderungen bietet Option 3 (BYOC) die sauberste Rechtsposition unter der DSGVO.
Betriebsrat und arbeitsrechtliche Anforderungen
Wird Cohere für den Einsatz durch Mitarbeiterinnen und Mitarbeiter in Deutschland eingesetzt — beispielsweise als Teil einer Entwicklungsplattform oder eines internen Suchsystems — greifen Mitbestimmungsrechte des Betriebsrats nach § 87 BetrVG.
Mitbestimmungspflicht besteht, wenn ein technisches System das Verhalten von Beschäftigten überwachen, die Leistungsbeurteilung beeinflussen oder Arbeitsprozesse wesentlich verändern kann. Eine Enterprise-KI-API, die in mitarbeiterseitige Workflows integriert wird, kann diese Schwelle erfüllen.
Vor der Einführung eines Cohere-basierten Systems sollten Sie den Betriebsrat frühzeitig einbinden, die Datenflüsse des Tools dokumentieren und eine schriftliche Nutzungsrichtlinie erstellen, die zulässige Eingaben, Datenminimieurungsanforderungen und verbotene Anwendungsfälle festlegt.
Unsere Einschätzung
Cohere ist eine starke Option für deutsche Unternehmen, die eine DSGVO-konforme KI-API mit echter EU-Datenresidenz und privaten Deployment-Möglichkeiten benötigen. Der AVV ist verfügbar, SCCs stehen für grenzüberschreitende Transfers bereit, und das BYOC-Modell beseitigt Datensouveränitätsbedenken für Organisationen, die darauf angewiesen sind.
Die wesentlichen Procurement-Schritte: AVV anfordern und unterzeichnen, Deployment-Modus klären, SCCs bei Nutzung der geteilten API abschließen, Art.-30-Verzeichnis aktualisieren und den Betriebsrat einbinden, sofern Cohere in Mitarbeiter-Workflows eingesetzt wird.
Compound Law unterstützt Sie bei der AVV-Prüfung, der SCC-Implementierung, der Erstellung einer DSFA sowie bei der Betriebsratskoordination für Cohere-Deployments in Deutschland.
Häufig gestellte Fragen
Ist Cohere DSGVO-konform?
Ja. Cohere stellt einen Auftragsverarbeitungsvertrag bereit, unterstützt EU-Datenresidenz über Cloud-Regionen und private Cloud (BYOC) und bietet Standardvertragsklauseln für internationale Transfers an. DSGVO-Konformität hängt von der korrekten vertraglichen Einrichtung und der Wahl des geeigneten Deployment-Modus ab.
Hat Cohere einen AVV (Auftragsverarbeitungsvertrag)?
Ja. Cohere stellt Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit, der die Anforderungen des Art. 28 DSGVO erfüllt. Der AVV muss unterzeichnet werden, bevor personenbezogene Daten über die Cohere-API verarbeitet werden. Den aktuellen AVV erhalten Sie über das Enterprise-Vertriebsteam von Cohere.
Bietet Cohere EU-Datenresidenz an?
Ja. Cohere unterstützt EU-Datenresidenz über Cloud-Marketplace-Deployments (AWS Frankfurt, Azure West Europe) und über das Bring-Your-Own-Cloud-Modell (BYOC). Bei einem BYOC-Deployment verlassen keine Daten Ihre eigene Infrastruktur.
Können deutsche Unternehmen Cohere Command DSGVO-konform nutzen?
Ja, mit der richtigen Einrichtung: unterzeichneter AVV, EU-Region oder private Cloud als Deployment-Option, Standardvertragsklauseln wo anwendbar, aktualisiertes Verarbeitungsverzeichnis und DSFA für risikobehaftete Anwendungsfälle. Deutsche Unternehmen sollten zudem Betriebsratspflichten vor mitarbeiterseitigen Rollouts prüfen.
Wie unterscheidet sich Cohere von OpenAI in Bezug auf die DSGVO?
Beide Anbieter bieten AVV und SCCs. Coheres Vorteil bei DSGVO-sensiblen Anwendungsfällen liegt im Private-Cloud-Deployment-Modell (BYOC), das es ermöglicht, Daten vollständig in der eigenen Infrastruktur zu halten. Das geht weiter als das, was OpenAIs Standard-API oder Azure OpenAI für Datenresidenz bieten. Weitere Details finden Sie in unserem OpenAI-API-Compliance-Leitfaden.
