Google Gemini Enterprise in Deutschland: DSGVO, AVV und Compliance
Ja, Google Gemini Enterprise kann von deutschen Unternehmen DSGVO-konform eingesetzt werden — vorausgesetzt, Sie schließen Googles Auftragsverarbeitungsvertrag (AVV) ab, konfigurieren EU-Datenspeicher-Einstellungen und dokumentieren Ihre Rechtsgrundlage nach Art. 6 DSGVO. Dieser Leitfaden erklärt, welche Compliance-Schritte vor dem Einsatz von Gemini Enterprise in Deutschland erforderlich sind.
Bietet Google Gemini Enterprise einen AVV nach DSGVO?
Gemini Enterprise ist Bestandteil von Google Workspace. Google stellt für alle Workspace-Kunden — einschließlich Gemini Enterprise-Nutzer — einen Auftragsverarbeitungsvertrag (AVV) bereit, der die Anforderungen nach Art. 28 DSGVO erfüllt.
Der AVV umfasst:
- Standardvertragsklauseln (SCC) für internationale Datentransfers
- Eine veröffentlichte Unterauftragnehmer-Liste mit Änderungsbenachrichtigungspflichten
- Zusagen zur Datenlöschung und Datenportabilität
Zur Aktivierung des DSGVO-Schutzes muss Ihre Organisation Googles AVV über die Workspace Admin-Konsole akzeptieren. Der AVV gilt nicht automatisch — dieser Schritt ist vor der Verarbeitung personenbezogener Daten mit Gemini Enterprise zwingend erforderlich. Einen umfassenden Überblick über AVV-Anforderungen bei KI-Tools finden Sie in unserem Leitfaden zu Auftragsverarbeitungsverträgen für KI-Tools.
EU-Datenspeicherung bei Gemini Enterprise
Google Cloud betreibt Rechenzentren in Frankfurt (europe-west3) und weiteren EU-Regionen. Über die Google Workspace Datenregionen können EU/EWR-Kunden ihren Tenant so konfigurieren, dass abgedeckte Daten im Ruhezustand in europäischen Rechenzentren gespeichert werden.
Wichtige Einschränkungen sind jedoch zu beachten:
- Daten in der Übertragung und temporäre Verarbeitung können weiterhin über Nicht-EU-Infrastruktur laufen, insbesondere bei der KI-Modell-Inferenz.
- Gemini-Modelltraining: Google hat bestätigt, dass Workspace-Kundendaten bei aktivem AVV nicht zum Training von Gemini-Modellen verwendet werden.
- Support-Zugang: Googles globale Support-Teams können zu Fehlerbehebungszwecken auf Daten zugreifen; überprüfen Sie den AVV auf Details zu Support-Datenzugriffskontrollen.
Unternehmen in regulierten Branchen (Finanzwesen, Gesundheitswesen, Rechtsdienstleistungen) sollten Datenspeicher-Konfigurationen mit ihren IT-Teams verifizieren und verbleibende Transferrisiken nach Art. 44–49 DSGVO dokumentieren.
Gemini Enterprise und der EU AI Act
Unter dem EU AI Act richten sich Ihre Pflichten nach der konkreten Nutzung von Gemini Enterprise in Ihrem Unternehmen — nicht nach dem Tool selbst.
Minimales/begrenztes Risiko (die meisten betrieblichen Anwendungsfälle):
- Dokumentenentwurf, Zusammenfassungen, interne Suche
- Code-Unterstützung und Entwicklerproduktivität
- Marketing-Texte und Inhaltsgenerierung
Diese Nutzungen fallen typischerweise unter die Kategorien minimales oder begrenztes Risiko des AI Acts. Transparenzpflichten gelten, wenn Gemini direkt mit Endnutzern interagiert, die annehmen könnten, mit einem Menschen zu sprechen — eine Offenlegung ist dann erforderlich.
Höherrisiko-Anwendungsfälle mit erweitertem Compliance-Aufwand:
- Einsatz von Gemini für Personalentscheidungen (Recruiting, Leistungsbewertung) — klassifiziert als Hochrisiko nach Anhang III des AI Acts
- Bonitätsbewertung von Kunden
- Zugang zu wesentlichen Dienstleistungen
Berührt Ihre Nutzung diese Bereiche, müssen Sie eine Konformitätsbewertung durchführen, technische Dokumentation vorhalten und eine aussagekräftige menschliche Aufsicht sicherstellen. Für Rechtsdienstleister in Deutschland und Professional-Services-Unternehmen gelten bei kundenseitigen LLM-Deployments besonders strenge Anforderungen.
Gemini Enterprise vs. Claude Enterprise vs. ChatGPT Enterprise — DSGVO-Vergleich
| Merkmal | Gemini Enterprise | Claude Enterprise | ChatGPT Enterprise |
|---|---|---|---|
| DSGVO-AVV verfügbar | Ja (Workspace-AVV) | Ja | Ja |
| EU-Datenspeicherung möglich | Ja (Workspace Datenregionen) | Eingeschränkt | Ja (EU-Hosting) |
| Modelltraining-Opt-out | Ja (AVV erforderlich) | Ja (standardmäßig) | Ja |
| Unterauftragnehmer-Liste veröffentlicht | Ja | Ja | Ja |
| AI-Act-Risikostufe (typische Nutzung) | Begrenzt | Begrenzt | Begrenzt |
Detaillierte Bewertungen der Alternativen finden Sie auf unseren Seiten zu Claude Enterprise DSGVO-Compliance und ChatGPT Enterprise für deutsche Unternehmen.
Betriebsratsanforderungen
Wenn Gemini Enterprise die Arbeitsweise von Mitarbeitenden in Deutschland beeinflusst, kann der Betriebsrat Mitbestimmungsrechte nach §87 BetrVG haben. Dies gilt insbesondere dann, wenn das Tool:
- Mitarbeiteraktivitäten oder Produktivität überwachen könnte
- Leistungsbewertungen beeinflussen könnte
- Etablierte Arbeitsprozesse wesentlich verändern würde
Binden Sie den Betriebsrat frühzeitig ein. Dokumentieren Sie klar, auf welche Daten das Tool zugreift, welche Ergebnisse es erzeugt und wie es individuelle Arbeitsabläufe beeinflusst. Eine mit dem Betriebsrat abgestimmte Nutzungsrichtlinie reduziert das Rechtsrisiko erheblich.
Compliance-Checkliste für deutsche Unternehmen
Vor dem Einsatz von Gemini Enterprise:
- Googles AVV in der Workspace Admin-Konsole akzeptieren
- EU-Datenregion-Einstellungen für Ihren Workspace-Tenant konfigurieren
- Rechtsgrundlage nach Art. 6 DSGVO festlegen (typischerweise berechtigte Interessen oder Vertragserfüllung)
- AI-Act-Risikostufe für Ihre spezifischen Anwendungsfälle bewerten
- Betriebsrat einbinden, wenn Mitarbeitende das Tool nutzen werden
- Deployment-Bewertung dokumentieren und aktuell halten
- Mitarbeitende in sachgemäßer Nutzung und Datensparsamkeit schulen
Für den Einsatz von Gemini in chatbasierten Anwendungen empfehlen wir zudem unseren Leitfaden zur KI-Chatbot-Compliance unter der DSGVO.
So hilft Compound Law
- Deployment-Bewertung für Gemini Enterprise und AVV-Prüfung
- Gap-Analyse gegenüber Art. 28 DSGVO-Anforderungen
- Betriebsratskoordination und Nutzungsrichtlinien-Erstellung
- AI-Act-Risikoklassifizierung für Ihre spezifischen Anwendungsfälle
- Laufende Compliance-Überwachung bei Änderungen der Google-Nutzungsbedingungen
Häufig gestellte Fragen
Ist Gemini Enterprise DSGVO-konform?
Gemini Enterprise kann DSGVO-konform genutzt werden, wenn Sie Googles Auftragsverarbeitungsvertrag abschließen, EU-Datenspeicher-Einstellungen konfigurieren und Ihre Rechtsgrundlage für die Verarbeitung dokumentieren. Das Tool allein stellt keine Konformität sicher — die Konfiguration und Prozesse Ihrer Organisation sind entscheidend.
Bietet Google einen AVV für Gemini Enterprise an?
Ja. Googles AVV für Google Workspace deckt Gemini Enterprise ab. Er muss über die Workspace Admin-Konsole akzeptiert werden und enthält Standardvertragsklauseln für internationale Transfers sowie eine veröffentlichte Unterauftragnehmer-Liste.
Darf Gemini Enterprise von deutschen Unternehmen genutzt werden?
Ja. Deutsche Unternehmen können Gemini Enterprise mit angemessenen Compliance-Maßnahmen nutzen: abgeschlossener AVV, EU-Datenspeicher-Konfiguration, Betriebsratseinbindung wo relevant und dokumentierte AI-Act-Risikobewertung für Ihre spezifischen Anwendungsfälle.
Verwendet Google Kundendaten zum Training von Gemini-Modellen?
Bei aktivem Workspace-AVV verwendet Google keine Workspace-Kundendaten — einschließlich über Gemini Enterprise verarbeiteter Daten — zum Training seiner KI-Modelle. Dies gilt ausschließlich, wenn der AVV für Ihren Workspace-Tenant akzeptiert und aktiv ist.
