Lokale vs. Cloud-KI — Entscheidungsmatrix nach Branche.
Die Frage „lokal oder Cloud“ wird in der Praxis oft falsch entschieden — entweder zu paranoid (alles lokal, auch wenn unnötig) oder zu naiv (sensible Daten in US-Clouds). Wir geben dir eine ehrliche Entscheidungsmatrix pro Branche.
Es gibt im KI-Bereich zwei Lager: die einen sagen „Cloud ist unsicher, alles lokal“, die anderen „Cloud ist bequemer, mach einfach“. Beide haben in Teilen recht und in Teilen Unrecht. Die ehrliche Antwort lautet: es kommt darauf an — und zwar auf die Daten, mit denen du arbeitest, nicht auf die Marketing-Versprechen des Anbieters.
Die drei Grundtypen
- Lokal — Modell läuft auf deiner eigenen Hardware. Daten verlassen nie das Gerät / Netzwerk.
- Hybrid — Standardmäßig lokal, bei rechenintensiven Aufgaben wird auf externe Cloud-Modelle ausgewichen. Du steuerst, was wann wohin geht.
- Cloud — Modell läuft komplett bei einem externen Anbieter. Daten werden gesendet, verarbeitet, Antwort kommt zurück.
Snowbyte unterstützt alle drei Modi — du wählst pro Use-Case.
Die zwei DSGVO-Grundfragen
Bevor du eine Entscheidung triffst, beantworte für die Daten, die in den Prompt fließen:
- Handelt es sich um personenbezogene Daten? (Namen, Adressen, IDs, Gesundheitsdaten, Mitarbeiter-Infos...) Wenn ja: DSGVO greift.
- Gibt es eine besondere Schutzbedürftigkeit? (Mandanten-Akten, Patientendaten, Bankdaten, biometrische Daten) Wenn ja: lokal ist quasi Pflicht.
Wenn beide Fragen mit „Nein“ beantwortet sind (etwa: allgemeine Recherche, öffentlich verfügbare Informationen, Marketing-Texte ohne Personenbezug), ist Cloud völlig unproblematisch.
Die Branchen-Matrix
| Branche | Empfehlung | Begründung |
|---|---|---|
| Anwaltskanzlei | Lokal (Pflicht) | § 43a BRAO — Verschwiegenheitspflicht. Mandantendaten dürfen nicht an externe Verarbeiter ohne expliziten Auftrags-Datenverarbeitungsvertrag. |
| Arztpraxis | Lokal (Pflicht) | § 203 StGB + DSGVO Art. 9. Gesundheitsdaten sind „besondere Kategorie“ mit erhöhten Anforderungen. |
| Bank / Versicherung | Lokal oder Auftragsverarbeitung | BaFin-Anforderungen. Mit einem ordentlichen DPA können bestimmte Cloud-Dienste genutzt werden — aber selten ohne Bank-internes Compliance-Team. |
| Steuerkanzlei | Lokal (empfohlen) | § 57 StBerG — Berufsverschwiegenheit. Cloud nur mit Auftragsverarbeitung + ausdrückliche Mandanten-Einwilligung. |
| Handwerk / Bau | Hybrid OK | Geschäftsdaten meist nicht hochsensibel. Lokale Lösung für Mandantenpost, Cloud für allgemeine Recherche kein Problem. |
| Marketing / Agentur | Cloud meist OK | Solange keine Kundendaten in Prompts gelangen, ist Cloud unproblematisch. Achtung bei Kunden-Kampagnen mit personenbezogenen Daten. |
| Privatperson | Cloud OK | Wenn du nur eigene Texte und allgemeine Fragen stellst — kein Problem. Bei eigenen sensiblen Dokumenten (Mietverträge, Arztbriefe) lieber lokal. |
| Öffentliche Hand | Lokal (faktisch Pflicht) | Bundes-DSG, Landes-DSG, Verwaltungsdatenschutz. Cloud nur mit BSI-zertifizierten Anbietern und sehr engem Rahmen. |
Die drei wichtigsten Compliance-Stolperfallen
Stolperfalle 1: „Wir haben einen Auftragsverarbeitungsvertrag“
Ein AVV ist nötig — reicht aber nicht aus, wenn die Daten z. B. in die USA fließen und der Anbieter dem US-CLOUD-Act unterliegt. Schrems II hat den Privacy-Shield gekippt; viele US-Cloud-Anbieter sind seitdem datenschutzrechtlich heikel, auch mit Standardvertragsklauseln.
Stolperfalle 2: „Die Daten sind anonymisiert“
Anonymisierung im DSGVO-Sinn ist anspruchsvoll. Pseudonymisierung (z. B. Mandanten-Nr. statt Namen) ist nicht anonym — die Daten bleiben personenbezogen. Echte Anonymisierung schlüsselt sich nicht mehr zurückverfolgen.
Stolperfalle 3: „Die KI lernt nicht aus unseren Daten“
Viele Cloud-Anbieter behaupten, deine Prompts würden nicht zum Training genutzt. Das mag stimmen — aber: die Daten werden trotzdem verarbeitet, gespeichert (auch wenn nur temporär), und unterliegen den Gesetzen des Anbieter-Standorts. Vertraue dem nur, wenn der Anbieter es vertraglich zusichert und EU-rechtlich greifbar ist.
Wann ist Hybrid die richtige Lösung?
Hybrid ist sinnvoll, wenn du:
- Mal lokale Inferenz brauchst (sensible Daten), mal Cloud-Power (allgemeine Recherche, Marketing-Texte).
- Auf Cost-Effizienz achtest — kleine Modelle lokal, große Modelle gegen Bezahlung in der Cloud.
- Eine Kontrolle willst, welche Daten extern verarbeitet werden.
Snowbyte's Hybrid-Mode zeigt dir vor jeder Cloud-Anfrage, was rausgeschickt würde — du musst aktiv freigeben. So passiert kein Versehen.
Praxis-Checkliste vor jedem Cloud-Prompt
Bevor du einen Prompt an ein Cloud-Modell schickst, geh diese Checkliste durch:
- Enthält der Prompt Klar-Namen / Adressen / IDs? → Vorher entfernen oder ersetzen.
- Ist das beigefügte Dokument vertraulich? → Lokal arbeiten oder ausdrücklich freigegebenes Material verwenden.
- Würde es mich stören, wenn dieser Prompt + Anhang öffentlich würde? → Wenn ja: nicht in die Cloud.
Diese drei Fragen kosten 5 Sekunden — und verhindern 99 % aller Datenschutz-Vorfälle.
Was als Nächstes?
Wenn du Cloud-Anbindung brauchst, lies RAG vs. Fine-Tuning — dort erklären wir, wie du auch lokal mit eigenen Daten arbeiten kannst, ohne Cloud-Risiko. Für den größeren Compliance-Rahmen geht's zu EU AI Act Artikel 4.
Wissens-Check — sichere dir den Fortschritt
5 Fragen, alle Multiple Choice. Ab 4 von 5 richtig wird dieser Artikel in deinem Zertifizierungs-Pfad als bestanden markiert. Du brauchst einen Snowbyte-Account, um den Fortschritt zu speichern.
Lies weiter mit Snow Academy — ab 14 €/Monat.
Dieser Artikel ist Teil der gepflegten Snow Academy. Mit einem Privat- oder Business-Abo bekommst du vollen Zugriff auf alle Artikel, Quizze und das Zertifizierungs-Programm.