Datenschutz bei Box AI: So erfüllt die KI-Plattform die Anforderungen der DSGVO

Künstliche Intelligenz verändert die Art und Weise, wie Unternehmen arbeiten – doch sie weckt auch berechtigte Bedenken. Laut einer BITKOM-Studie von 2024 sind 68 Prozent der Firmen der Meinung, dass der Einsatz von KI den Datenschutz in den Unternehmen vor ganz neue Herausforderungen stellt. Box AI setzt genau hier an: Box hat seine KI-Plattform von Grund auf so konzipiert, dass sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllt – ohne dass Unternehmen dabei auf die Vorteile intelligenter Automatisierung verzichten müssen.

Dieser Artikel richtet sich an Datenschutzbeauftragte, IT-Sicherheitsverantwortliche, CISOs und Compliance-Manager – insbesondere in regulierten Branchen wie Finanzen, Gesundheit und Recht –, die konkret prüfen, ob Box AI datenschutzrechtlich im Unternehmen einsetzbar ist. Sie finden hier belastbare Fakten, rechtliche Einordnungen und praktische Hinweise.

 

Was bedeutet der Einsatz DSGVO-konformer KI-Tools für Unternehmen?

Bevor Unternehmen ein KI-Tool einführen, müssen sie sicherstellen, dass dessen Nutzung mit der DSGVO vereinbar ist. Das bedeutet konkret: Jede Verarbeitung personenbezogener Daten durch ein KI-System muss auf einer Rechtsgrundlage beruhen (Art. 6 DSGVO), die betroffenen Personen müssen über die Verarbeitung informiert werden (Art. 13/14 DSGVO), und es müssen geeignete technische und organisatorische Maßnahmen (TOMs, Art. 32 DSGVO) getroffen werden.

Hinzu kommt der EU AI Act (Verordnung EU 2024/1689, auch „KI-Verordnung der EU“ genannt), der seit August 2024 schrittweise in Kraft tritt und KI-Systeme nach ihrem Risikograd klassifiziert. Unternehmen müssen künftig nicht nur die DSGVO, sondern auch diese neue KI-Verordnung beachten. Box AI ist auf beide Anforderungen vorbereitet.

Besondere Bedeutung hat in diesem Zusammenhang Art. 28 DSGVO: Wenn ein Unternehmen einen externen Dienstleister – wie Box – mit der Verarbeitung personenbezogener Daten beauftragt, ist ein Auftragsverarbeitungsvertrag (AVV) vorgeschrieben. Box stellt diesen AVV standardmäßig bereit.

 

Wie geht Box AI mit Ihren Unternehmensdaten um?

Die zentrale Frage für jeden Datenschutzbeauftragten lautet: Was passiert mit unseren Daten, wenn wir KI-Funktionen nutzen? Box gibt darauf eine klare Antwort.

 

Keine Nutzung von Kundendaten für KI-Training

Box nutzt Ihre Unternehmensdaten – also Dokumente, Metadaten und KI-Anfragen – nicht für das Training eigener oder externer KI-Modelle. Dieses Prinzip wird als „Zero Data Retention“ bezeichnet: Eingaben, die Sie an die KI senden, werden nach der Verarbeitung nicht gespeichert oder für Modellverbesserungen genutzt. Eine KI ohne Datenweitergabe ist damit kein Versprechen, sondern technisch und vertraglich verankerte Praxis.

Diese Zusicherung gilt sowohl für Box AI als auch für die integrierten Drittmodelle von Anbietern wie OpenAI, Anthropic und Google – Box hat mit diesen Partnern strikte Datenschutzvereinbarungen geschlossen, die eine Nutzung von Kundendaten für KI-Trainingsdaten DSGVO-konform ausschließen.

 

Datenspeicherung in der EU und Serverstandorte

Dass Box inklusive aller Funktionen wie Box AI die Datenspeicherung in EU-Rechenzentren anbietet, ist für europäische Unternehmen ein entscheidender Faktor. Box bietet die Möglichkeit, Daten in der EU zu speichern – inklusive Optionen für Rechenzentren in Deutschland. Damit entfällt das Risiko eines ungewollten Datentransfers in Drittländer, der nach den EuGH-Urteilen zur Drittlandübermittlung (u. a. Schrems II) problematisch wäre. 

Datensouveränität bedeutet bei Box: Sie als Unternehmen behalten die Kontrolle darüber, wo Ihre Daten gespeichert werden. Serverstandort und Speicherkonfiguration können im Rahmen Ihres Enterprise-Vertrags festgelegt werden. Erfahren Sie noch mehr über Datenschutz in Europa.

 

Verschlüsselung und Zugriffskontrollen

Box AI schützt Ihre Dokumente und Anfragen durch eine mehrschichtige Sicherheitsarchitektur:

  • AES-256-Verschlüsselung für gespeicherte Daten (at rest)    
  • TLS-Verschlüsselung für Daten während der Übertragung (in transit)    
  • granulare, rollenbasierte Zugriffskontrollen auf Ordner- und Dokumentenebene    
  • vollständige Audit-Logs für alle Datenzugriffe und KI-Aktionen    

 

KI-Anfragen verlassen die Box-Umgebung nicht ohne explizite Freigabe. Box AI Studio ermöglicht, kundenspezifische KI-Konfigurationen zu erstellen und die Nutzung von KI-Funktionen auf bestimmte Nutzendengruppen oder Inhalte zu beschränken.

 

Box AI und die DSGVO: Rechtsgrundlagen und Verarbeitungsverträge

Die rechtliche Grundlage für den Einsatz von Box AI im Unternehmen folgt einem klaren Schema, das alle wesentlichen DSGVO-Anforderungen adressiert.

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO: Box stellt einen standardisierten AVV (engl. „Data Processing Addendum“, kurz „DPA“) bereit, der die Anforderungen von Art. 28 DSGVO erfüllt. Darin geregelt sind Zweck und Dauer der Verarbeitung, die Weisungsgebundenheit von Box gegenüber dem Kunden, die Regelung zu Subauftragsnehmern sowie die Pflichten bei Datenschutzverletzungen. Das DPA können Sie auf der Seite „Datenschutz im Fokus“ einsehen.

Datenschutz by Design und by Default: Box implementiert Datenschutzgrundsätze direkt in die Produktentwicklung. Neue Funktionen – einschließlich KI-Features – werden von Beginn an mit Blick auf Datensparsamkeit und Zweckbindung entwickelt.

Betroffenenrechte: Box unterstützt Unternehmen dabei, die Rechte betroffener Personen nach Art. 15–22 DSGVO umzusetzen – also Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Personenbezogene Daten können auf Anfrage exportiert und gelöscht werden.

Drittlandtransfers: Soweit Daten in die USA übermittelt werden (z. B. bei der Nutzung von Modellen amerikanischer KI-Anbieter), stützt Box dies auf die EU-Standardvertragsklauseln (SCCs) und, sofern anwendbar, auf das EU-US Data Privacy Framework.

 

EU AI Act: Wie positioniert sich Box AI?

Der EU AI Act (KI-Verordnung EU 2024/1689), der am 1. August 2024 in Kraft trat, stellt neue Anforderungen an Anbieter und Betreiber von KI-Systemen. Box AI wird als KI-System mit geringem Risiko eingestuft – es fällt nicht unter die Hochrisiko-Kategorien des EU AI Act, die etwa für KI in kritischer Infrastruktur oder bei biometrischer Identifizierung gelten.

Für Unternehmen, die Box AI einsetzen, bedeutet dies: Sie agieren gemäß EU AI Act als Betreiber eines KI-Systems mit geringem Risiko. Die wesentlichen Pflichten betreffen die Transparenz gegenüber Nutzenden (Kennzeichnung KI-generierter Inhalte) und die interne Dokumentation. Box unterstützt seine Kunden dabei, diese Anforderungen zu erfüllen – durch die Möglichkeit der technischen Steuerung im Box AI Studio und durch eine aktive Compliance-Überwachung. Details können Sie im Box AI Trust Center nachlesen.

 

Zertifizierungen und Compliance-Nachweise von Box

Vertrauen entsteht durch nachprüfbare Zertifizierungen.

Box hält folgende unabhängig geprüfte Standards:

  • ISO 27001: Box ist nach ISO 27001 zertifiziert, dem internationalen Standard für Informationssicherheitsmanagementsysteme, der 3 Jahre gilt und jährliche Audits umfasst.    
  • SOC 2 Type II: Box ist SOC 2 Type II zertifiziert, das jährlich geprüfte Kontrollen für Sicherheit, Verfügbarkeit und Vertraulichkeit abdeckt.    
  • HIPAA: Box ist seit 2012 HIPAA-compliant und stellt für Enterprise-Kunden Business Associate Agreements (BAAs) bereit.    
  • FINRA: Box unterstützt FINRA-Anforderungen durch Archivierung und Retention für die Finanzkommunikation.    
  • FedRAMP High: Box erhielt im März 2025 die FedRAMP High-Autorisierung für Box AI/Hubs mit 421 Sicherheitskontrollen.    
  • DSGVO: Box erfüllt die DSGVO durch AVV/DPA, die Speicherung der Daten in EU-Rechenzentren und Privacy by Design.    

 

Auch Box AI profitiert von der ISO 27001-Zertifizierung der Box-Plattform: Systematische Risikoanalysen, Sicherheitskontrollen und Vendor-Management schützen auch KI-Funktionen.

Wichtig: Prüfen Sie immer, ob die jeweiligen Zertifizierungen zum Einsatztermin noch gültig sind.

 

Datenschutz in der Praxis: Box AI sicher im Unternehmen einsetzen

Die Entscheidung für ein DSGVO konformes KI-Tool ist erst der Anfang. Die rechtskonforme Einführung von Box AI im Unternehmen erfordert zusätzliche Schritte auf Ihrer Seite. Die folgenden Empfehlungen richten sich an Datenschutzbeauftragte und IT-Sicherheitsverantwortliche:

  1. Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren: Die Nutzung von Box AI ist als neue Verarbeitungstätigkeit im VVT nach Art. 30 DSGVO zu dokumentieren. Zweck, Kategorien der verarbeiteten Daten und beteiligte Auftragsverarbeiter sind zu erfassen.    
  2. Datenschutz-Folgenabschätzung (DSFA) prüfen: Wenn Box AI zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) eingesetzt wird – etwa in Gesundheits- oder HR-Prozessen –, ist eine DSFA nach Art. 35 DSGVO durchzuführen.    
  3. AVV abschließen: Stellen Sie sicher, dass der AVV mit Box unterzeichnet ist, bevor personenbezogene Daten verarbeitet werden.    
  4. Nutzendenrichtlinien festlegen: Definieren Sie intern, welche Daten in Box AI-Anfragen eingegeben werden dürfen. Sensible Daten (z. B. Patientendaten, Finanzdaten) sollten besonders geschützt oder von der KI-Nutzung ausgenommen werden.    
  5. Schulung der Mitarbeitenden: Die DSGVO-konforme Nutzung von der KI in der Cloud erfordert, dass Mitarbeitende verstehen, wie sie mit KI-Tools umgehen sollen.    

 

Durch eine konsequente Umsetzung dieser Maßnahmen stellen Sie sicher, dass die KI von Box nicht nur technisch DSGVO-konform ist, sondern auch in Ihrem Unternehmen rechtssicher eingesetzt wird.

 

Fazit: Box AI – DSGVO-konform und einsatzbereit

Box AI vereint die Vorteile moderner KI mit höchsten Datenschutzstandards. Durch Zero Data Retention, EU-Rechenzentren, umfassende Verschlüsselung und standardisierte AVV-Verträge erfüllt die Plattform DSGVO und EU AI Act von Grund auf.

Mit den entsprechenden organisatorischen Maßnahmen (VVT, DSFA, AVV, Nutzendenrichtlinien, Schulungen) können Unternehmen – insbesondere in regulierten Branchen – Box AI rechtssicher und auditierbar einsetzen.

Alle Sicherheits- und Compliance-Details entdecken

 

Häufige Fragen zum Datenschutz bei Box AI

Werden meine Unternehmensdaten von Box für das KI-Training genutzt?

Nein. Box nutzt keine Kundendaten – also weder Dokumente noch Metadaten noch die Inhalte von KI-Anfragen – für das Training eigener oder externer KI-Modelle. Dieses Prinzip gilt sowohl für Box-eigene Modelle als auch für die integrierten Modelle von OpenAI, Anthropic und Google. Die entsprechenden Datenschutzvereinbarungen mit diesen Anbietern schließen ein KI-Training mit Kundendaten vertraglich aus. Das Zero Data Retention-Prinzip ist im AVV dokumentiert. Weitere Details finden Sie auf der Seite zu Vertrauen in Box AI.

 

Ist Box AI DSGVO-konform einsetzbar?

Ja. Box erfüllt die wesentlichen DSGVO-Anforderungen: EU-Datenspeicherung, Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, Unterstützung bei der Wahrnehmung von Betroffenenrechten (Art. 15–22 DSGVO) sowie Umsetzung von Datenschutz by Design und by Default. Box ist ISO 27001-zertifiziert und SOC 2 Typ II-geprüft. Für regulierte Branchen stehen zusätzliche Compliance-Nachweise zur Verfügung. Alle rechtlichen Informationen sind auf einer gesonderten Seite einsehbar.

 

Wo werden meine Daten bei der Nutzung von Box AI gespeichert?

Box AI hält sich strikt an die Speicherregeln, die Sie für Ihr Unternehmen auf der Box-Plattform festgelegt haben: Box bietet Enterprise-Kunden die Möglichkeit, via Box Zones Daten in der EU – unter anderem in einem Rechenzentrum in Frankfurt am Main – zu speichern. Ein ungewollter Datentransfer in Drittländer findet nicht statt. Soweit aus technischen Gründen Daten in die USA übermittelt werden (z. B. bei der Nutzung von US-amerikanischen KI-Modellen), geschieht dies auf Basis der EU-Standardvertragsklauseln (SCCs). Die genauen Speicheroptionen für Ihren Vertrag besprechen Sie am besten direkt mit dem Box-Vertriebsteam.

 

Welche KI-Modelle verarbeiten meine Daten und wer hat darauf Zugriff?

Box AI nutzt Modelle von OpenAI, Anthropic und Google. Alle drei Anbieter haben mit Box strikte Datenschutzvereinbarungen abgeschlossen, die ein Training mit Kundendaten ausschließen. Mitarbeitende von Box haben keinen routinemäßigen Zugriff auf Ihre Dokumente oder KI-Anfragen. Mit Box AI Studio können Administrator:innen konfigurieren, welche KI-Modelle in ihrer Umgebung genutzt werden und welche Nutzendengruppen Zugriff auf KI-Funktionen haben.

 

Wie verhält sich Box AI gegenüber dem EU AI Act?

Box AI gilt als KI-System mit geringem Risiko gemäß EU AI Act (Verordnung EU 2024/1689). Box erfüllt die entsprechenden Transparenzpflichten und dokumentiert seine KI-Systeme entsprechend den Anforderungen der Verordnung. Für Unternehmen, die Box als Betreiber nutzen, ergeben sich daraus vor allem Pflichten zur Transparenz gegenüber Endnutzenden sowie zur internen Dokumentation. Box stellt entsprechende Unterlagen bereit und aktualisiert seine Compliance-Position regelmäßig.

 

Welche Sicherheitszertifizierungen besitzt Box?

Box hält folgende relevante Zertifizierungen: ISO 27001, SOC 2 Typ II, HIPAA, FINRA und FedRAMP. Diese werden regelmäßig durch unabhängige Dritte geprüft. Die aktuelle Liste aller Zertifizierungen ist im Box Trust Center zu finden. Prüfen Sie vor dem Einsatz, ob die für Ihre Branche relevanten Zertifizierungen aktuell gültig sind.

 

Kann ich als Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit Box abschließen?

Ja. Box stellt einen AVV nach Art. 28 DSGVO standardmäßig für alle Kunden bereit. Der AVV regelt Zweck und Dauer der Verarbeitung, die Weisungsgebundenheit von Box, den Umgang mit Subauftragsnehmern sowie die Pflichten bei Datenschutzverletzungen. Es wird empfohlen, den AVV vor der produktiven Nutzung von Box AI durch Ihre Rechts- oder Datenschutzabteilung prüfen zu lassen.

 

Wie schützt Box AI vertrauliche Dokumente vor unbefugtem Zugriff?

Box setzt auf mehrschichtigen Schutz, den Box AI vollumfänglich unterstützt: AES-256-Verschlüsselung für gespeicherte Daten, TLS-Verschlüsselung für alle Datenübertragungen, granulare rollenbasierte Zugriffskontrollen sowie vollständige Audit-Logs. KI-Anfragen verlassen die Box-Umgebung nicht ohne ausdrückliche administrative Freigabe. Administratoren können über Box AI Studio festlegen, welche Nutzenden KI-Funktionen verwenden dürfen und auf welche Inhalte diese Funktionen Zugriff haben.

 

* Wir setzen uns stetig dafür ein, Produkte und Services mit Datenschutz, Sicherheit und Compliance höchsten Grades anzubieten. Dennoch stellen die Informationen in diesem Blogbeitrag keine Rechtsberatung dar. Wir empfehlen potenziellen und bestehenden Kund:Innen dringend, bei der Beurteilung von Compliance nach geltendem Recht eigene Sorgfaltsprüfungen durchzuführen.