DSGVO-konforme KI-Implementierung — Was du wissen musst

Der Datenschutzbeauftragte klopft an die Tür. Dein Team hat letzte Woche einen KI-Chatbot für den Kundenservice gelauncht. Die Kunden lieben ihn. Dann die Frage: "Wo werden die Kundendaten verarbeitet? Gibt es eine Datenschutzfolgenabschätzung? Welche Rechtsgrundlage nutzen wir?"

Stille.

DSGVO-konforme KI-Implementierung ist kein Widerspruch. Es ist ein Wettbewerbsvorteil. In einer Zeit, in der Datenskandale regelmäßig Schlagzeilen machen, ist "Wir nutzen KI UND schützen deine Daten" ein Vertrauenssignal, das kein Marketing-Budget kaufen kann.

Die 6 Rechtsgrundlagen für KI-Datenverarbeitung

1. Vertragserfüllung (Art. 6 Abs. 1 lit. b): KI direkt zur Erbringung einer vertraglichen Leistung. Beispiel: KI-gestützter Kundenservice für bestehende Kunden.
2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Häufigste Grundlage für interne KI-Anwendungen. Erfordert eine Interessenabwägung.
3. Einwilligung (Art. 6 Abs. 1 lit. a): Freiwillig, informiert, spezifisch. Problematisch bei Mitarbeitern (Machtgefälle).
4. Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c): KI zur Erfüllung gesetzlicher Pflichten.

Wichtig: Die Rechtsgrundlage muss VOR dem Einsatz der KI festgelegt und dokumentiert werden. Nachträglich eine Rechtsgrundlage suchen ist ein DSGVO-Verstoß.

Technische Maßnahmen: Privacy by Design

Datenklassifikation vor dem Indexing:

• Stufe 1 (Unkritisch): Öffentlich verfügbare Informationen
• Stufe 2 (Intern): Interne Prozesse, Richtlinien
• Stufe 3 (Vertraulich): Kundendaten, Finanzdaten
• Stufe 4 (Streng vertraulich): Personenbezogene Daten besonderer Kategorien

Stufe 3–4 Daten dürfen NICHT an externe LLM-APIs gesendet werden, es sei denn, ein DPA existiert UND die Verarbeitung findet innerhalb der EU/EWR statt.

PII-Filter in der Ingestion-Pipeline: Tools wie Presidio (Open Source von Microsoft) oder spaCy NER können Namen, E-Mail-Adressen, Telefonnummern und Adressen automatisch erkennen und maskieren.

Data Processing Agreements (DPAs)

Recht auf Löschung umsetzen

• RAG-Systeme: Vergleichsweise einfach — Dokument aus dem Index entfernen, Embeddings löschen.
• Fine-tuned Modelle: Problematisch — Daten sind in die Modellgewichte eingeflossen. Lösung: Re-Training oder Modell verwerfen.
• Konversations-Logs: Löschfristen definieren (z.B. 90 Tage Retention).

Checkliste: DSGVO-konforme KI-Implementierung

Vor dem Start:

• [ ] Rechtsgrundlage festgelegt und dokumentiert
• [ ] DSFA durchgeführt (wenn erforderlich)
• [ ] DPA mit allen externen Anbietern abgeschlossen
• [ ] Datenklassifikation durchgeführt

Technische Maßnahmen:

• [ ] PII-Filter in der Ingestion-Pipeline
• [ ] Verschlüsselung at Rest und in Transit
• [ ] EU-Region für Datenverarbeitung sichergestellt
• [ ] Logging mit definierten Retention-Policies

Der EU AI Act ersetzt die DSGVO nicht — er ergänzt sie. Wer die DSGVO ernst nimmt, hat einen Vorsprung beim EU AI Act. Bau es von Anfang an richtig. Nicht weil du musst — sondern weil deine Kunden und Mitarbeiter es verdienen.