DSGVO-konforme KI-Implementierung — Was du wissen musst
Wie du LLMs, RAG-Systeme und KI-Agenten datenschutzkonform einsetzt. Praxis-Guide mit Rechtsgrundlagen, technischen Maßnahmen und Checkliste für den Mittelstand.
Der Datenschutzbeauftragte klopft an die Tür. Dein Team hat letzte Woche einen KI-Chatbot für den Kundenservice gelauncht. Die Kunden lieben ihn. Dann die Frage: "Wo werden die Kundendaten verarbeitet? Gibt es eine Datenschutzfolgenabschätzung? Welche Rechtsgrundlage nutzen wir?"
Stille.
DSGVO-konforme KI-Implementierung ist kein Widerspruch. Es ist ein Wettbewerbsvorteil. In einer Zeit, in der Datenskandale regelmäßig Schlagzeilen machen, ist "Wir nutzen KI UND schützen deine Daten" ein Vertrauenssignal, das kein Marketing-Budget kaufen kann.
Die 6 Rechtsgrundlagen für KI-Datenverarbeitung
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): KI direkt zur Erbringung einer vertraglichen Leistung. Beispiel: KI-gestützter Kundenservice für bestehende Kunden.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Häufigste Grundlage für interne KI-Anwendungen. Erfordert eine Interessenabwägung.
- Einwilligung (Art. 6 Abs. 1 lit. a): Freiwillig, informiert, spezifisch. Problematisch bei Mitarbeitern (Machtgefälle).
- Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c): KI zur Erfüllung gesetzlicher Pflichten.
Wichtig: Die Rechtsgrundlage muss VOR dem Einsatz der KI festgelegt und dokumentiert werden. Nachträglich eine Rechtsgrundlage suchen ist ein DSGVO-Verstoß.
Technische Maßnahmen: Privacy by Design
Datenklassifikation vor dem Indexing:
- Stufe 1 (Unkritisch): Öffentlich verfügbare Informationen
- Stufe 2 (Intern): Interne Prozesse, Richtlinien
- Stufe 3 (Vertraulich): Kundendaten, Finanzdaten
- Stufe 4 (Streng vertraulich): Personenbezogene Daten besonderer Kategorien
Stufe 3–4 Daten dürfen NICHT an externe LLM-APIs gesendet werden, es sei denn, ein DPA existiert UND die Verarbeitung findet innerhalb der EU/EWR statt.
PII-Filter in der Ingestion-Pipeline: Tools wie Presidio (Open Source von Microsoft) oder spaCy NER können Namen, E-Mail-Adressen, Telefonnummern und Adressen automatisch erkennen und maskieren.
Data Processing Agreements (DPAs)
| Anbieter | DPA verfügbar | EU-Verarbeitung | Hinweis |
|---|---|---|---|
| OpenAI (API) | Ja | Ja (über Azure EU) | Azure OpenAI Service bevorzugen |
| Anthropic (API) | Ja | Ja (AWS EU Regionen) | AWS Bedrock für EU-Verarbeitung |
| Google (Vertex AI) | Ja | Ja (EU Regionen) | Region-Lock konfigurieren |
| Self-Hosted (Llama) | Nicht nötig | Ja (eigene Infra) | Volle Kontrolle, aber Ops-Aufwand |
Recht auf Löschung umsetzen
- RAG-Systeme: Vergleichsweise einfach — Dokument aus dem Index entfernen, Embeddings löschen.
- Fine-tuned Modelle: Problematisch — Daten sind in die Modellgewichte eingeflossen. Lösung: Re-Training oder Modell verwerfen.
- Konversations-Logs: Löschfristen definieren (z.B. 90 Tage Retention).
Checkliste: DSGVO-konforme KI-Implementierung
Vor dem Start:
- [ ] Rechtsgrundlage festgelegt und dokumentiert
- [ ] DSFA durchgeführt (wenn erforderlich)
- [ ] DPA mit allen externen Anbietern abgeschlossen
- [ ] Datenklassifikation durchgeführt
Technische Maßnahmen:
- [ ] PII-Filter in der Ingestion-Pipeline
- [ ] Verschlüsselung at Rest und in Transit
- [ ] EU-Region für Datenverarbeitung sichergestellt
- [ ] Logging mit definierten Retention-Policies
Der EU AI Act ersetzt die DSGVO nicht — er ergänzt sie. Wer die DSGVO ernst nimmt, hat einen Vorsprung beim EU AI Act. Bau es von Anfang an richtig. Nicht weil du musst — sondern weil deine Kunden und Mitarbeiter es verdienen.
Verwandte Artikel
KI im Sales: Wie du mit Datenanreicherung aus öffentlichen Quellen deine Pipeline füllst
9 Min LesezeitKI-basierte Lead-Generierung — Automation ohne Compliance-Risiken
14 Min LesezeitKI-Governance Framework für Mittelstand — Policy, Prozesse, Kontrolle
13 Min LesezeitAI Risk Management — Risiken erkennen, bewerten, mitigieren
12 Min LesezeitNewsletter
KI im Sales — ohne Buzzwords
Praxisartikel zu Automatisierung, Agentic Workflows und operativen Systemen. Kein Content-Marketing. Erscheint wenn es etwas zu sagen gibt.
Jede Woche ohne System ist eine Woche Vorsprung für deine Konkurrenz.
In 5 Werktagen weißt du, wo dein Team Zeit verliert — und was wir dagegen tun. Max. 2 Stunden dein Zeitaufwand. Kein Foliensatz, kein Audit der in der Schublade landet.
- Keep / Kill / Upgrade: welche Tools bleiben, welche weg können — konkret begründet
- 3 priorisierte Use Cases mit klarer 90-Tage-Roadmap
- Board-ready Report (8–12 Seiten) — heute noch zeigbar
- Klarheits-Garantie: kein Ergebnis, kein Geld
Sie suchen jemanden, der KI-Adoption und operativen Kontext zusammenbringt.
Ich bringe Business-Kontext und technische Umsetzung zusammen: GTM-Realität aus 8+ Jahren in B2B Sales und die Tiefe für AI Adoption, Use-Case-Priorisierung und Workflow-Integration — kein Theoretiker, sondern jemand der weiß, wie Unternehmen wirklich funktionieren.
- KI-Produktivität & AI Adoption: Non-Tech-Teams auf Senior-Level-Output bringen — nicht theoretisch, sondern hands-on
- 8+ Jahre B2B Sales, Growth & Operations — ich kenne operative Probleme von innen
- Python, SQL und technische Umsetzung — production-ready, nicht Demo
- Workflow Automation & Applied AI: von der Diagnose bis zum laufenden System
- Produktivitätsgenie: Diagnose first, dann bauen — kein Flickwerk, keine KI-Trends-Präsentation