Warum DSGVO bei KI nicht optional ist
Sobald KI-Agenten personenbezogene Daten verarbeiten - und das tun sie fast immer - greift die DSGVO. Verstoesse kosten bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes. Seit dem EU AI Act (2025) kommen weitere Pflichten hinzu.
Die 5 DSGVO-Grundsaetze fuer KI
- Rechtmaessigkeit: Rechtsgrundlage fuer jede Datenverarbeitung (Art. 6 DSGVO). Bei KI typisch: Vertrag (b) oder berechtigtes Interesse (f).
- Zweckbindung: KI-Agenten duerfen Daten nur fuer den definierten Zweck nutzen. Ein Sales-Agent darf nicht auf HR-Daten zugreifen.
- Datenminimierung: Nur die Daten verarbeiten, die fuer die Aufgabe noetig sind. Kein "alles an GPT schicken".
- Speicherbegrenzung: Kontext und Logs regelmaessig loeschen. Retention Policies definieren.
- Integritaet und Vertraulichkeit: Verschluesselung, Zugriffskontrollen, Audit Logs.
Technische Massnahmen
1. Datenhaltung in der EU
LLM-API-Calls an US-Provider (OpenAI, Anthropic) sind nur mit angemessenem Schutzniveau zulaessig. Optionen:
- EU-Hosting (Azure EU, AWS Frankfurt)
- On-Premise LLMs fuer sensible Daten
- Anonymisierung vor API-Call (PII-Stripping)
2. Rollenbasierte Zugriffskontrolle (RBAC)
Nicht jeder Agent braucht Zugang zu allen Daten. RBAC stellt sicher, dass jeder Agent nur auf die Daten zugreift, die er fuer seine Aufgabe braucht.
3. Audit Logging
Jede Aktion eines KI-Agenten muss nachvollziehbar sein: Was wurde wann von welchem Agenten mit welchen Daten getan? Audit Logs sind Pflicht - nicht Kuer.
4. Human-in-the-Loop
Bei automatisierten Einzelentscheidungen (Art. 22 DSGVO) haben Betroffene das Recht auf menschliche Pruefung. Human-in-the-Loop ist der Weg, das technisch umzusetzen.
EU AI Act: Was zusaetzlich gilt
| Risikostufe | Beispiel | Pflichten |
|---|---|---|
| Minimal | Chatbots, Spam-Filter | Transparenzpflicht |
| Begrenzt | KI-generierte Inhalte | Kennzeichnungspflicht |
| Hoch | HR-Screening, Kreditscoring | Konformitaetsbewertung, Dokumentation, Monitoring |
| Inakzeptabel | Social Scoring | Verboten |
Die meisten KI-Agenten in Unternehmen fallen in "Begrenzt" oder "Hoch". Mehr zum EU AI Act
Checkliste: DSGVO-konforme KI in 10 Schritten
- Verarbeitungsverzeichnis aktualisieren (Art. 30 DSGVO)
- Rechtsgrundlage je Use Case dokumentieren
- Datenschutz-Folgenabschaetzung (DSFA) durchfuehren
- Auftragsverarbeitungsvertrag mit LLM-Providern
- PII-Erkennung und -Anonymisierung implementieren
- RBAC fuer alle KI-Agenten einrichten
- Audit Logging aktivieren und Retention Policy definieren
- Human-in-the-Loop fuer kritische Entscheidungen
- Betroffenenrechte technisch umsetzen (Auskunft, Loeschung)
- Regelmaessige Compliance-Audits (quartalsweise)
Wann lohnt sich DSGVO-konforme KI NICHT?
- Wenn keine personenbezogenen Daten verarbeitet werden (rein technische Automatisierung)
- Wenn interne Daten komplett anonymisiert sind
- Bei reinen PoC/Testumgebungen ohne Echtdaten
Key Takeaways
- DSGVO gilt sobald KI-Agenten personenbezogene Daten verarbeiten - und das tun sie fast immer
- EU AI Act bringt zusaetzliche Pflichten je nach Risikostufe
- Technische Pflichten: RBAC, Audit Logs, PII-Stripping, EU-Hosting
- DSGVO-Konformitaet ist kein Blocker - sie ist ein Qualitaetsmerkmal gegenueber Kunden
- Governance von Tag 1 einbauen, nicht nachruesten
Quellen: DSGVO (Verordnung EU 2016/679), EU AI Act (Verordnung EU 2024/1689), BfDI Orientierungshilfe KI (2025), EDPB Guidelines on AI (2025).