DSGVO-konform mit KI arbeiten: So geht's

"Darf ich das überhaupt?" — die häufigste Frage, wenn es um KI im deutschen Business-Kontext geht. Kundendaten an ein KI-Modell schicken? Personenbezogene Daten durch einen Agent verarbeiten lassen? Die DSGVO macht vielen Angst. Zu Unrecht — wenn man weiß, was zu beachten ist.

Die DSGVO schützt personenbezogene Daten. KI-Systeme verarbeiten Daten. Das erzeugt Reibung, aber keinen unauflösbaren Widerspruch.

Die zentralen Fragen sind: 1. Welche Daten werden verarbeitet? 2. Wo werden sie verarbeitet? 3. Wer hat Zugriff? 4. Wie lange werden sie gespeichert? 5. Auf welcher Rechtsgrundlage geschieht die Verarbeitung?

Wenn du diese fünf Fragen für jeden KI-Einsatz beantworten kannst, bist du auf dem richtigen Weg.

Der erste Schritt ist die Unterscheidung, welche Daten tatsächlich personenbezogen sind:

Unkritisch: Allgemeine Geschäftsdaten, Marktanalysen, interne Prozessdokumentation, technische Logs ohne Personenbezug. Diese Daten kannst du bedenkenlos mit KI-Tools verarbeiten.

Personenbezogen: Kundennamen, E-Mail-Adressen, Kaufhistorie, Verhaltensdaten. Hier greift die DSGVO. Verarbeitung ist möglich, aber unter Bedingungen.

Besonders schützenswert: Gesundheitsdaten, politische Meinungen, biometrische Daten. Hier gelten verschärfte Regeln (Art. 9 DSGVO). In den meisten Business-Kontexten brauchst du diese Kategorie nicht.

Viele Unternehmer behandeln alle Daten gleich — entweder alles in die KI oder gar nichts. Beides ist falsch. Die saubere Klassifizierung entscheidet darüber, was möglich ist.

Pseudonymisierung: Ersetze personenbezogene Daten durch Kennungen, bevor sie an KI-Modelle gehen. Der Agent arbeitet mit "Kunde_4728" statt "Max Mustermann". Die Zuordnung bleibt in deiner geschützten Datenbank.

Data Residency: Nutze KI-Services, die Daten in der EU verarbeiten und speichern. Viele Anbieter bieten mittlerweile EU-Hosting an. Für besonders sensible Anwendungen: Self-Hosted-Modelle, die dein Netzwerk nie verlassen.

Zugriffskontrolle: Nicht jeder Agent braucht Zugriff auf alle Daten. Ein Content-Agent, der Blog-Posts schreibt, hat keinen Zugang zu Kundendaten. Ein Finanz-Agent sieht Rechnungsdaten, aber keine privaten Kundenkommunikation. Prinzip der minimalen Rechte.

Verschlüsselung: Daten in Transit (TLS) und at Rest (AES-256) verschlüsseln. Selbstverständlich, aber erstaunlich oft nicht umgesetzt.

Logging und Audit: Jeder Datenzugriff durch einen Agent wird protokolliert. Wer hat wann auf welche Daten zugegriffen? Bei einer Datenschutzanfrage musst du das nachweisen können.

Auftragsverarbeitungsvertrag (AVV): Wenn du externe KI-Services nutzt (OpenAI, Anthropic, etc.), brauchst du einen AVV mit dem Anbieter. Die meisten großen Anbieter stellen diese bereit. Prüfe, ob er deine Anforderungen erfüllt.

Verzeichnis der Verarbeitungstätigkeiten: Dokumentiere, welche KI-Agents welche Daten verarbeiten. Das klingt bürokratisch, ist aber Pflicht nach Art. 30 DSGVO und im Ernstfall Gold wert.

Datenschutz-Folgenabschätzung (DSFA): Bei automatisierter Verarbeitung personenbezogener Daten im großen Umfang ist eine DSFA Pflicht (Art. 35 DSGVO). Für ein KMU mit überschaubarem Datenvolumen ist sie empfohlen, aber nicht immer zwingend. Im Zweifel: machen.

Informationspflicht: Kunden müssen wissen, dass ihre Daten mit KI verarbeitet werden. Aktualisiere deine Datenschutzerklärung entsprechend. Keine vagen Formulierungen — spezifisch angeben, welche KI-Services genutzt werden und zu welchem Zweck.

Ein gut designtes System macht DSGVO-Compliance einfacher, nicht schwerer:

MCP Gateway als zentrale Kontrollstelle: Alle Datenzugriffe laufen über einen Punkt. Dort werden Berechtigungen geprüft, Zugriffe geloggt und Daten bei Bedarf pseudonymisiert, bevor sie an einen Agent gehen.

Server-per-Project-Architektur: Separate Server für verschiedene Kunden oder Projekte verhindern, dass Daten aus Projekt A versehentlich in Projekt B landen. Technische Mandantentrennung statt organisatorischer.

Lösch-Workflows: Wenn ein Kunde sein Recht auf Löschung geltend macht (Art. 17 DSGVO), musst du seine Daten aus allen Systemen entfernen — auch aus Agent-Kontexten und Trainingsdaten. Ein zentralisiertes System macht das in Minuten. Ein Flickenteppich aus Tools macht es zum Albtraum.

1. 01Datenaudit: Liste alle personenbezogenen Daten auf, die du aktuell mit KI-Tools verarbeitest
2. 02AVVs prüfen: Hast du mit allen KI-Anbietern einen Auftragsverarbeitungsvertrag?
3. 03Datenschutzerklärung aktualisieren: KI-Nutzung transparent dokumentieren
4. 04Zugriffe minimieren: Jedem Agent nur die Daten geben, die er tatsächlich braucht
5. 05Logging implementieren: Wer greift wann auf welche Daten zu?

DSGVO-konform mit KI zu arbeiten ist kein Hexenwerk und kein Showstopper. Es erfordert durchdachte Architektur, saubere Prozesse und grundlegende technische Maßnahmen. Die meisten davon sind gute Engineering-Praxis, die du sowieso haben solltest.

Das Ziel ist nicht, KI zu vermeiden, weil Datenschutz komplex ist. Das Ziel ist, KI so einzusetzen, dass Datenschutz von Anfang an eingebaut ist — Privacy by Design, nicht Privacy als Afterthought.

Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten Fragen zur DSGVO-Compliance wende dich an einen spezialisierten Datenschutzbeauftragten oder Anwalt.

OPERVO arbeitet ausschließlich mit EU-Datenverarbeitung — Ihre Daten verlassen niemals die EU. Erfahren Sie mehr in unserem umfassenden DSGVO-KI-Leitfaden oder lesen Sie, warum EU-Datenverarbeitung entscheidend ist.

👉 Jetzt unverbindlich beraten lassen — wir zeigen Ihnen, wie DSGVO-konforme KI in der Praxis funktioniert.