Regulatorik

DSGVO

Die Datenschutz-Grundverordnung der EU regelt den Umgang mit personenbezogenen Daten — auch beim Einsatz von KI-Agenten.

mitAIbeiter Team

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 unmittelbar in allen EU-Mitgliedstaaten geltendes Recht. Sie regelt, wie Unternehmen und Organisationen mit personenbezogenen Daten umgehen müssen — also mit allen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Warum die DSGVO für KI-Agenten relevant ist

Sobald ein KI-Agent personenbezogene Daten verarbeitet — etwa Kundenanfragen mit Namen und E-Mail-Adressen, Lead-Daten aus dem CRM oder Mitarbeiter-Tickets — gilt die DSGVO uneingeschränkt. Drei Punkte sind besonders relevant:

  • Rechtsgrundlage: Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO (z. B. Vertragserfüllung, berechtigtes Interesse, Einwilligung).
  • Zweckbindung: Daten dürfen nur für den Zweck verwendet werden, für den sie ursprünglich erhoben wurden.
  • Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für den konkreten Zweck zwingend erforderlich sind.

Was das praktisch bedeutet

Beim Einsatz von KI-Agenten ergeben sich daraus konkrete Anforderungen:

  1. Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter der KI-Plattform und allen relevanten Subunternehmern.
  2. Verarbeitung in der EU oder in Ländern mit Angemessenheitsbeschluss — Datenexport in unsichere Drittländer ist ohne zusätzliche Schutzmaßnahmen unzulässig.
  3. Transparente Information der Betroffenen, dass und wie KI-Systeme im Einsatz sind (Art. 13/14 DSGVO).
  4. Rollenbasierte Zugriffskontrollen, damit Agenten nur auf die Daten zugreifen, die für ihre Aufgabe nötig sind.
  5. Audit-Trail — jede automatisierte Verarbeitung muss nachvollziehbar dokumentiert sein.

Verhältnis zum EU AI Act

DSGVO und EU AI Act ergänzen sich, regeln aber unterschiedliche Aspekte: Die DSGVO schützt personenbezogene Daten, der EU AI Act setzt Anforderungen an KI-Systeme selbst (Risikoklassifizierung, Transparenz-Pflichten, Konformitätsbewertung). Wer DSGVO-konform arbeitet, hat den größten Teil der für den AI Act relevanten Datenschutz-Fragen bereits adressiert — der AI Act fügt aber technische und Governance-Anforderungen hinzu, die über die DSGVO hinausgehen.

Häufige Stolperfallen im Mittelstand

  • Cloud-Anbieter ohne EU-Datenresidenz — selbst wenn der Vertragspartner in Deutschland sitzt, kann das Hosting in einem Drittland erfolgen. Lohnt einen Blick in den AVV.
  • Schatten-IT mit US-Tools, die Mitarbeitende ohne IT-Genehmigung einsetzen.
  • Zu breiter Datenzugriff für KI-Agenten, statt rollenbasiert minimiert.
  • Fehlende Information der Betroffenen, dass KI-Systeme bei der Anfragenbearbeitung mitwirken.

Diese Punkte sind keine Showstopper, aber sie sollten von Tag eins als Teil der Architektur gedacht werden — nicht erst beim Roll-out.