DSGVO-Checkliste für KI-Projekte

⚠️ Hinweis: Diese Checkliste ersetzt keine Rechtsberatung. Bei Unsicherheiten konsultieren Sie Ihren Datenschutzbeauftragten oder einen spezialisierten Anwalt.

1 Vor dem Start: Grundlagen klären

☐

Verarbeitungszweck definiert

Warum setzen Sie KI ein? Der Zweck muss klar und dokumentiert sein.
☐

Rechtsgrundlage identifiziert

Art. 6 DSGVO: Einwilligung, Vertrag, berechtigtes Interesse?
☐

Personenbezogene Daten identifiziert

Welche Daten verarbeitet die KI? Namen, E-Mails, Stimmen, Bilder?
☐

Datenschutz-Folgenabschätzung geprüft

Bei hohem Risiko (z.B. Profiling, sensible Daten) ist eine DSFA Pflicht.

2 Anbieter-Auswahl: Wo werden Daten verarbeitet?

☐

Server-Standort geprüft

EU/EWR ist ideal. Bei USA: Angemessenheitsbeschluss oder SCCs erforderlich.
☐

Auftragsverarbeitungsvertrag (AVV) abgeschlossen

Pflicht bei allen Dienstleistern, die personenbezogene Daten verarbeiten.
☐

Subunternehmer bekannt

Wer verarbeitet noch? (z.B. Cloud-Provider des KI-Anbieters)
☐

Technische Sicherheitsmaßnahmen dokumentiert

Verschlüsselung, Zugriffskontrollen, Audit-Logs?

✅ DSGVO-freundliche KI-Anbieter:
• Mistral AI (Frankreich) • Azure mit EU-Rechenzentrum • Aleph Alpha (Deutschland) • Lokale Modelle (Ollama)

🚩 Vorsicht bei:
• OpenAI ohne EU-Rechenzentrum • Kostenlose KI-Tools ohne klare Datenschutzrichtlinien • Anbieter ohne AVV-Möglichkeit

3 Im Betrieb: Laufende Pflichten

☐

Datenschutzerklärung aktualisiert

Informieren Sie über den KI-Einsatz, Zweck und Empfänger.
☐

Verarbeitungsverzeichnis ergänzt

Die KI-Verarbeitung muss im Verzeichnis nach Art. 30 DSGVO stehen.
☐

Betroffenenrechte gewährleistet

Auskunft, Löschung, Widerspruch – auch bei KI-verarbeiteten Daten.
☐

Speicherfristen definiert

Wie lange werden Eingaben/Ausgaben gespeichert? Automatische Löschung?
☐

Keine Verwendung für KI-Training ohne Einwilligung

Werden Ihre Daten zum Trainieren des Modells verwendet? Opt-out möglich?

4 Spezialfall: KI-Assistenten mit Sprachverarbeitung

☐

Hinweis auf KI-Nutzung

Anrufer/Nutzer müssen wissen, dass sie mit einer KI sprechen.
☐

Aufzeichnung nur mit Rechtsgrundlage

Gesprächsaufzeichnungen brauchen Einwilligung oder berechtigtes Interesse.
☐

Sprachdaten-Verarbeitung dokumentiert

Wo werden Audiodaten verarbeitet? (z.B. Azure Speech in Frankfurt)
☐

Löschkonzept für Sprachdaten

Audio sollte nach Verarbeitung gelöscht werden, nur Text bei Bedarf speichern.

Zusammenfassung: Die 5 wichtigsten Punkte

Server in der EU – Vermeidet Drittland-Problematik
AVV abschließen – Mit jedem Dienstleister, der Daten verarbeitet
Datenschutzerklärung anpassen – Transparent über KI-Einsatz informieren
Kein Training mit Ihren Daten – Opt-out sicherstellen
Löschfristen definieren – Daten nicht länger als nötig speichern

Unsicher bei der Umsetzung?

Wir entwickeln DSGVO-konforme KI-Lösungen mit deutschen Servern.

Kostenloses Beratungsgespräch