Compliance & Regulierung

KI &
Daten­schutz
Playbook

DSGVO, EU AI Act & EDPB — was jetzt gilt und was zu tun ist

Ausgabe 03 / 2026

78 % der Unternehmen nutzen KI — aber nur 14 % haben ihre Datenschutz-Compliance angepasst.

— EDPB Opinion 28/2024 & Branchenanalyse 2025

KI Kompass

Inhalt

Die neue
Regulatory-Landschaft

78 %
der Unternehmen nutzen KI
Bitkom 2025
14 %
haben Datenschutz-Compliance angepasst
IAPP/EY Privacy Governance Report 2025
€203k
Ø Bußgeld pro Verstoß (Healthcare 2025)
EDPB
DSGVO vs. EU AI Act

DSGVO

  • Fundamentalrechts-Gesetz
  • Gibt Individuen Rechte über ihre Daten
  • Fokus: Datensubjekte
  • Adressaten: Controller & Processor
  • Sanktionen: Bis €20 Mio. / 4 % Umsatz

EU AI Act

  • Produktsicherheits-Gesetz
  • Stellt sichere KI-Entwicklung sicher
  • Fokus: Sichere KI-Systeme
  • Adressaten: Provider & Deployer
  • Sanktionen: Bis €35 Mio. / 7 % Umsatz

Überschneidungen: Beide Regulierungen adressieren Bias und Diskriminierung, erfordern Risikobewertungen (DPIA + FRIA) und regeln automatisierte Entscheidungen (Art. 22 DSGVO + Human Oversight AI Act).

Timeline: Was gilt wann?
FEB 2025 AUG 2025 AUG 2026 Verbote in Kraft GPAI-Regeln High-Risk Social Scoring, manipulative Techniken Anforderungen für GPT-4, Claude etc. Volle Durchsetzung, FRIA (Risikofolgen- abschätzung), Datenbank
KI Kompass 4 KI & Datenschutz Playbook
EDPB Opinion 28/2024 — Die 3 Klarstellungen
1
Sind KI-Modelle anonym? Nein, nicht automatisch. KI-Modelle, die mit personenbezogenen Daten trainiert wurden, können nicht pauschal als anonym gelten. Einzelfallprüfung erforderlich.
2
Berechtigtes Interesse als Rechtsgrundlage? Grundsätzlich ja – aber mit Drei-Stufen-Test: (1) Legitimes Interesse, (2) Erforderlichkeit, (3) Interessenabwägung dokumentieren.
3
Was wenn Training rechtswidrig war? Unrechtmäßige Trainingsdaten können die Rechtmäßigkeit aller nachfolgenden Nutzungen beeinflussen – „inherited illegality“.

Risiko-Klassifizierung
& DPIA

MINIMAL BEGRENZT HOCH UNAKZEPTABEL Keine Auflagen Transparenzpflicht Auflagen ab 08/2026 Verboten
Unakzeptabel Social Scoring, manipulative Techniken, Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung Verboten
Hoch Biometrische ID, kritische Infrastruktur, Bildung, HR-Entscheidungen, Kredit-Scoring Auflagen ab 08/2026
Begrenzt Chatbots, Deepfakes – Nutzer müssen informiert werden Transparenzpflicht
Minimal Spam-Filter, Empfehlungssysteme, interne Produktivitätstools Keine Auflagen
CNIL-Klarstellung: Für alle High-Risk-Systeme nach AI Act wird eine DPIA praktisch immer erforderlich sein, wenn personenbezogene Daten verarbeitet werden.
Die 4 Pflicht-Elemente einer DPIA (Datenschutz-Folgenabschätzung)
1. VerarbeitungsbeschreibungWelche Daten, warum, Systemarchitektur
2. ErforderlichkeitPrüfung weniger invasiver Alternativen
3. RisikobewertungDiskriminierung, Datenlecks, finanzielle Schäden
4. RisikominderungVerschlüsselung, Anonymisierung, Human Review
KI Kompass 5 KI & Datenschutz Playbook

Automatisierte
Entscheidungen

„Betroffene haben das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht – wenn diese Entscheidung rechtliche Wirkung oder ähnlich erhebliche Auswirkungen hat.“

— Art. 22 Abs. 1 DSGVO
Landmark Case

SCHUFA (EuGH C-634/21)

Automatisierte Credit Scores, die von Dritten für Vertragsentscheidungen genutzt werden, fallen unter Artikel 22. Betroffene haben Anspruch auf Erklärung, menschliche Überprüfung und Widerspruchsrecht.

Pflicht-Safeguards nach Art. 22
1
Menschliche Intervention Recht auf Überprüfung durch eine natürliche Person.
2
Standpunkt äußern Betroffene können ihre Sicht darlegen.
3
Entscheidung anfechten Formelles Widerspruchsrecht gegen die automatisierte Entscheidung.
Meaningful Human Review

Was zählt

  • Überprüfung nach der KI-Entscheidung
  • Zugang zu allen relevanten Daten
  • Befugnis, Entscheidung zu ändern

Was nicht zählt

  • Nur „Bestätigen“ klicken (Rubber-Stamping)
  • Prüfung ohne Änderungsbefugnis
  • Automatisches Durchwinken bei Zeitdruck
  • Prüfung ohne Schulung zum KI-System
KI-spezifische DPIA-Prüfpunkte
Transparenz & Erklärbarkeit
Wie werden diese Ziele erreicht?
Fehlermargen
Statistische Genauigkeit und Auswirkungen auf Fairness dokumentieren
Human-in-the-Loop
Wann und wie findet menschliche Beteiligung statt?
Concept Drift
Modell-Degradation überwachen, regelmäßige Reviews einplanen
KI Kompass 6 KI & Datenschutz Playbook

Enterprise Tools &
Deutsche Guidance

Grundregel: Ohne DPA (Data Processing Agreement – Auftragsverarbeitungsvertrag) ist die Nutzung externer KI-Tools schlicht nicht DSGVO-konform. Sobald ein externer Anbieter personenbezogene Daten verarbeitet, ist ein DPA verpflichtend.

ChatGPT (OpenAI)

GPT-4o · Stand 03/2026
DPA via OpenAI Ireland Ltd.
SCCs für Drittland-Transfers
Enterprise: „No-Train“ Commitment
Keine formelle DSGVO-Zertifizierung
Consumer-Tier: Prompts können geloggt werden

Claude (Anthropic)

Claude 4 · Stand 03/2026
DPA für Enterprise-Kunden
API-Logs: 7 Tage Retention
Zero-Data-Retention (ZDR) optional
Kein Training auf User-Daten (default)
Keine öffentlichen Audit-Zertifikate
M365 Copilot + Claude: Die Claude-Integration in Microsoft 365 Copilot fällt nicht unter Microsofts EU Data Boundary Commitments. Separate Prüfung und DPA erforderlich!
Die 4 Phasen des KI-Lebenszyklus
Design Anforderungen, Risiken
Entwicklung Daten, Modelltraining
Implementierung Testing, Deployment
Betrieb Monitoring, Wartung

Die deutschen Datenschutzbehörden fordern für jede Phase spezifische technische und organisatorische Maßnahmen – orientiert an den 7 Datenschutzzielen der DSK: Datenminimierung, Verfügbarkeit, Vertraulichkeit, Integrität, Intervenierbarkeit, Transparenz, Nichtverkettbarkeit.

Enterprise-Tier Checkliste
DPA unterzeichnet und dokumentiert
Transfer Impact Assessment (TIA) für US-Übermittlung durchgeführt
No-Train-Commitment vertraglich gesichert
Datenminimierung in Prompts implementiert (keine PII)
Mitarbeiter-Schulung zu Prompt-Hygiene durchgeführt
Audit-Rechte im DPA verankert
Schnell-Check: Darf ich diese Daten in ein KI-Tool eingeben?
Enthält der Input personenbezogene Daten? Ja Nein Freigegeben Nutzen Sie ein Enterprise-Tool mit DPA? Ja Nein Stopp Können Sie die Daten vorher anonymisieren? Ja Anonymisieren Nein DSB konsultieren DPA = Auftragsverarbeitungsvertrag · DSB = Datenschutzbeauftragte/r
KI Kompass 7 KI & Datenschutz Playbook

Checkliste &
Prioritäten

1. Governance

Interne KI-Policy erstellen (AI Act Art. 4)
Verantwortlichkeiten definieren (DSB einbinden)
Betriebsrat bei HR-relevanter KI konsultieren
AI Ethics Board einrichten

2. Bestandsaufnahme

Alle KI-Systeme inventarisieren
Risikoklasse nach AI Act bestimmen
Personenbezogene Daten identifizieren
Rechtsgrundlagen pro System dokumentieren

3. Verträge & DPAs

DPAs mit allen KI-Anbietern abschließen
Transfer Impact Assessment durchführen
No-Train-Commitments vertraglich sichern
Audit-Rechte verankern

4. DPIAs & Doku

DPIA für High-Risk-Systeme durchführen
Technische Maßnahmen dokumentieren
Transparenz-Info für Betroffene erstellen
Verarbeitungsverzeichnis aktualisieren
Die 3 kritischen Prioritäten
1
DPAs jetzt abschließen Ohne DPA ist jede Nutzung externer KI-Tools ein Compliance-Verstoß. Transfer Impact Assessment nicht vergessen.
2
High-Risk-Systeme identifizieren HR-KI, Kredit-Scoring, Zugangskontrollen – ab August 2026 greifen umfassende AI Act Pflichten.
3
Artikel-22-Safeguards einrichten Echte menschliche Überprüfung, Erklärbarkeit und Widerspruchsrecht sind Pflicht – nicht optional.

Quellen

Weitere Downloads
KI-Einführung Playbook8 Seiten · Strategie & Implementierung
Prompt Engineering Cheat Sheet2 Seiten · Techniken & Templates
Datenschutz-Quickcheck KI1 Seite · Ampelsystem
Führungskräfte-Briefing KI5 Seiten · Management-Überblick
KI Kompass 8 KI & Datenschutz Playbook