Ein DSGVO KI Verarbeitungsverzeichnis ist für jedes Unternehmen Pflicht, das KI-Systeme einsetzt, die personenbezogene Daten verarbeiten. Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten mit klar definierten Pflichtangaben. Viele Unternehmen haben zwar ein Verarbeitungsverzeichnis, aber KI-basierte Verarbeitungen fehlen darin häufig oder sind unzureichend dokumentiert.
Dieser Artikel liefert einen vollständigen Muster-Eintrag für ein KI-System, erklärt alle Pflichtfelder nach Art. 30 DSGVO und zeigt, worauf Sie bei KI-Verarbeitungen besonders achten müssen.
Pflichtfelder nach Art. 30 Abs. 1 DSGVO
Das Verarbeitungsverzeichnis muss für jede Verarbeitungstätigkeit folgende Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen (ggf. des gemeinsam Verantwortlichen, des Vertreters und des Datenschutzbeauftragten)
- Zwecke der Verarbeitung
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Kategorien von Empfaengern (einschließlich Empfaenger in Drittländern)
- Übermittlungen in Drittländer (einschließlich Dokumentation geeigneter Garantien)
- Vorgesehene Loeschfristen (wenn möglich)
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO (wenn möglich)
Muster-Eintrag: KI-gestuetzter Kundenservice-Chatbot
Das folgende Muster zeigt einen vollständigen Eintrag für einen KI-Chatbot, der Kundenanfragen beantwortet und klassifiziert. Verwenden Sie das als Vorlage für Ihre eigenen KI-Systeme.
1. Name und Kontaktdaten des Verantwortlichen
| Feld | Eintrag |
|---|---|
| Verantwortlicher | Muster GmbH, Musterstraße 1, 80331 Muenchen |
| Vertreter | Max Mustermann, Geschäftsführer |
| Datenschutzbeauftragter | Dr. Anna Musterfrau, datenschutz@muster-gmbh.de, Tel. 089 12345678 |
2. Bezeichnung der Verarbeitungstätigkeit
KI-gestuetzte Klassifikation und Beantwortung von Kundenanfragen.
3. Zwecke der Verarbeitung
- Automatisierte Erstbeantwortung eingehender Kundenanfragen per Chat und E-Mail
- Klassifikation von Anfragen nach Thema und Dringlichkeit zur Weiterleitung
- Qualitätssicherung durch Analyse von Kundenzufriedenheit und Antwortzeiten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Beantwortung von Anfragen bestehender Kunden. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Klassifikation und Qualitätssicherung. Das berechtigte Interesse besteht in der effizienten Bearbeitung von Kundenanfragen und der Verbesserung der Servicequalität.
4. Kategorien betroffener Personen
- Bestandskunden
- Interessenten (potenzielle Kunden)
- Geschäftskontakte (B2B-Anfragen)
5. Kategorien personenbezogener Daten
- Kontaktdaten: Name, E-Mail-Adresse, ggf. Telefonnummer
- Kommunikationsinhalte: Text der Anfrage, Chatverlaeufe
- Vertragsdaten: Kundennummer, Vertragsstatus (bei Bestandskunden)
- Technische Daten: IP-Adresse, Zeitstempel, Geraeteinformationen
- KI-generierte Daten: Klassifikation der Anfrage (Thema, Dringlichkeit, Stimmung), Konfidenzwert der KI-Antwort
Besondere Datenkategorien nach Art. 9 DSGVO werden nicht gezielt erhoben. Kunden können jedoch in Freitextfeldern freiwillig Gesundheitsdaten oder andere besondere Kategorien mitteilen. Für diesen Fall ist eine automatische Erkennung und Eskalation an einen menschlichen Mitarbeiter eingerichtet.
6. Kategorien von Empfaengern
| Empfaenger | Zweck | Rechtsgrundlage |
|---|---|---|
| Interne Fachabteilung (Kundenservice) | Weiterbearbeitung klassifizierter Anfragen | Interne Zuständigkeit |
| OpenAI, Inc. (San Francisco, USA) | API-Anbieter des Sprachmodells | Auftragsverarbeitung, EU-US DPF |
| Hosting-Anbieter (Hetzner Online GmbH, DE) | Speicherung der Chatverlaeufe | Auftragsverarbeitung, Art. 28 DSGVO |
7. Übermittlungen in Drittländer
| Empfaenger | Land | Garantie |
|---|---|---|
| OpenAI, Inc. | USA | Angemessenheitsbeschluss EU-US Data Privacy Framework (C(2023) 4745 vom 10.07.2023). OpenAI ist unter dem DPF zertifiziert. |
Ergaenzende Maßnahmen: Transfer Impact Assessment durchgeführt. API-Aufrufe werden verschluesselt (TLS 1.3). Personenbezogene Daten werden vor der API-Übergabe minimiert (Kundennummern statt Klarnamen, wo möglich).
8. Vorgesehene Loeschfristen
| Datenkategorie | Loeschfrist | Begründung |
|---|---|---|
| Chatverlaeufe (aktive Konversation) | 90 Tage nach Abschluss | Qualitätssicherung und Nachvollziehbarkeit |
| Klassifikationsdaten | 90 Tage nach Abschluss | Synchron mit Chatverlaeufen |
| Aggregierte Statistiken (anonymisiert) | Unbefristet | Kein Personenbezug mehr nach Anonymisierung |
| Kontaktdaten (Bestandskunden) | Dauer der Geschäftsbeziehung + gesetzliche Aufbewahrungsfristen | HGB/AO Aufbewahrungspflichten |
| Kontaktdaten (Interessenten ohne Vertrag) | 6 Monate nach letztem Kontakt | Berechtigtes Interesse entfaellt |
9. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit: Verschluesselung der Daten bei Übertragung (TLS 1.3) und Speicherung (AES-256). Zugangskontrolle, nur geschulte Mitarbeiter des Kundenservice haben Zugriff. Rollenbasiertes Berechtigungskonzept.
Integritaet: Protokollierung aller Zugriffe und Änderungen. Automatische Versionierung der KI-Modellkonfiguration.
Verfuegbarkeit: Redundante Hosting-Infrastruktur. Fallback auf menschliche Bearbeitung bei KI-Ausfall.
KI-spezifische Maßnahmen: Konfidenzwert-Schwelle, Anfragen mit KI-Konfidenz unter 80 Prozent werden an einen Menschen eskaliert. Regelmäßige Überprüfung der KI-Antworten auf Korrektheit (monatliches Sampling). Protokollierung aller KI-Entscheidungen (Input, Output, Konfidenz) für Nachvollziehbarkeit. Bias-Monitoring durch vierteljaehrliche Prüfung auf diskriminierende Muster.
Ergaenzende Dokumentation für KI-Systeme
Über die Pflichtfelder des Art. 30 DSGVO hinaus empfiehlt sich für KI-Systeme eine erweiterte Dokumentation.
Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Wenn ein KI-System ein hohes Risiko für die Rechte und Freiheiten natuerlicher Personen birgt, ist eine Datenschutz-Folgenabschätzung (DSFA) Pflicht. Das ist regelmäßig der Fall bei systematischer Bewertung persönlicher Aspekte (Profiling), automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung, umfangreicher Verarbeitung besonderer Datenkategorien oder systematischer Überwachung öffentlich zugaenglicher Bereiche. Die DSFA sollte im Verarbeitungsverzeichnis referenziert werden (z. B. "DSFA Nr. 2026-003, Stand 15.03.2026").
KI-spezifische Angaben
Ergaenzen Sie den Verzeichniseintrag um Modelltyp (welches KI-Modell wird eingesetzt? z. B. GPT-4o via API, eigenes Fine-Tuning), Trainingsdaten (wurden eigene Daten zum Training oder Fine-Tuning verwendet? Falls ja: Rechtsgrundlage und Loeschkonzept), Entscheidungslogik (wie kommt die KI zu ihren Ergebnissen? Allgemeine Beschreibung, keine Geschäftsgeheimnisse), menschliche Aufsicht (wie wird sichergestellt, dass ein Mensch die KI-Ergebnisse prüft?) und regelmäßige Überprüfung (wann und wie wird die Funktionsweise der KI geprüft?).
EU AI Act Dokumentation
Wenn Ihr KI-System als Hochrisiko eingestuft wird, verlangt der EU AI Act zusätzliche Dokumentation: ein Risikomanagementsystem, Angaben zur Datenqualität, Gebrauchsanweisungen und Protokollierungspflichten. Diese Dokumentation kann sinnvoll mit dem Verarbeitungsverzeichnis verknuepft werden. Die Pflichten für Hochrisiko-Systeme greifen ab August 2026. Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt bereits seit 02.02.2025 und sollte im Verzeichnis nicht fehlen.
Drei weitere Muster-Eintraege
Muster 2: KI-gestuetzte E-Mail-Klassifikation (intern)
| Feld | Eintrag |
|---|---|
| Verarbeitungstätigkeit | Automatische Klassifikation eingehender E-Mails nach Abteilung und Prioritaet |
| Zweck | Effiziente Weiterleitung, Reduzierung der Bearbeitungszeit |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Betroffene | Externe Absender (Kunden, Partner, Bewerber) |
| Datenkategorien | Name, E-Mail-Adresse, Betreff, E-Mail-Inhalt, KI-Klassifikation |
| Empfaenger | Interne Fachabteilungen |
| Drittland | Keines (On-Premise-Lösung) |
| Loeschfrist | Synchron mit E-Mail-Archivierung (10 Jahre nach HGB bei Geschäftsbriefen) |
Muster 3: KI-gestuetzte Bewerbervorauswahl
| Feld | Eintrag |
|---|---|
| Verarbeitungstätigkeit | Automatisierte Vorsortierung von Bewerbungsunterlagen |
| Zweck | Effizienzsteigerung im Recruiting-Prozess |
| Rechtsgrundlage | § 26 Abs. 1 BDSG (Beschäftigungsverhaeltnis) |
| Betroffene | Bewerber |
| Datenkategorien | Name, Kontaktdaten, Lebenslauf, Anschreiben, Qualifikationen, KI-Score |
| Empfaenger | Interne Personalabteilung |
| Drittland | USA (Anbieter X, DPF-zertifiziert) |
| Loeschfrist | 6 Monate nach Abschluss des Bewerbungsverfahrens (§ 15 Abs. 4 AGG) |
| DSFA | Ja, erforderlich (automatisierte Bewertung, Hochrisiko nach EU AI Act) |
| Human-in-the-Loop | Finale Entscheidung durch Personalverantwortlichen, Art. 22 DSGVO |
Muster 4: KI-gestuetzte Textgenerierung (Marketing)
| Feld | Eintrag |
|---|---|
| Verarbeitungstätigkeit | Generierung von Marketingtexten, Social-Media-Posts, Newsletter |
| Zweck | Content-Erstellung für Unternehmenskommunikation |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Betroffene | Keine direkt betroffenen Personen (reine Textgenerierung ohne personenbezogene Eingabedaten) |
| Datenkategorien | Prompts (Thema, Tonalitaet, Zielgruppe als abstrakte Beschreibung), generierte Texte |
| Empfaenger | Interne Marketingabteilung |
| Drittland | USA (Anthropic, DPF-zertifiziert) |
| Loeschfrist | Prompts: 30 Tage. Generierte Texte: Dauer der Nutzung. |
Werden in Prompts personenbezogene Daten eingegeben (z. B. Kundenrezensionen mit Namen), verschiebt sich die Risikobewertung erheblich. In diesem Fall ist eine DSFA erforderlich.
Häufige Fehler
KI-Verarbeitung nicht als eigene Tätigkeit erfasst
Viele Unternehmen listen den KI-Einsatz unter einer bestehenden Verarbeitungstätigkeit (z. B. "Kundenservice"), ohne die KI-spezifischen Aspekte zu dokumentieren. Besser: eigener Eintrag pro KI-System.
Drittlandtransfer nicht dokumentiert
Cloud-basierte KI-Dienste (OpenAI, Anthropic, Google) übertragen Daten in die USA. Die Rechtsgrundlage für den Transfer (EU-US DPF, Standardvertragsklauseln) muss im Verzeichnis stehen.
KI-generierte Daten vergessen
Die KI erzeugt neue Daten: Klassifikationen, Scores, Zusammenfassungen. Diese sind personenbezogen, wenn sie einer identifizierbaren Person zugeordnet werden können. Sie gehören in die Datenkategorien.
Loeschfristen fehlen
"Unbefristet" ist keine zulaessige Angabe. Definieren Sie konkrete Loeschfristen oder Loeschkriterien. Wenn eine exakte Frist nicht möglich ist, genuegt eine Beschreibung der Kriterien.
Technische Maßnahmen zu allgemein
"Stand der Technik" reicht nicht. Benennen Sie konkrete Maßnahmen: Verschluesselungsstandard, Zugriffskonzept, Monitoring-Verfahren.
Wir sehen in der Beratungspraxis regelmäßig, dass genau dieser Punkt bei Betriebsprüfungen auffaellt. Eine Aufsichtsbehörde erwartet im Zweifel, einen KI-Chatbot mit einem Verzeichniseintrag nachvollziehen zu können, der Loeschfristen pro Datenkategorie und konkrete TOMs benennt. Wer stattdessen "Stand der Technik" schreibt, handelt sich Rückfragen ein. Die lassen sich vermeiden.
Häufige Fragen
Muss jedes Unternehmen ein Verarbeitungsverzeichnis fuehren?
Art. 30 Abs. 5 DSGVO sieht eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor. Diese Ausnahme greift jedoch nicht bei risikobehafteten Verarbeitungen. Da KI-Systeme regelmäßig als risikobehaftet gelten, besteht die Pflicht faktisch für jedes Unternehmen, das KI mit personenbezogenen Daten einsetzt.
Brauche ich für jedes KI-Tool einen eigenen Eintrag?
Ja, wenn die KI-Tools unterschiedliche Zwecke verfolgen oder unterschiedliche Datenkategorien verarbeiten. Ein KI-Chatbot und ein KI-basiertes Recruiting-Tool erfordern getrennte Eintraege.
Muss das Verarbeitungsverzeichnis öffentlich sein?
Nein. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfuegung gestellt werden, ist aber kein öffentliches Dokument.
Wie oft muss ich das Verzeichnis aktualisieren?
Es gibt keine feste Frist. Das Verzeichnis muss den aktuellen Stand der Verarbeitungstätigkeiten widerspiegeln. Prüfen Sie bei jeder Einführung oder Änderung eines KI-Systems, ob der Eintrag angepasst werden muss. Ein vierteljaehrlicher Review ist empfehlenswert.
Was passiert, wenn mein Verarbeitungsverzeichnis unvollständig ist?
Ein fehlendes oder unvollständiges Verarbeitungsverzeichnis stellt einen Verstoss gegen Art. 30 DSGVO dar. Bussgelder bis zu 10 Mio. EUR oder 2 Prozent des Jahresumsatzes sind möglich (Art. 83 Abs. 4 lit. a DSGVO).
Kann ich eine Software für das Verarbeitungsverzeichnis nutzen?
Ja. Spezialisierte Datenschutz-Management-Tools erleichtern die Pflege erheblich. Alternativ genuegt eine strukturierte Tabelle (z. B. in Excel). Entscheidend ist die Vollständigkeit, nicht das Format.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.