Ein DSGVO KI Verarbeitungsverzeichnis ist fuer jedes Unternehmen Pflicht, das KI-Systeme einsetzt, die personenbezogene Daten verarbeiten. Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstaetigkeiten mit klar definierten Pflichtangaben. Viele Unternehmen haben zwar ein Verarbeitungsverzeichnis, aber KI-basierte Verarbeitungen fehlen darin haeufig oder sind unzureichend dokumentiert.
Dieser Artikel liefert einen vollstaendigen Muster-Eintrag fuer ein KI-System, erklaert alle Pflichtfelder nach Art. 30 DSGVO und zeigt, worauf Sie bei KI-Verarbeitungen besonders achten muessen.
Pflichtfelder nach Art. 30 Abs. 1 DSGVO
Das Verarbeitungsverzeichnis muss fuer jede Verarbeitungstaetigkeit folgende Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen (ggf. des gemeinsam Verantwortlichen, des Vertreters und des Datenschutzbeauftragten)
- Zwecke der Verarbeitung
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Kategorien von Empfaengern (einschliesslich Empfaenger in Drittlaendern)
- Uebermittlungen in Drittlaender (einschliesslich Dokumentation geeigneter Garantien)
- Vorgesehene Loeschfristen (wenn moeglich)
- Allgemeine Beschreibung der technischen und organisatorischen Massnahmen nach Art. 32 Abs. 1 DSGVO (wenn moeglich)
Muster-Eintrag: KI-gestuetzter Kundenservice-Chatbot
Das folgende Muster zeigt einen vollstaendigen Eintrag fuer einen KI-Chatbot, der Kundenanfragen beantwortet und klassifiziert. Verwenden Sie das als Vorlage fuer Ihre eigenen KI-Systeme.
1. Name und Kontaktdaten des Verantwortlichen
| Feld | Eintrag |
|---|---|
| Verantwortlicher | Muster GmbH, Musterstrasse 1, 80331 Muenchen |
| Vertreter | Max Mustermann, Geschaeftsfuehrer |
| Datenschutzbeauftragter | Dr. Anna Musterfrau, datenschutz@muster-gmbh.de, Tel. 089 12345678 |
2. Bezeichnung der Verarbeitungstaetigkeit
KI-gestuetzte Klassifikation und Beantwortung von Kundenanfragen.
3. Zwecke der Verarbeitung
- Automatisierte Erstbeantwortung eingehender Kundenanfragen per Chat und E-Mail
- Klassifikation von Anfragen nach Thema und Dringlichkeit zur Weiterleitung
- Qualitaetssicherung durch Analyse von Kundenzufriedenheit und Antwortzeiten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) fuer die Beantwortung von Anfragen bestehender Kunden. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer Klassifikation und Qualitaetssicherung. Das berechtigte Interesse besteht in der effizienten Bearbeitung von Kundenanfragen und der Verbesserung der Servicequalitaet.
4. Kategorien betroffener Personen
- Bestandskunden
- Interessenten (potenzielle Kunden)
- Geschaeftskontakte (B2B-Anfragen)
5. Kategorien personenbezogener Daten
- Kontaktdaten: Name, E-Mail-Adresse, ggf. Telefonnummer
- Kommunikationsinhalte: Text der Anfrage, Chatverlaeufe
- Vertragsdaten: Kundennummer, Vertragsstatus (bei Bestandskunden)
- Technische Daten: IP-Adresse, Zeitstempel, Geraeteinformationen
- KI-generierte Daten: Klassifikation der Anfrage (Thema, Dringlichkeit, Stimmung), Konfidenzwert der KI-Antwort
Besondere Datenkategorien nach Art. 9 DSGVO werden nicht gezielt erhoben. Kunden koennen jedoch in Freitextfeldern freiwillig Gesundheitsdaten oder andere besondere Kategorien mitteilen. Fuer diesen Fall ist eine automatische Erkennung und Eskalation an einen menschlichen Mitarbeiter eingerichtet.
6. Kategorien von Empfaengern
| Empfaenger | Zweck | Rechtsgrundlage |
|---|---|---|
| Interne Fachabteilung (Kundenservice) | Weiterbearbeitung klassifizierter Anfragen | Interne Zustaendigkeit |
| OpenAI, Inc. (San Francisco, USA) | API-Anbieter des Sprachmodells | Auftragsverarbeitung, EU-US DPF |
| Hosting-Anbieter (Hetzner Online GmbH, DE) | Speicherung der Chatverlaeufe | Auftragsverarbeitung, Art. 28 DSGVO |
7. Uebermittlungen in Drittlaender
| Empfaenger | Land | Garantie |
|---|---|---|
| OpenAI, Inc. | USA | Angemessenheitsbeschluss EU-US Data Privacy Framework (C(2023) 4745 vom 10.07.2023). OpenAI ist unter dem DPF zertifiziert. |
Ergaenzende Massnahmen: Transfer Impact Assessment durchgefuehrt. API-Aufrufe werden verschluesselt (TLS 1.3). Personenbezogene Daten werden vor der API-Uebergabe minimiert (Kundennummern statt Klarnamen, wo moeglich).
8. Vorgesehene Loeschfristen
| Datenkategorie | Loeschfrist | Begruendung |
|---|---|---|
| Chatverlaeufe (aktive Konversation) | 90 Tage nach Abschluss | Qualitaetssicherung und Nachvollziehbarkeit |
| Klassifikationsdaten | 90 Tage nach Abschluss | Synchron mit Chatverlaeufen |
| Aggregierte Statistiken (anonymisiert) | Unbefristet | Kein Personenbezug mehr nach Anonymisierung |
| Kontaktdaten (Bestandskunden) | Dauer der Geschaeftsbeziehung + gesetzliche Aufbewahrungsfristen | HGB/AO Aufbewahrungspflichten |
| Kontaktdaten (Interessenten ohne Vertrag) | 6 Monate nach letztem Kontakt | Berechtigtes Interesse entfaellt |
9. Technische und organisatorische Massnahmen (Art. 32 DSGVO)
Vertraulichkeit: Verschluesselung der Daten bei Uebertragung (TLS 1.3) und Speicherung (AES-256). Zugangskontrolle, nur geschulte Mitarbeiter des Kundenservice haben Zugriff. Rollenbasiertes Berechtigungskonzept.
Integritaet: Protokollierung aller Zugriffe und Aenderungen. Automatische Versionierung der KI-Modellkonfiguration.
Verfuegbarkeit: Redundante Hosting-Infrastruktur. Fallback auf menschliche Bearbeitung bei KI-Ausfall.
KI-spezifische Massnahmen: Konfidenzwert-Schwelle, Anfragen mit KI-Konfidenz unter 80 Prozent werden an einen Menschen eskaliert. Regelmaessige Ueberpruefung der KI-Antworten auf Korrektheit (monatliches Sampling). Protokollierung aller KI-Entscheidungen (Input, Output, Konfidenz) fuer Nachvollziehbarkeit. Bias-Monitoring durch vierteljaehrliche Pruefung auf diskriminierende Muster.
Ergaenzende Dokumentation fuer KI-Systeme
Ueber die Pflichtfelder des Art. 30 DSGVO hinaus empfiehlt sich fuer KI-Systeme eine erweiterte Dokumentation.
Datenschutz-Folgenabschaetzung (Art. 35 DSGVO)
Wenn ein KI-System ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher Personen birgt, ist eine Datenschutz-Folgenabschaetzung (DSFA) Pflicht. Das ist regelmaessig der Fall bei systematischer Bewertung persoenlicher Aspekte (Profiling), automatisierten Entscheidungen mit rechtlicher oder aehnlich erheblicher Wirkung, umfangreicher Verarbeitung besonderer Datenkategorien oder systematischer Ueberwachung oeffentlich zugaenglicher Bereiche. Die DSFA sollte im Verarbeitungsverzeichnis referenziert werden (z. B. "DSFA Nr. 2026-003, Stand 15.03.2026").
KI-spezifische Angaben
Ergaenzen Sie den Verzeichniseintrag um Modelltyp (welches KI-Modell wird eingesetzt? z. B. GPT-4o via API, eigenes Fine-Tuning), Trainingsdaten (wurden eigene Daten zum Training oder Fine-Tuning verwendet? Falls ja: Rechtsgrundlage und Loeschkonzept), Entscheidungslogik (wie kommt die KI zu ihren Ergebnissen? Allgemeine Beschreibung, keine Geschaeftsgeheimnisse), menschliche Aufsicht (wie wird sichergestellt, dass ein Mensch die KI-Ergebnisse prueft?) und regelmaessige Ueberpruefung (wann und wie wird die Funktionsweise der KI geprueft?).
EU AI Act Dokumentation
Wenn Ihr KI-System als Hochrisiko eingestuft wird, verlangt der EU AI Act zusaetzliche Dokumentation: ein Risikomanagementsystem, Angaben zur Datenqualitaet, Gebrauchsanweisungen und Protokollierungspflichten. Diese Dokumentation kann sinnvoll mit dem Verarbeitungsverzeichnis verknuepft werden. Die Pflichten fuer Hochrisiko-Systeme greifen ab August 2026. Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt bereits seit 02.02.2025 und sollte im Verzeichnis nicht fehlen.
Drei weitere Muster-Eintraege
Muster 2: KI-gestuetzte E-Mail-Klassifikation (intern)
| Feld | Eintrag |
|---|---|
| Verarbeitungstaetigkeit | Automatische Klassifikation eingehender E-Mails nach Abteilung und Prioritaet |
| Zweck | Effiziente Weiterleitung, Reduzierung der Bearbeitungszeit |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Betroffene | Externe Absender (Kunden, Partner, Bewerber) |
| Datenkategorien | Name, E-Mail-Adresse, Betreff, E-Mail-Inhalt, KI-Klassifikation |
| Empfaenger | Interne Fachabteilungen |
| Drittland | Keines (On-Premise-Loesung) |
| Loeschfrist | Synchron mit E-Mail-Archivierung (10 Jahre nach HGB bei Geschaeftsbriefen) |
Muster 3: KI-gestuetzte Bewerbervorauswahl
| Feld | Eintrag |
|---|---|
| Verarbeitungstaetigkeit | Automatisierte Vorsortierung von Bewerbungsunterlagen |
| Zweck | Effizienzsteigerung im Recruiting-Prozess |
| Rechtsgrundlage | § 26 Abs. 1 BDSG (Beschaeftigungsverhaeltnis) |
| Betroffene | Bewerber |
| Datenkategorien | Name, Kontaktdaten, Lebenslauf, Anschreiben, Qualifikationen, KI-Score |
| Empfaenger | Interne Personalabteilung |
| Drittland | USA (Anbieter X, DPF-zertifiziert) |
| Loeschfrist | 6 Monate nach Abschluss des Bewerbungsverfahrens (§ 15 Abs. 4 AGG) |
| DSFA | Ja, erforderlich (automatisierte Bewertung, Hochrisiko nach EU AI Act) |
| Human-in-the-Loop | Finale Entscheidung durch Personalverantwortlichen, Art. 22 DSGVO |
Muster 4: KI-gestuetzte Textgenerierung (Marketing)
| Feld | Eintrag |
|---|---|
| Verarbeitungstaetigkeit | Generierung von Marketingtexten, Social-Media-Posts, Newsletter |
| Zweck | Content-Erstellung fuer Unternehmenskommunikation |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Betroffene | Keine direkt betroffenen Personen (reine Textgenerierung ohne personenbezogene Eingabedaten) |
| Datenkategorien | Prompts (Thema, Tonalitaet, Zielgruppe als abstrakte Beschreibung), generierte Texte |
| Empfaenger | Interne Marketingabteilung |
| Drittland | USA (Anthropic, DPF-zertifiziert) |
| Loeschfrist | Prompts: 30 Tage. Generierte Texte: Dauer der Nutzung. |
Werden in Prompts personenbezogene Daten eingegeben (z. B. Kundenrezensionen mit Namen), verschiebt sich die Risikobewertung erheblich. In diesem Fall ist eine DSFA erforderlich.
Haeufige Fehler
KI-Verarbeitung nicht als eigene Taetigkeit erfasst
Viele Unternehmen listen den KI-Einsatz unter einer bestehenden Verarbeitungstaetigkeit (z. B. "Kundenservice"), ohne die KI-spezifischen Aspekte zu dokumentieren. Besser: eigener Eintrag pro KI-System.
Drittlandtransfer nicht dokumentiert
Cloud-basierte KI-Dienste (OpenAI, Anthropic, Google) uebertragen Daten in die USA. Die Rechtsgrundlage fuer den Transfer (EU-US DPF, Standardvertragsklauseln) muss im Verzeichnis stehen.
KI-generierte Daten vergessen
Die KI erzeugt neue Daten: Klassifikationen, Scores, Zusammenfassungen. Diese sind personenbezogen, wenn sie einer identifizierbaren Person zugeordnet werden koennen. Sie gehoeren in die Datenkategorien.
Loeschfristen fehlen
"Unbefristet" ist keine zulaessige Angabe. Definieren Sie konkrete Loeschfristen oder Loeschkriterien. Wenn eine exakte Frist nicht moeglich ist, genuegt eine Beschreibung der Kriterien.
Technische Massnahmen zu allgemein
"Stand der Technik" reicht nicht. Benennen Sie konkrete Massnahmen: Verschluesselungsstandard, Zugriffskonzept, Monitoring-Verfahren.
Wir sehen in der Beratungspraxis regelmaessig, dass genau dieser Punkt bei Betriebspruefungen auffaellt. Eine Aufsichtsbehoerde erwartet im Zweifel, einen KI-Chatbot mit einem Verzeichniseintrag nachvollziehen zu koennen, der Loeschfristen pro Datenkategorie und konkrete TOMs benennt. Wer stattdessen "Stand der Technik" schreibt, handelt sich Rueckfragen ein. Die lassen sich vermeiden.
Haeufige Fragen
Muss jedes Unternehmen ein Verarbeitungsverzeichnis fuehren?
Art. 30 Abs. 5 DSGVO sieht eine Ausnahme fuer Unternehmen mit weniger als 250 Mitarbeitern vor. Diese Ausnahme greift jedoch nicht bei risikobehafteten Verarbeitungen. Da KI-Systeme regelmaessig als risikobehaftet gelten, besteht die Pflicht faktisch fuer jedes Unternehmen, das KI mit personenbezogenen Daten einsetzt.
Brauche ich fuer jedes KI-Tool einen eigenen Eintrag?
Ja, wenn die KI-Tools unterschiedliche Zwecke verfolgen oder unterschiedliche Datenkategorien verarbeiten. Ein KI-Chatbot und ein KI-basiertes Recruiting-Tool erfordern getrennte Eintraege.
Muss das Verarbeitungsverzeichnis oeffentlich sein?
Nein. Das Verzeichnis muss der Aufsichtsbehoerde auf Anfrage zur Verfuegung gestellt werden, ist aber kein oeffentliches Dokument.
Wie oft muss ich das Verzeichnis aktualisieren?
Es gibt keine feste Frist. Das Verzeichnis muss den aktuellen Stand der Verarbeitungstaetigkeiten widerspiegeln. Pruefen Sie bei jeder Einfuehrung oder Aenderung eines KI-Systems, ob der Eintrag angepasst werden muss. Ein vierteljaehrlicher Review ist empfehlenswert.
Was passiert, wenn mein Verarbeitungsverzeichnis unvollstaendig ist?
Ein fehlendes oder unvollstaendiges Verarbeitungsverzeichnis stellt einen Verstoss gegen Art. 30 DSGVO dar. Bussgelder bis zu 10 Mio. EUR oder 2 Prozent des Jahresumsatzes sind moeglich (Art. 83 Abs. 4 lit. a DSGVO).
Kann ich eine Software fuer das Verarbeitungsverzeichnis nutzen?
Ja. Spezialisierte Datenschutz-Management-Tools erleichtern die Pflege erheblich. Alternativ genuegt eine strukturierte Tabelle (z. B. in Excel). Entscheidend ist die Vollstaendigkeit, nicht das Format.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.