DSGVO KI: Welche Regeln gelten für die Datenschutzerklärung?

DSGVO KI – für viele klingt das kompliziert. Doch wenn du Künstliche Intelligenz (KI) in deinem Unternehmen einsetzt, insbesondere mit KI-Agenten über Schnittstellen (APIs) anstatt über die öffentlichen Web-Apps von ChatGPT, Gemini und Co., hast du einen entscheidenden Vorteil: Du kannst einen Auftragsverarbeitungsvertrag (AVV) abschließen. Das ist der Schlüssel für eine datenschutzkonforme Verarbeitung personenbezogener Daten. Aber was genau muss dann in deine Datenschutzerklärung?

Wir bei Agentschmiede wissen, wie du die Power von KI nutzen und gleichzeitig die hohen Anforderungen der DSGVO KI erfüllen kannst. Hier ist deine Checkliste für eine transparente und rechtssichere Datenschutzerklärung, wenn du Daten mit KI verarbeitest.

Wichtiger Hinweis: Wir sind keine Anwaltskanzlei. Dieser Artikel bietet dir wichtige Orientierungspunkte, ersetzt aber keine Rechtsberatung. Für die genaue Formulierung deiner Datenschutzerklärung solltest du unbedingt einen auf Datenschutzrecht spezialisierten Anwalt konsultieren.

Was ist das A und O für DSGVO KI in deiner Datenschutzerklärung?

Deine Datenschutzerklärung ist der Dreh- und Angelpunkt für Transparenz. Wenn deine KI personenbezogene Daten verarbeitet, müssen diese Punkte unbedingt rein:

• 1. Welche Daten verarbeitet deine KI und wofür?
  • Gib präzise an, welche Art von personenbezogenen Daten (z.B. Namen, E-Mails, Nutzungsdaten, Chat-Inhalte) die KI sammelt oder verarbeitet.
  • Beschreibe klar den Zweck der KI-Nutzung (z.B. „automatischer Kundensupport“, „personalisierte Produktempfehlungen“, „Effizienzsteigerung interner Prozesse“).
• 2. Auf welcher Rechtsgrundlage geschieht das?
  • Erkläre, warum du die Daten verarbeiten darfst (z.B. aufgrund einer Einwilligung des Nutzers, zur Vertragserfüllung, wegen eines berechtigten Interesses deines Unternehmens oder einer gesetzlichen Verpflichtung).
• 3. Wer bekommt deine Daten (KI-Anbieter, Hoster)?
  • Nenne alle externen Dienstleister, an die Daten im Rahmen der KI-Nutzung weitergegeben werden (z.B. OpenAI, Google, Anthropic oder Hosting-Provider).
  • Erwähne ausdrücklich, dass mit diesen Dienstleistern Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO geschlossen wurden. Dies ist besonders wichtig, da es bei der Nutzung von KI-APIs möglich ist, während es bei den Web-Apps meist nicht der Fall ist.
• 4. Treffen KIs bei dir automatisiert Entscheidungen?
  • Wenn deine KI vollautomatisch Entscheidungen trifft, die rechtliche Folgen für Personen haben (z.B. eine automatisierte Absage eines Antrags), musst du darauf hinweisen.
  • Erkläre die Logik hinter dieser Entscheidung, welche Tragweite sie hat und welche Rechte die betroffene Person hat (z.B. das Recht auf menschliches Eingreifen oder Widerspruch).
• 5. Wohin gehen deine Daten (Drittlandtransfer)?
  • Wenn Daten an KI-Anbieter außerhalb der EU/EWR (z.B. USA) übertragen werden, musst du die rechtlichen Garantien dafür nennen (z.B. EU-Standardvertragsklauseln).
  • Vorsicht bei Anbietern wie Deepseek: Hier gibt es oft keine klaren DSGVO-konformen AVV-Prozesse oder Serverstandorte in der EU, was den Drittlandtransfer zusätzlich erschwert.
• 6. Wie lange speichert deine KI die Daten?
  • Informiere über die Speicherdauer der durch die KI verarbeiteten Daten oder die Kriterien, nach denen diese Dauer festgelegt wird.
• 7. Welche Rechte haben deine Nutzer?
  • Erinnere an die DSGVO-Rechte deiner Nutzer (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Beschwerderecht).

Warum sind AVVs so wichtig für deine DSGVO KI-Strategie?

Der Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist der Game-Changer für deine DSGVO KI-Konformität, insbesondere wenn du KI-Agenten über APIs nutzt.

• Bei der API-Nutzung:
  • OpenAI (ChatGPT): Bietet für die API-Nutzung einen AVV an. Deine Daten werden nicht für Trainingszwecke genutzt und menschlicher Zugriff ist ausgeschlossen (außer bei Missbrauchskontrolle).
  • Google (Gemini): Auch für die Gemini API und für Google Workspace kann ein AVV geschlossen werden. Hier ist menschlicher Zugriff auf Inhalte ausgeschlossen.
  • Anthropic (Claude): Stellt ebenfalls AVVs für die API-Nutzung bereit, und Daten dienen nicht dem Training.

Wenn du mehr zum Thema Datenschutz im Kontext von KI erfahren möchtest, haben wir hier einen spannenden Blogartikel für dich.

Wo finde ich Hilfe für die Erstellung meiner Datenschutzerklärung?

Die Erstellung einer datenschutzkonformen Datenschutzerklärung für den KI-Einsatz kann komplex sein. Wir als Agentschmiede sind keine Rechtsexperten und dieser Artikel ersetzt keine Rechtsberatung. Aber wir können dir nützliche Anlaufstellen nennen:

• Inspiration suchen: Schau dir die Datenschutzerklärungen anderer seriöser Unternehmen an, die bereits KI zur Datenverarbeitung nutzen. Das kann dir einen guten Überblick geben, wie andere die Anforderungen umsetzen.
• Ressourcen nutzen: Plattformen wie e-recht24 bieten oft Musterpassagen oder spezielle Hinweise zur Integration von KI-Nutzung in die Datenschutzerklärung. Diese können ein guter Ausgangspunkt sein, müssen aber immer auf deine spezifische Anwendung angepasst werden.
• Rechtlichen Rat einholen: Angesichts der Komplexität und potenzieller Bußgelder solltest du die finale Formulierung deiner Datenschutzerklärung immer von einem auf Datenschutzrecht spezialisierten Anwalt prüfen lassen.

Fazit: DSGVO KI – Mit Klarheit und Sicherheit durch den Wandel

Der Einsatz von KI ist eine enorme Chance für dein Unternehmen. Die Herausforderung DSGVO KI mag auf den ersten Blick einschüchternd wirken, ist aber mit dem richtigen Ansatz und transparenten Prozessen absolut beherrschbar. Indem du deine Datenschutzerklärung proaktiv anpasst und auf sichere Lösungen wie KI-Agenten über API-Schnittstellen mit AVVs setzt, nutzt du die Vorteile der KI, ohne dabei rechtliche Risiken einzugehen.

Wir bei Agentschmiede entwickeln KI-gestützte Automatisierungslösungen, die auf deine Bedürfnisse zugeschnitten sind – immer mit einem klaren Fokus auf Sicherheit und Datenschutz. Wir helfen dir, die richtigen Tools zu implementieren und die rechtlichen Rahmenbedingungen zu beachten.

Bist du bereit, die Möglichkeiten der KI sicher und effektiv für dein Unternehmen zu nutzen?