Logo
3 min Lesezeit
← Alle Insights

DSGVO · Compliance · KI

KI unter DSGVO- und Compliance-Auflagen betreiben

Die meisten Unternehmen behandeln DSGVO-Compliance als Checkliste fuer die Rechtsabteilung. Das funktioniert nicht. Compliance bei KI ist eine Architekturentscheidung, die vor der ersten Zeile Code getroffen wird.

Compliance ist ein Architekturproblem, kein Papierproblem.

Wann wird das relevant?

  • Ihr Datenschutzbeauftragter erfaehrt von KI-Tools, die ohne Freigabe im Einsatz sind (Shadow AI)
  • Ein Kunde oder Partner fragt nach Ihrer KI-Compliance-Dokumentation
  • Der EU AI Act tritt im August 2026 vollstaendig in Kraft und Sie haben noch nichts vorbereitet
  • Sie verarbeiten personenbezogene Daten mit KI und haben keine DSFA durchgefuehrt
  • Ein Wettbewerber bekommt ein Bussgeld und Ihre Geschaeftsfuehrung fragt: "Sind wir sicher?"

Was die DSGVO von KI-Systemen verlangt

  • Art. 28 — Auftragsverarbeitung: Jede externe Verarbeitung braucht einen AVV. Jeder API-Call an OpenAI oder Google ist eine Auftragsverarbeitung.
  • Art. 35 — DSFA: Pflicht bei Hochrisiko-Verarbeitung. KI-basierte Profilerstellung faellt fast immer darunter.
  • Art. 22 — Automatisierte Entscheidungen: Betroffene haben das Recht auf menschliche Ueberpruefung. Vollautomatische Entscheidungen mit rechtlicher Wirkung nur unter strengen Bedingungen zulaessig.
  • Art. 13/14 — Transparenz: Betroffene muessen wissen, dass ein KI-System ihre Daten verarbeitet.

Pflichten mit Bussgeld-Androhung bis 20 Millionen EUR oder 4% des Jahresumsatzes.

Was der EU AI Act zusaetzlich fordert

Klassifizierung nach Risiko: minimal, begrenzt, hoch, verboten. Hochrisiko-Systeme (HR-Entscheidungen, Kreditbewertung, medizinische Diagnostik, kritische Infrastruktur) muessen erfuellen:

  • Vollstaendige technische Dokumentation
  • Konformitaetsbewertung vor Inbetriebnahme
  • Logging aller Entscheidungen fuer mindestens 10 Jahre
  • Menschliche Aufsicht im laufenden Betrieb
Inventar Klassifizierung AVV pruefen Dokumentation Entscheidung

Die Architektur-Loesung

On-Premise Deployment eliminiert 80% der Compliance-Komplexitaet:

  • Kein Datentransfer = kein AVV noetig
  • Keine Cloud = kein Schrems-II-Problem
  • Lokales Logging = volle Audit-Kontrolle

Die restlichen 20%: saubere Dokumentation, Risikoklassifizierung nach AI Act, DSFA wo erforderlich. Machbare Arbeit mit klaren Vorgaben.

Beispiel aus der Praxis

Gesundheitsdienstleister, 2.000 Mitarbeiter. 14 KI-Tools im Einsatz, davon 9 ohne AVV, 4 mit US-Datenverarbeitung, 2 als Hochrisiko nach AI Act eingestuft. Audit-Ergebnis: 5 Tools konnten mit korrektem AVV weiter genutzt werden, 3 wurden durch On-Premise-Alternativen ersetzt, 6 brauchten zusaetzliche Dokumentation. Gesamtaufwand: 6 Wochen. Ohne Audit waere das Bussgeld-Risiko bei geschaetzt 2,4 Millionen EUR gelegen.

Trade-offs

  • On-Premise loest nicht alles: Auch lokale Systeme brauchen Dokumentation, DSFA und Transparenzpflichten. Der Aufwand sinkt, verschwindet aber nicht.
  • AI Act ist noch nicht final interpretiert: Risikoklassifizierung fuer viele Anwendungsfaelle ist Auslegungssache. Erwarten Sie Nachbesserungen.
  • Compliance kostet Zeit: Rechnen Sie mit 15-25% Mehraufwand gegenueber einem Projekt ohne regulatorische Anforderungen.
  • Shadow AI ist das groesste Risiko: Tools, die Mitarbeiter eigenstaendig nutzen, sind oft der blinde Fleck. Die Inventur deckt das auf.

Praktische Schritte

  • Schritt 1: Inventur aller KI-Tools — inklusive Shadow-AI
  • Schritt 2: Risikoklassifizierung jedes Systems nach AI-Act-Kategorien
  • Schritt 3: AVV-Status fuer jeden externen Dienst pruefen
  • Schritt 4: Dokumentation erstellen (Verarbeitungsverzeichnis, DSFA wo noetig)
  • Schritt 5: Entscheidung: was bleibt Cloud, was geht On-Premise

Weiterfuehrend

KI ohne Cloud

Warum On-Premise 80% der Compliance-Komplexitaet eliminiert.

Daten fuer KI

Datenqualitaet bestimmt, welche Compliance-Anforderungen greifen.

KI-Kosten in der Industrie

Was Compliance-Aufwand zum Gesamtbudget beitraegt.

Nicht sicher, ob das auf Ihren Fall zutrifft?

Wir pruefen Ihr Setup in 2 Wochen und sagen Ihnen, ob KI machbar ist.

Machbarkeits-Audit anfragen →
Ihr AlpiType Team
Landsberg am Lech · alpitype.de

Weiterführende Artikel

KI ohne Audit ist Haftungsrisiko

Audit-Prozess: EU AI Act, DSGVO, AVV-Pflichten.

Was Sie Ihren KI-Anbietern fragen müssen

5 kritische Fragekategorien mit Rechtsgrundlage.

Darf KI Ihre Website lesen?

Rechtslage zu Scraping, TDM-Opt-out und DSGVO.

Nicht sicher, ob das auf Ihren Fall zutrifft?

Wir prüfen Ihr Setup in 2 Wochen und sagen Ihnen, ob KI machbar ist.

Machbarkeits-Audit anfragen →

Sprechen Sie mit einem Ingenieur

Kein Vertrieb. Sie sprechen direkt mit einem unserer Software-Architekten über Ihr konkretes Problem. 30 Minuten. Antwort innerhalb von 24 Stunden.

Email: info@alpitype.com

LinkedIn: AlpiType

Anton Lytvynenko

Anton Lytvynenko

CEO, AlpiType

Unsere Geschichte →
Datenschutz(erforderlich)