DSGVO-konforme KI: Definition und Anforderungen

Was macht eine KI DSGVO-konform?

Entscheidend ist nicht das Modell allein, sondern der gesamte Verarbeitungskontext: Rechtsgrundlage und Zweck, Datenminimierung, Transparenz, Wahrung der Betroffenenrechte sowie technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Werden Daten im Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag erforderlich.

Die drei harten Prüfpunkte für Entscheider

In der Praxis prüfen Datenschutz- und Sicherheitsverantwortliche drei Punkte besonders genau: einen unterzeichneten AVV nach Art. 28 DSGVO, einen konkreten Rechenzentrumsstandort innerhalb der EU bzw. der eigenen Umgebung und den vertraglichen Ausschluss, dass Eingabedaten zum Training von Modellen genutzt werden.

• Unterzeichneter Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
• Konkreter Datenstandort (EU-Rechenzentrum oder eigene Umgebung)
• Vertraglicher Ausschluss von Training auf Eingabedaten

Ist DSGVO-Konformität ein Zustand?

Nein. Compliance ist ein fortlaufender Prozess, kein einmalig erreichter Zustand. Seriöse Anbieter treffen daher keine pauschalen Garantieaussagen zur DSGVO-Konformität, sondern unterstützen konforme Betriebsmodelle, dokumentieren Datenflüsse und ermöglichen Auditierbarkeit, die an bestehende Governance-Prozesse anschließt.