Datenschutzkonforme KI im Mittelstand: DSGVO-fest in 90 Tagen starten

DSGVO-Pflichten für KI: Art. 13, 22 und 35 sauber abarbeiten

Datenschutzkonforme KI im Mittelstand beginnt nicht mit dem Modell, sondern mit drei DSGVO-Artikeln: Art. 13 (Informationspflicht), Art. 22 (automatisierte Einzelentscheidung) und Art. 35 (Datenschutz-Folgenabschätzung, DPIA). Wer diese drei Punkte sauber dokumentiert, hat 80 Prozent der Compliance-Diskussion bereits hinter sich.

Compliance vor Modellwahl

Datenschutzkonforme KI im Mittelstand entscheidet sich nicht am Modell, sondern an drei DSGVO-Artikeln: Informationspflicht, automatisierte Einzelentscheidung und Datenschutz-Folgenabschätzung. Wer diese sauber dokumentiert, hat 80 Prozent der Compliance-Diskussion bereits hinter sich.

Art. 13, Informationspflicht: Betroffene müssen wissen, dass KI eingesetzt wird, welche Daten verarbeitet werden und auf welcher Rechtsgrundlage. Praktisch heißt das: Datenschutzerklärung anpassen, KI-Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten (VVT) aufnehmen, Mitarbeitende informieren.

Art. 22, automatisierte Entscheidungen: Sobald eine KI ohne menschliche Prüfung über Menschen entscheidet (Kreditzusage, Tarifeinstufung, Bewerberauswahl), greift Art. 22. Lösung: Human-in-the-Loop. Die KI schlägt vor, ein Mensch entscheidet und dokumentiert. Genau das bildet sensified.ai über strukturierte Freigabe-Workflows ab.

Art. 35, DPIA: Für KI-Anwendungen mit hohem Risiko ist eine Datenschutz-Folgenabschätzung Pflicht. Wir liefern dafür eine vorausgefüllte DPIA-Vorlage, die typische KI-Risiken (Halluzinationen, Bias, Re-Identifizierung) bereits adressiert. Ihr Datenschutzbeauftragter ergänzt nur den anwendungsspezifischen Kontext, statt von null zu starten.

In unseren Projekten dauert dieser Block typischerweise 10 bis 20 Arbeitstage, inklusive Abstimmung mit der Rechtsabteilung. Wer hier sauber arbeitet, muss den Stack später nicht erneut vor der Aufsichtsbehörde rechtfertigen.

AVV mit dem KI-Anbieter: Sub-Prozessoren, Drittlandtransfer, Modell-Training

Ein belastbarer Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist die Grundlage jeder ki dsgvo konform betriebenen Anwendung. Wer hier nur einen US-Standardvertrag abnickt, baut auf Sand.

Ein tragfähiger AVV deckt fünf Punkte ab: Zweck und Umfang der Verarbeitung, Liste aller Sub-Prozessoren mit Ort der Verarbeitung, Garantien zum Drittlandtransfer (Standardvertragsklauseln plus Transfer Impact Assessment), explizite Zusagen zum Modell-Training (Ihre Daten dürfen nicht in Trainingsdaten Dritter fließen) und technisch-organisatorische Maßnahmen (TOM) auf aktuellem Stand.

Genau hier scheitern viele Projekte mit US-Anbietern: Sub-Prozessoren werden quartalsweise getauscht, Trainings-Opt-out gilt nur für die Bezahlversion, der Datenfluss endet de facto in Texas. Als dsgvo ki anbieter deutschland liefert sensified.ai einen vorbereiteten AVV inklusive vollständiger Sub-Prozessor-Liste, EU-only-Klausel und schriftlicher Zusicherung, dass Kundendaten nicht zum Modelltraining verwendet werden.

Für Ihren Datenschutzbeauftragten heißt das: ein PDF, eine Unterschrift, ein dokumentierter Stand. Änderungen an der Sub-Prozessor-Liste werden 30 Tage vorab schriftlich angekündigt, sodass Sie ein Widerspruchsrecht real ausüben können, nicht nur theoretisch.

In der Praxis reduziert das die Prüfzeit der Rechtsabteilung von typischerweise 6 bis 8 Wochen auf 5 bis 10 Arbeitstage. Das ist der Hebel, der den 90-Tage-Plan überhaupt realistisch macht.

EU-Hosting, EU-Inference und Audit-Trail: Technik, die der Aufsicht standhält

Datenschutzkonforme KI im Mittelstand braucht eine technische Basis, die jeder Aufsichtsbehörde standhält. Drei Bausteine sind nicht verhandelbar: EU-Hosting, EU-Modell-Inferenz und ein lückenloser Audit-Trail.

EU-Hosting: Anwendung, Datenbank und Vektorspeicher laufen in deutschen oder EU-Rechenzentren, konkret Frankfurt und Berlin. Keine Replikation in US-Regionen, keine Backup-Kopien außerhalb der EU. Das ist auf Infrastrukturebene konfiguriert, nicht nur per AGB versprochen.

EU-Modell-Inferenz: Hier trennt sich Spreu vom Weizen. Viele Anbieter hosten zwar die Anwendung in der EU, schicken die Prompts aber an US-Modelle. Eine eu-hosted ki plattform wie sensified.ai routet ausschließlich auf Modelle, die in EU-Rechenzentren betrieben werden, inklusive Multi-LLM-Routing zwischen europäischen Mistral-, Aleph-Alpha- und EU-gehosteten OpenAI-Endpoints.

Audit-Trail: Jede Anfrage wird protokolliert: Wer (User-ID) hat wann (Zeitstempel) welche Frage gestellt, welche Quellendokumente waren Grundlage, welches Modell hat geantwortet, welche Antwort wurde ausgeliefert, wurde sie freigegeben oder verworfen. Diese ki datenschutz audit-trail-Logs sind unveränderlich, exportierbar und revisionssicher gespeichert.

Für Ihren Datenschutzbeauftragten heißt das: bei einer Betroffenenanfrage nach Art. 15 DSGVO können Sie binnen Stunden nachweisen, welche personenbezogenen Daten in welchem KI-Kontext verarbeitet wurden. Ohne Audit-Trail ist genau diese Auskunft praktisch unmöglich, und das ist regelmäßig der Punkt, an dem KI-Pilotprojekte vor der Produktivsetzung scheitern.

Löschkonzept, Recht auf Erläuterung und EU AI Act Art. 50

Wer KI produktiv betreibt, muss drei Betroffenenrechte technisch bedienen können: Recht auf Löschung (Art. 17 DSGVO), Recht auf Erläuterung der KI-Entscheidung (abgeleitet aus Art. 22) und die neue Transparenz-Pflicht aus EU AI Act Art. 50.

Löschkonzept: Personenbezogene Daten in Prompts, Antworten und Vektor-Embeddings müssen löschbar sein, inklusive der abgeleiteten Repräsentationen. sensified.ai bietet dafür ein dokumentiertes Löschkonzept mit Lösch-API: Auf Knopfdruck werden alle Daten eines Betroffenen aus Logs, Vektorindex und Caches entfernt, inklusive Lösch-Protokoll für die Akte.

Recht auf Erläuterung: Wenn eine KI-Antwort die Grundlage einer Entscheidung war, müssen Sie erklären können, warum. Hier hilft der Audit-Trail: jede Antwort verlinkt auf die Quelldokumente und das verwendete Modell. So ist nachvollziehbar, auf welcher Faktenbasis die KI argumentiert hat, ein zentraler Unterschied zu reinen Chat-Frontends ohne Quellenbindung.

EU AI Act Art. 50, Transparenzpflicht: Ab August 2026 müssen KI-generierte Texte, Bilder und Audio als solche kenntlich gemacht werden. Konkret heißt das: Disclosure-Footer in Mailings, Bild-Captions bei generierten Visuals, Vendor-Hinweis im Tool-Frontend. sensified.ai liefert diese Disclosures als konfigurierbare Standardbausteine aus, pro Use Case aktivierbar, mit Audit-Log über jede Disclosure-Änderung.

Diese drei Themen sind der Bereich, in dem viele Mittelständler später nachrüsten müssen. In unseren 90-Tage-Projekten setzen wir Sie von Tag eins an strukturell auf, damit kein zweites Compliance-Projekt nötig wird.

Praxis: Steuerberatung mit GoBD und Klinik/Pharma mit GxP

Theorie reicht nicht, datenschutzkonforme KI im Mittelstand muss sich in regulierten Branchen beweisen. Zwei typische Konstellationen aus unseren Projekten:

Steuerberatung, Mandantenakte trifft KI-Assistent: Die Kanzlei will Mandantenanfragen, Belege und Vorjahresakten per KI durchsuchbar machen. Compliance-Anker sind DSGVO plus GoBD (Grundsätze ordnungsmäßiger Buchführung). Lösung: Mandantendaten bleiben im EU-Vektorspeicher, jede KI-Antwort verlinkt auf das konkrete Quelldokument mit Seitenzahl, der Audit-Trail dokumentiert revisionssicher, welcher Sachbearbeiter wann welche Mandanteninformation abgerufen hat. Das erfüllt sowohl die DSGVO-Auskunftspflicht als auch die GoBD-Anforderung an Nachvollziehbarkeit. Die Mandantentrennung wird über Tenant-IDs technisch erzwungen, ein Sachbearbeiter sieht nie Daten anderer Mandanten, auch nicht versehentlich über die KI.

Klinik und Pharma, Patientendaten und GxP-Reproduzierbarkeit: Eine Klinik will medizinische Leitlinien, SOPs und anonymisierte Fallakten für die ärztliche Recherche zugänglich machen. Pharma-Unternehmen wollen Studiendokumentation per KI durchsuchen. Compliance-Anker: DSGVO, Patientenrecht, GxP (Good Practice). Die KI-Antworten müssen reproduzierbar sein, also bei identischer Frage zu identischen Quellen führen. sensified.ai bildet das über deterministische Routing-Konfigurationen plus versionierten Vektorindex ab. Personenbezogene Patientendaten werden vor der Indexierung pseudonymisiert; der Audit-Trail erfüllt die GxP-Dokumentationspflicht.

In beiden Fällen ist der Hebel derselbe: Ein deutscher Anbieter mit EU-Hosting, fertigem AVV, dokumentiertem Löschkonzept und Audit-Trail spart 4 bis 6 Monate Compliance-Arbeit gegenüber Eigenbau auf US-Stack.

Deutscher Stack spart sechs Monate

Ein deutscher Anbieter mit EU-Hosting, fertigem AVV, dokumentiertem Löschkonzept und revisionssicherem Audit-Trail spart 4 bis 6 Monate Compliance-Arbeit gegenüber einem Eigenbau auf US-Stack. Genau dieser Hebel macht den 90-Tage-Plan überhaupt realistisch.

Nächste Schritte

Ein realistischer 90-Tage-Pfad zur datenschutzkonformen KI sieht so aus: Tag 1, 30 Compliance-Audit (Use-Case-Auswahl, DPIA, AVV, VVT-Eintrag, TOM-Abgleich, Risikoklassifizierung nach EU AI Act). Tag 31, 60 technische Einrichtung (EU-Hosting, Tenant-Setup, Anbindung Ihrer Quellsysteme, Audit-Trail-Konfiguration, Disclosure-Bausteine, Pseudonymisierung). Tag 61, 90 Pilotbetrieb mit definierter Nutzergruppe, Schulung Datenschutzbeauftragter und Fachbereich, Freigabe-Dokumentation, Übergang in den Regelbetrieb.

Damit haben Sie nach 90 Tagen nicht nur ein laufendes KI-System, sondern eine vollständige Compliance-Akte: DPIA, AVV, VVT-Eintrag, TOM-Dokumentation, Audit-Trail-Beispielexport, Löschprotokoll-Vorlage und EU-KI-Act-Risikoklassifizierung. Das ist die Grundlage, auf der Ihre Rechtsabteilung weitere Use Cases ohne erneuten Großprojekt-Aufwand freigeben kann.

Unser Festpreis-Compliance-Audit ist der pragmatische Einstieg: zwei Workshops, schriftliche Risikobewertung, fertiger AVV-Entwurf, DPIA-Rohfassung und ein konkreter Umsetzungsplan, alles mit deutschem Team, deutscher Vertragssprache und deutschem Gerichtsstand.

Wenn Sie KI einführen wollen, ohne dass Ihre Rechtsabteilung das Projekt stoppt, sprechen Sie mit uns. Im 30-minütigen DSGVO-Strategiegespräch klären wir Ihren konkreten Use Case, die regulatorische Einordnung und den realistischen Zeitplan, ohne Verkaufsdruck, mit klarer Entscheidungsgrundlage für Ihren nächsten Schritt.