KI-Agenten DSGVO-konform einsetzen

KI-Agenten verarbeiten in praktisch jedem realistischen Use-Case personenbezogene Daten. Sie nehmen Anfragen von Kunden entgegen, sehen Vertragsdaten ein, schreiben in CRM- und ERP-Systeme, formulieren Antworten, die auf personenbezogenen Informationen beruhen. Damit fallen sie unmittelbar in den Anwendungsbereich der DSGVO – mit allen Konsequenzen.

Erschwerend kommt hinzu, dass KI-Agenten Daten oft an Modell-Anbieter (OpenAI, Anthropic, Google, Mistral) übergeben. Diese Anbieter sind in der Regel nicht in Deutschland, sondern in der EU oder den USA ansässig. Damit kommen Themen wie Auftragsverarbeitung, Drittlandtransfer und Standardvertragsklauseln ins Spiel – Themen, die in vielen Unternehmen nicht in der ersten Reihe stehen.

Hinzu kommt der EU AI Act. Er ist seit 2024 in Kraft und entfaltet seine Wirkung schrittweise bis 2027. Er ergänzt die DSGVO um KI-spezifische Pflichten: Risikoklassifikation, Transparenz, Logging, Mensch-in-der-Schleife für bestimmte Use-Cases.

Jede Verarbeitung personenbezogener Daten braucht nach Art. 6 DSGVO eine Rechtsgrundlage. Für KI-Agenten relevant sind in erster Linie: Vertragserfüllung (Art. 6 Abs. 1 b), berechtigte Interessen (Art. 6 Abs. 1 f), Einwilligung (Art. 6 Abs. 1 a), rechtliche Verpflichtung (Art. 6 Abs. 1 c).

Die meisten Use-Cases stützen sich auf Vertragserfüllung (z.B. Service-Agent für bestehende Kunden) oder berechtigte Interessen (z.B. Vertriebs-Agent für Erstanfragen). Eine Einwilligung ist nur dort sinnvoll, wo sie freiwillig und widerrufbar erteilt wird – nicht für Pflicht-Vorgänge.

Bei besonderen Datenkategorien (Art. 9 DSGVO: Gesundheit, Religion, biometrische Daten) gelten verschärfte Anforderungen. Im Gesundheitswesen ist eine zusätzliche Rechtsgrundlage nach Art. 9 Abs. 2 erforderlich, oft in Verbindung mit branchenspezifischen Gesetzen wie SGB V oder KHG.

Eine vollständige Dokumentation der Datenflüsse ist die Voraussetzung jeder DSGVO-konformen Implementierung. Welche personenbezogenen Daten verarbeitet der Agent? An welche externen Anbieter werden sie übermittelt? Welche Daten werden gespeichert, in welchem Zweck, für welche Dauer?

Typische Datenflüsse: Eingabe vom Nutzer → Vorverarbeitung (PII-Erkennung, Pseudonymisierung) → LLM-Anbieter (z.B. via EU-Region) → Tool-Aufrufe (CRM, ERP) → Antwort → Logging und Audit-Trail. An jeder Station ist zu klären, ob personenbezogene Daten anfallen, wie sie geschützt werden und welche Rechtsgrundlage gilt.

Wir empfehlen, jede Tool-Anbindung und jeden externen Aufruf in einem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren. Dieses Verzeichnis ist auch die Grundlage für die DSFA und für Audits.

Sobald Sie personenbezogene Daten an einen LLM-Anbieter übermitteln, ist dieser Anbieter Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Sie als Verantwortlicher brauchen einen Auftragsverarbeitungsvertrag (AVV) mit jedem dieser Anbieter.

Die großen LLM-Anbieter haben standardisierte AVV-Templates. OpenAI, Anthropic, Microsoft (Azure OpenAI), Google (Vertex AI), Mistral und andere bieten AVV-Module direkt im Buchungsprozess. Wichtig ist, das Kleingedruckte zu prüfen: Datenstandort, Subverarbeiter, Sicherheitsmaßnahmen, Auditrechte, Löschverpflichtungen.

Besondere Aufmerksamkeit verdient die Frage des Modell-Trainings: Werden Ihre Daten verwendet, um das Modell weiterzutrainieren? Bei den Standard-Business-Tarifen ist das in der Regel ausgeschlossen – das muss aber explizit geprüft und dokumentiert werden. Bei Consumer-Tarifen (z.B. ChatGPT Free/Plus) ist die Antwort oft anders, was diese Tarife für produktive Use-Cases ungeeignet macht.

Viele LLM-Anbieter haben US-Mutterhäuser. Ein Datentransfer in die USA ist nach DSGVO nur unter besonderen Voraussetzungen zulässig: EU-US Data Privacy Framework (DPF) für zertifizierte Anbieter, Standardvertragsklauseln (SCC) mit zusätzlichen Schutzmaßnahmen, oder Einwilligung der Betroffenen (selten praktikabel).

Wir empfehlen, wo immer möglich, EU-Hosting zu wählen: Azure OpenAI in EU-Regionen, Anthropic mit EU-Infrastruktur, Google Vertex AI in europäischen Regionen, Mistral als europäischer Anbieter. Damit entfällt das Drittland-Thema weitgehend.

Wenn US-Hosting unvermeidlich ist, sind technische und organisatorische Maßnahmen besonders wichtig: Pseudonymisierung vor Übermittlung, Verschlüsselung, Datensparsamkeit, dokumentierte SCC, regelmäßige Risikoprüfung. Der Aufwand ist real – ein weiterer Grund, EU-Hosting zu bevorzugen.

Art. 22 DSGVO verbietet grundsätzlich Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und die der betroffenen Person gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Klassische Beispiele: Kreditentscheidung, Bewerbungsablehnung, Kündigung.

Für KI-Agenten bedeutet das: Vollständig automatisierte Entscheidungen mit erheblicher Wirkung sind nicht zulässig. Der Agent darf vorbereiten, klassifizieren und vorschlagen – die finale Entscheidung muss von einem Menschen getroffen werden. Diese Anforderung ist auch unter dem EU AI Act für viele Use-Cases verschärft.

Ausnahmen gibt es nur in engen Grenzen: Vertragserfüllung mit Schutzmaßnahmen, ausdrückliche Einwilligung, gesetzliche Erlaubnis. In allen Fällen müssen Schutzmaßnahmen vorhanden sein: Information, Möglichkeit zur Anfechtung, menschliches Eingreifen auf Antrag.

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Bei KI-Agenten ist das in vielen Fällen anzunehmen – insbesondere bei systematischer Bewertung, sensiblen Daten oder Vorgangsvolumen.

Die DSFA umfasst: Beschreibung der Verarbeitung, Zweck und Notwendigkeit, Risikoanalyse für die Betroffenen, geplante technische und organisatorische Maßnahmen, Konsultation des Datenschutzbeauftragten, ggf. der Aufsichtsbehörde.

Wir empfehlen, die DSFA bereits vor MVP-Entwicklung zu erstellen. So fließen die Erkenntnisse in Architektur und Prozess ein. Die DSFA wird über den Lebenszyklus des Agenten gepflegt – bei wesentlichen Änderungen ist sie zu aktualisieren.

Der EU AI Act klassifiziert KI-Systeme in vier Risikoklassen: unannehmbar (verboten), hoch (umfangreiche Pflichten), begrenzt (Transparenz), minimal (keine spezifischen Pflichten). Die meisten Geschäftsagenten fallen in „begrenzt“ oder „hoch“, abhängig vom Anwendungsbereich.

Hochrisiko-Use-Cases umfassen u.a.: kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung, Migration, Justiz, demokratische Prozesse. Im Recruiting-Agent ist die Hochrisiko-Einstufung praktisch immer gegeben. Im Service-Agent in der Regel nicht.

Pflichten für Hochrisiko-Systeme: Risikomanagementsystem, Datenqualitätsanforderungen, technische Dokumentation, Aufzeichnungs- und Logging-Pflichten, Transparenz, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersicherheit. Diese Pflichten greifen ab 2026 vollständig – vorbereiten lohnt sich jetzt.

Betroffene haben nach DSGVO weitreichende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Anfechtung automatisierter Entscheidungen (Art. 22).

Für KI-Agenten praktisch besonders relevant: Auskunft über die Verarbeitung (welche Daten, welche Logik, welche Konsequenzen), Möglichkeit zur Anfechtung von Entscheidungen, Löschung von Trainings- und Vorgangsdaten.

In der Architektur muss die Erfüllung dieser Rechte technisch vorgesehen sein: Audit-Trail mit Bezug auf Personen, Löschmechanismen für Vorgangs- und Logdaten, Schnittstellen für Auskunfts- und Löschanfragen. Wir empfehlen, diese Funktionen ins MVP einzubeziehen, nicht nachzulagern.

Art. 32 DSGVO verlangt angemessene TOM zur Sicherheit der Verarbeitung. Für KI-Agenten relevant: Verschlüsselung in Transit und at rest, Zugriffsbeschränkungen mit Rolle/Right-Konzept, Authentifizierung (MFA), Pseudonymisierung wo möglich, Logging und Monitoring, Vorfallreaktion.

Architektonisch sollten Sie folgende Bausteine vorsehen: Modell-Gateway als zentraler Kontrollpunkt, Tool-Layer mit Berechtigungs-Mapping, PII-Filter vor LLM-Aufrufen, Audit-Trail mit Aufbewahrungsfristen, Notfall-Schalter („Kill-Switch“) für den Agenten.

EU AI Act Art. 50 verlangt: Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren. Das gilt insbesondere für Chatbots und virtuelle Assistenten. Die Information muss klar, verständlich und barrierefrei sein.

Praktisch heißt das: Der Agent stellt sich beim Erstkontakt als KI-Assistent vor, weist auf seine Grenzen hin und bietet jederzeit die Übergabe an Menschen. Diese Transparenz ist nicht nur Pflicht – sie ist auch ein Akzeptanztreiber. Nutzer reagieren positiver auf einen ehrlichen KI-Agenten als auf einen, der sich als Mensch ausgibt.

Der DSB ist Ihr wichtigster Verbündeter bei DSGVO-konformen KI-Agenten. Wir empfehlen, ihn bereits in der Use-Case-Auswahl einzubinden – nicht erst kurz vor Go-live. So können Compliance-Themen frühzeitig in Architektur und Prozess einfließen.

Typische DSB-Aufgaben im KI-Agenten-Kontext: Beratung zur Rechtsgrundlage, Begleitung der DSFA, Prüfung von AVV und Drittlandtransfer, Genehmigung von Tools und Anbietern, Schulung der Beteiligten, Reaktion auf Betroffenenanfragen.

Die Investition in eine gute DSB-Einbindung zahlt sich vielfach aus: Schnellere Freigaben, weniger Nacharbeit, robustere Architektur, höhere Akzeptanz bei Betriebsrat und Geschäftsführung.