DSGVO Grundlagen für AI-Systeme
Compliance · 8 min
Die DSGVO regelt den Schutz personenbezogener Daten in der EU. Für AI-Systeme bedeutet das: Rechtsgrundlage pruefen, Verarbeitungsverzeichnis fuehren, Betroffenenrechte sicherstellen und bei Hochrisiko-Verarbeitungen eine Datenschutz-Folgenabschaetzung durchfuehren. Self-Hosted AI hat dabei einen klaren Vorteil — kein Drittlandtransfer, volle Kontrolle.
Die Datenschutz-Grundverordnung (DSGVO) gilt seit 25. Mai 2018. Für Unternehmen, die AI-Systeme einsetzen, gibt es besondere Pflichten. Dieser Guide erklärt die Grundlagen — einfach und praxisnah.
Dies sind allgemeine Informationen, keine Rechtsberatung. Bei spezifischen Fragen wende dich an einen Datenschutzbeauftragten oder Anwalt.
Wer ist betroffen?
Die DSGVO gilt für:
- Unternehmen mit Sitz in der EU
- Unternehmen, die Daten von EU-Bürgern verarbeiten
- Alle, die personenbezogene Daten automatisiert verarbeiten
Die 6 Grundsätze (Art. 5)
1. Rechtmäßigkeit, Transparenz
Daten nur mit Rechtsgrundlage verarbeiten. Transparente Kommunikation gegenüber Betroffenen.
2. Zweckbindung
Daten nur für festgelegte, eindeutige und legitime Zwecke erheben. Nicht zweckentfremden.
3. Datenminimierung
Nur Daten erheben, die für den Zweck notwendig sind. So wenig wie möglich.
4. Richtigkeit
Daten müssen aktuell und korrekt sein. Unrichtige Daten sind zu löschen oder zu berichtigen.
5. Speicherbegrenzung
Daten nur so lange speichern, wie für den Zweck nötig. Dann löschen.
6. Integrität & Vertraulichkeit
Angemessene Sicherheit gewährleisten. Schutz vor unbefugtem Zugriff, Verlust, Zerstörung.
Rechtsgrundlagen (Art. 6)
| Rechtsgrundlage | Beschreibung | AI-Beispiel |
|---|---|---|
| Einwilligung | Freiwillig, widerrufbar | Newsletter, Personalisierung |
| Vertrag | Zur Vertragserfüllung nötig | Bestellabwicklung |
| Berechtigtes Interesse | Abwägung mit Rechten des Betroffenen | Betrugsprävention |
| Gesetzliche Pflicht | Rechtliche Verpflichtung | Buchhaltung |
Rechte der Betroffenen (Art. 15-22)
- Auskunftsrecht (Art. 15) — Welche Daten werden verarbeitet?
- Recht auf Berichtigung (Art. 16) — Falsche Daten korrigieren
- Recht auf Löschung (Art. 17) — "Recht auf Vergessenwerden"
- Recht auf Einschränkung (Art. 18) — Verarbeitung stoppen
- Datenübertragbarkeit (Art. 20) — Daten in anderes System mitnehmen
- Widerspruch (Art. 21) — Gegen bestimmte Verarbeitungen widersprechen
Pflichten für AI-Systeme
Was du bei AI-Systemen beachten musst:
| Pflicht | Beschreibung |
|---|---|
| Verarbeitungsverzeichnis | Art. 30 — Dokumentation aller Verarbeitungen |
| Datenschutz-Folgenabschätzung | DPIA — Bei voraussichtlich hohem Risiko |
| Auftragsverarbeitung | AVV — Mit allen Dienstleistern abschließen |
| Datenschutz-Folgenabschätzung | DPIA — Pflicht bei automatisierter Entscheidungsfindung |
| Transparenz | Betroffene über AI-Einsatz informieren |
Art. 30 Verarbeitungsverzeichnis
Jedes Unternehmen muss führen: Ein Verzeichnis aller Verarbeitungstätigkeiten.
Muss enthalten:
- • Name und Kontakt des Verantwortlichen
- • Zweck der Verarbeitung
- • Kategorien personenbezogener Daten
- • Kategorien von Empfängern
- • Löschfristen
- • Beschreibung der technischen Maßnahmen (Art. 32)
Beispiel: Verarbeitungsverzeichnis
# Verarbeitungsverzeichnis (Art. 30 DSGVO)
## 1. Verantwortlicher
Name: Max Mustermann
Adresse: Musterstraße 1, 1010 Wien
Email: max@musterfirma.at
## 2. Verarbeitung: Kundendaten
### Zweck
- Bestellabwicklung
- Kundenkommunikation
- Buchhaltung
### Kategorien personenbezogener Daten
- Name, Adresse, Email
- Bestellhistorie
- Zahlungsdaten
### Kategorien von Empfängern
- Stripe (Zahlungsabwicklung)
- Buchhaltung (gesetzliche Pflicht)
### Löschfristen
- Bestelldaten: 7 Jahre (Buchhaltung)
- Marketing-Daten: nach Widerruf
### Technische Maßnahmen (Art. 32)
- TLS-Verschlüsselung
- Zugangskontrollen
- BackupsLokaler AI-Stack = DSGVO-Vorteil
Warum Self-Hosted die DSGVO erleichtert:
- ✅ Kein Drittlandtransfer — Daten verlassen nicht die EU
- ✅ Volle Kontrolle — Du bestimmst, wer Zugriff hat
- ✅ Kein Drittlandtransfer noetig — Daten bleiben in der EU (Art. 44 ff. DSGVO)
- ✅ Einfache Dokumentation — Alles auf deiner Hardware
- ✅ Schnelle Löschung — physische Kontrolle über Daten
So nutzen wir es bei AI Engineering
Wir nutzen einen komplett lokalen AI-Stack mit 0 Cloud-Abhaengigkeiten — alle Daten bleiben auf unseren eigenen Servern.
Checkliste: DSGVO-Bereitschaft
- ☐ Verarbeitungsverzeichnis (Art. 30) erstellt
- ☐ Datenschutzerklärung auf Website
- ☐ Impressum vollständig (ECG §5)
- ☐ AVV mit allen Dienstleistern (Stripe, Hosting, etc.)
- ☐ Löschkonzept dokumentiert
- ☐ Betroffenenrechte-Prozesse definiert
- ☐ Technische Maßnahmen (Art. 32) dokumentiert
- ☐ DPIA durchgeführt (falls AI-Systeme Hochrisiko)
Weiterführend
- • Art. 30 Template: Verarbeitungsverzeichnis (Downloads) →
- • DPIA für KI: Datenschutz-Folgenabschätzung →
- • EU AI Act: Leitfaden →
Quellen
- EUR-Lex: Verordnung (EU) 2016/679 — DSGVO Volltext
- Österreichische Datenschutzbehoerde (DSB) — Nationale Aufsichtsbehoerde
- European Data Protection Board (EDPB) — Leitlinien und Empfehlungen
- RIS: Datenschutzgesetz (DSG) — Österreichisches Datenschutzgesetz
- RTR KI-Servicestelle — Österreichische KI-Servicestelle, Projekte und Initiativen
- caralegal KI-Richtlinie Guide & Vorlage — Praktischer Guide für unternehmenseigene KI-Richtlinien
Weiterfuehrende Artikel: Datenschutz Praxis · DPIA fuer KI-Systeme · Verschluesselung
Fuer die Umsetzung gibt es Ressourcen auf ai-engineering.at.
War dieser Artikel hilfreich?
Nächster Schritt: Compliance in den Betrieb bringen
Nutze fertige DSGVO-Templates, Checklisten und Praxis-Guides für AI-Systeme, die dokumentiert und auditierbar sein müssen.
- Lokal und self-hosted gedacht
- Dokumentiert und auditierbar
- Aus eigener Runtime entwickelt
- Made in Austria