Forgeron3
Anmelden Demo
/ Sicherheit4. Aug 20258 Min. Lesezeit

DSGVO und KI-Assistenten: Die Schlüssel zur Konformität

Auftragsverarbeitung Art. 28, DSFA, Rechte der Betroffenen, Aufbewahrungsfristen: die operative Checkliste, um Ihren KI-Assistenten DSGVO-konform aufzustellen — ohne 5.000 € für einen Anwalt zu zahlen.

F3
Das Forgeron3-TeamMarseille & Paris

1. Rollen klären: Wer ist wofür verantwortlich

Erster Reflex: feststellen, wer was tut.

  • Sie sind Verantwortlicher der Verarbeitung (Sie entscheiden, welche Dokumente eingelesen werden, zu welchem Zweck, für wen).
  • Der Anbieter des Assistenten ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO (er verarbeitet personenbezogene Daten in Ihrem Auftrag).
  • Der Hoster des Anbieters ist Unterauftragsverarbeiter (Auftragsverarbeiter zweiter Ebene).

Diese Qualifizierung löst alles Weitere aus — Verträge, Garantien, Audit, Verzeichnis.

2. Der AVV (Auftragsverarbeitungsvertrag) nach Art. 28

Vor der ersten Einspeisung einen AVV gemäß Art. 28 DSGVO unterzeichnen. Sechs nicht verhandelbare Klauseln:

  1. Gegenstand, Dauer, Art und Zweck der Verarbeitung.
  2. Arten der Daten und Kategorien betroffener Personen.
  3. Pflichten des Auftragsverarbeiters (dokumentierte Weisung, Vertraulichkeit, Sicherheit, Audit).
  4. Genehmigung und Liste der Unterauftragsverarbeiter.
  5. Modalitäten des Vertragsendes (Rückgabe oder Vernichtung der Daten).
  6. Audit-Modalitäten (Ihr Recht, den Auftragsverarbeiter zu auditieren).

Wenn Ihr Anbieter dieses Dokument nicht von sich aus liefert, ist das ein schlechtes Zeichen. Unser AVV ist auf unserer Sicherheits-Seite verfügbar.

3. Die DSFA: wann sie verpflichtend ist, wie sie durchgeführt wird

Die Datenschutz-Folgenabschätzung (DSFA) ist verpflichtend, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten birgt. Für einen KI-Assistenten gilt sie als verpflichtend, sobald:

  • Sie sensible Daten verarbeiten (Gesundheit, Justiz, Meinungen).
  • Sie Daten von Kindern oder schutzbedürftigen Personen verarbeiten.
  • Die Verarbeitung umfangreich und systematisch personenbezogene Daten umfasst.

Für die übrigen Fälle (Produkt-FAQ, interne Dokumentensuche ohne sensible personenbezogene Daten) ist die DSFA nicht verpflichtend, bleibt aber empfohlen.

Eine grundlegende DSFA wird in zwei Wochen mit Ihrem DSB oder einer Partnerkanzlei durchgeführt. Rechnen Sie je nach Komplexität mit 2.000 bis 5.000 €.

Häufiger Irrtum”Die DSFA machen wir später, wenn das Projekt weiter ist.” Nein. Die DSFA wird vor dem Start der Verarbeitung durchgeführt. Sonst stellen Sie im September fest, dass das Projekt so nicht weitergeführt werden kann.

4. Rechte der Betroffenen: Was Ihr Assistent leisten muss

Eine Person, deren Daten eingespeist wurden, muss fünf Rechte ausüben können:

  1. Auskunft: zu erfahren, welche Daten über sie gespeichert sind.
  2. Berichtigung: eine unrichtige Angabe korrigieren zu lassen.
  3. Löschung: ihre Daten löschen zu lassen.
  4. Einschränkung: die Verarbeitung ihrer Daten einfrieren zu lassen.
  5. Datenübertragbarkeit: ihre Daten in einem nutzbaren Format zu erhalten.

Prüfen Sie, dass Ihr Anbieter über ein dokumentiertes Verfahren verfügt, um diese Anfragen in unter einem Monat zu bearbeiten. Andernfalls verstoßen Sie gegen die Vorschriften.

5. Aufbewahrungsfristen

Legen Sie die Aufbewahrungsdauer für jede Datenart fest und dokumentieren Sie sie:

  • Eingespeiste Dokumente (Dauer des Auftrags oder legitime Nutzung, typischerweise zwischen 1 und 10 Jahren).
  • Nutzerkonversationen (typischerweise 6 bis 12 Monate).
  • Audit-Protokolle (typischerweise 12 Monate bis 3 Jahre, je nach Kritikalität).

Darüber hinaus automatische Löschung. Das ist eine Einstellung auf Anbieterseite, die explizit zu prüfen ist.

6. Drittlandtransfers: möglichst vermeiden, sonst absichern

Die DSGVO erlaubt Drittlandtransfers nur mit spezifischen Garantien (Standardvertragsklauseln, Angemessenheitsbeschluss, BCR). Besser: gar kein Transfer. Das ist der Sinn der souveränen KI: Hosting in Frankreich, unter französischer Gerichtsbarkeit, von einem französischen Betreiber.

7. Das Verarbeitungsverzeichnis: Was es enthalten muss

Nehmen Sie den KI-Assistenten in Ihr Verarbeitungsverzeichnis (Art. 30 DSGVO) auf, mit:

  • Zweck der Verarbeitung.
  • Kategorien betroffener Personen und Daten.
  • Empfängern (intern, Auftragsverarbeiter).
  • Aufbewahrungsfrist.
  • Sicherheitsmaßnahmen.
  • Eventuellen Transfers.

Ein internes Dokument, das aber bei einer Kontrolle durch die CNIL angefordert wird — rechnen Sie mit zwei Stunden, um ein sauberes Datenblatt zu verfassen.

Zu den Forgeron3-Verpflichtungen zu diesen sieben Punkten siehe unsere Seite Sicherheit & DSGVO.

Zum AVV

Zwanzig Minuten, um den AVV Punkt für Punkt durchzugehen und die für Ihren Kontext (Steuerkanzlei, Kommune, industrielles KMU) notwendigen Anpassungen zu identifizieren.

Demo buchen

Weiter lesen.

/ Souveränität9 Min.

Warum 2026 eine souveräne KI wählen

Sieben konkrete Kriterien, um Marketing von Substanz beim Thema Souveränität zu unterscheiden.

Lesen →
/ Sicherheit7 Min.

Die wesentlichen Fragen an Ihren KI-Anbieter

Fünfzehn präzise Fragen mit den Antworten, die Sie 2026 einfordern sollten.

Lesen →
/ Methode7 Min.

Einen KI-Assistenten in Ihre IT-Infrastruktur integrieren

SSO, ACL, Protokolle, Backups: Was die IT-Leitung vor der Einspeisung regeln muss.

Lesen →