Kostenlose Checkliste · PDF & Web

DSGVO-konform KI einsetzen — ohne Abmahnrisiko.

Die 12 Punkte, die Datenschützer prüfen, bevor KI in deinem Unternehmen produktiv geht. Von der Rechtsgrundlage über den AVV bis zum Löschkonzept — als Checkliste zum Abhaken.

  • Welche Rechtsgrundlage dein KI-Einsatz wirklich braucht (Art. 6)
  • Der AVV-Punkt, an dem 80 % scheitern — und wie du ihn wasserdicht machst
  • EU-Hosting vs. US-Cloud: wann SCC/DPF nötig sind und wie du es ganz umgehst
  • Human-in-the-Loop als Schutz vor Art.-22-Problemen
  • Löschkonzept, TOMs und VVT — fertig zum Abhaken

12-Punkte-Checkliste · sofort per Mail

Checkliste kostenlos sichern

Für Geschäftsführer, Datenschutzbeauftragte und Agentur-Inhaber, die KI einführen wollen — rechtssicher statt auf gut Glück.

Kein Spam. Double-Opt-In · jederzeit abbestellbar · EU-gehostet.

12

Prüf-Punkte zum Abhaken

Art. 6–35

DSGVO-Pflichten abgedeckt

0 €

kostenlos, sofort per Mail

Das steckt drin

Die 12 Punkte, die Datenschützer prüfen

Auf der Checkliste findest du zu jedem Punkt die konkrete Umsetzung. Hier die Übersicht:

  1. 1

    Rechtsgrundlage festlegen

    Vor jedem KI-Einsatz Art. 6 DSGVO bestimmen — Vertrag, berechtigtes Interesse oder Einwilligung. Ohne Rechtsgrundlage keine Verarbeitung.

  2. 2

    Auftragsverarbeitungsvertrag (AVV)

    Mit jedem KI-Anbieter, der personenbezogene Daten verarbeitet, einen AVV nach Art. 28 DSGVO schließen — inkl. Sub-Auftragsverarbeiter-Liste.

  3. 3

    EU-Hosting & Drittlandtransfer prüfen

    Wo laufen Inferenz und Speicherung? US-Clouds brauchen SCC/DPF. EU-Only (z. B. Hetzner Frankfurt, Mistral Paris) vermeidet das Problem ganz.

  4. 4

    Zero-Data-Retention sicherstellen

    Vertraglich ausschließen, dass Prompts/Inhalte zum Training genutzt oder über die Anfrage hinaus gespeichert werden.

  5. 5

    Datenminimierung

    Nur die Daten an die KI geben, die für die Aufgabe nötig sind. Beispiel Kalender: nur Belegt-Zeiten (Free/Busy) statt Titel/Teilnehmer.

  6. 6

    Human-in-the-Loop verankern

    Keine ausgehende Aktion (Mail, Ticket, CRM) ohne menschliche Freigabe. Schützt vor Art.-22-Problemen (automatisierte Einzelentscheidung).

  7. 7

    Transparenz & Informationspflichten

    Datenschutzerklärung um KI-Verarbeitung, Zwecke und Empfänger ergänzen (Art. 13/14).

  8. 8

    Betroffenenrechte umsetzen

    Auskunft, Löschung, Widerspruch müssen auch für KI-verarbeitete Daten funktionieren — Prozess definieren.

  9. 9

    Löschkonzept & Speicherfristen

    Für jede Datenkategorie eine Frist festlegen und technisch durchsetzen (z. B. Logs 7 Tage, Anfragen 24 Monate).

  10. 10

    TOMs dokumentieren

    Technische & organisatorische Maßnahmen: TLS 1.3, Verschlüsselung at rest (AES-256), RBAC, Audit-Log.

  11. 11

    Verzeichnis der Verarbeitungstätigkeiten (VVT)

    KI-gestützte Verarbeitung im VVT nach Art. 30 ergänzen.

  12. 12

    DSFA bei hohem Risiko

    Bei umfangreicher/sensibler Verarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 durchführen.

KI sicher nutzen

Was du automatisieren solltest — und was nicht

Nicht alles, was geht, sollte ohne Aufsicht laufen. Diese Einteilung trennt sicheres Automatisieren von echtem Risiko.

Voll automatisieren

Intern, reversibel, kein Risiko nach außen.

  • Eingang triagieren & kategorisieren
  • Antwort-Entwürfe vorbereiten
  • Infos & Status zusammensuchen (Tracking, Konditionen)
  • Termine als Vorschlag berechnen
  • Zusammenfassungen erstellen

Nur mit Freigabe

Wirkt nach außen — Mensch muss bestätigen.

  • Kundenmails senden
  • Angebote & Preise rausgeben
  • Rechnungen freigeben
  • Tickets/CRM-Einträge anlegen
  • Verbindliche Zusagen machen

Nie allein entscheiden lassen

Rechtlich/menschlich sensibel (Art. 22 DSGVO).

  • Kündigungen & Mahn-Eskalationen
  • Vertrags- & Rechtsentscheidungen
  • Bonität / Ablehnungen
  • Umgang mit sensiblen Daten
  • Alles mit rechtlicher Wirkung

Automatisierung: ja. Aber der finale Entscheid bleibt beim Menschen.

Genau dafür gibt es Human-in-the-Loop: KI bereitet alles vor, ein Mensch gibt das frei, was nach außen geht. Maximale Effizienz, ohne die Kontrolle — und ohne Art.-22-Risiko — abzugeben.

So sieht ein Human-in-the-Loop-System aus Live-Demo öffnen

Y.olo ist nach diesen Regeln gebaut

Nicht nachgerüstet — von Grund auf. EU-Only, Zero-Data-Retention, menschliche Freigabe.

EU-gehostet

Hetzner Frankfurt · Mistral Paris

Zero-Data-Retention

kein Training mit deinen Daten

Human-in-the-Loop

Mensch gibt jede Aktion frei

AVV inklusive

Art. 28 DSGVO

Y.olo live ansehen

Häufige Fragen zu DSGVO & KI

Ist der Einsatz von KI DSGVO-konform?

Ja — sofern Rechtsgrundlage, Auftragsverarbeitungsvertrag (AVV), Drittlandtransfer, Datenminimierung und Betroffenenrechte sauber geregelt sind. Genau diese Punkte deckt die Checkliste ab. Am einfachsten wird es mit EU-Only-Hosting und einem Human-in-the-Loop-Ansatz.

Brauche ich für ein KI-Tool einen AVV?

Wenn der KI-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet, ja — ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO inklusive Liste der Sub-Auftragsverarbeiter ist Pflicht.

Dürfen KI-Daten in die USA?

Nur mit gültiger Transfergrundlage (EU-Standardvertragsklauseln und/oder EU-US Data Privacy Framework). Einfacher und robuster ist eine EU-Only-Verarbeitung — dann findet gar kein Drittlandtransfer statt.

Was bedeutet Human-in-the-Loop für die DSGVO?

Art. 22 DSGVO schränkt automatisierte Einzelentscheidungen ein. Wenn ein Mensch jede ausgehende Aktion freigibt, vermeidest du dieses Risiko — und sicherst gleichzeitig die Qualität.

Hol dir die Checkliste

12 Punkte zum Abhaken — sofort per Mail, kostenlos. Damit KI in deinem Unternehmen rechtssicher produktiv geht.

Kein Spam. Double-Opt-In · jederzeit abbestellbar · EU-gehostet.