Zum Inhalt springen
tokynstudio
journal
16. Mai 2026 · consulting

dsgvo + ai 2026

Welche Pflichten 2026 wirklich gelten: Rechtsgrundlagen, AVV, DPF-Status der US-Anbieter, Transparenz, Lösch-Workflows.

von tokyn studio · 4 min lesezeit

DSGVO + AI 2026 — Consulting

TL;DR. Beim Einsatz von KI unter der DSGVO brauchen Unternehmen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten, einen AVV mit dem LLM-Anbieter und (bei US-Anbietern) abgesicherten Drittlandtransfer. Aktuell läuft der EU-U.S. Data Privacy Framework für die meisten relevanten US-LLMs. Stand: 2026-05.

was bedeutet „dsgvo bei ai" konkret?

Die DSGVO greift, sobald personen­bezogene Daten verarbeitet werden — Namen, E-Mail-Adressen, IPs, aber auch indirekt identifizierbare Informationen. KI-Systeme verarbeiten in der Regel solche Daten: ein Mitarbeiter formuliert eine E-Mail im Copilot über einen Kunden, ein Voice Agent telefoniert mit einer namentlich bekannten Person, ein RAG-System indiziert Kunden­akten. Die DSGVO-Anforderungen bleiben dabei voll wirksam — der EU AI Act ergänzt sie, ersetzt sie nicht.

verarbeitungsgrundlagen für ai-use-cases

Jede Verarbeitung braucht eine Rechtsgrundlage (Art. 6 DSGVO). Für AI-Use-Cases im KMU sind typischerweise drei einschlägig:

Art. 6 (1) (b) — Vertrags­erfüllung. Wenn ein Voice Agent Anrufe entgegennimmt, um vertraglich geschuldeten Service zu erbringen, ist die Verarbeitung der Anrufdaten zur Vertrags­erfüllung gedeckt. Voraussetzung: die KI-Nutzung ist erforderlich (oder zumindest „erforderlichkeits-nah"), nicht nur bequem.

Art. 6 (1) (f) — Berechtigtes Interesse. Für interne AI-Tools (Company-GPT für Recherche, Klassifizierung von Eingangs­post) ist das berechtigte Interesse oft die saubere Grundlage. Pflicht: dokumentierte Interessen­abwägung, in der das Unternehmens­interesse gegen die Interessen der Betroffenen abgewogen wird.

Art. 6 (1) (a) — Einwilligung. Wenn ihr Endkunden gegenüber AI einsetzt, deren Daten nicht für die Vertrags­erfüllung nötig sind (z.B. Sentiment-Analyse von Mails, KI-Personalisierung von Marketing), braucht ihr Einwilligung. Die muss freiwillig, informiert und jederzeit widerrufbar sein.

avv nach art. 28 — was vom llm-anbieter kommt

Sobald ihr einen externen LLM-Anbieter (OpenAI, Anthropic, Microsoft, Google, Langdock) einsetzt, sind sie Auftrags­verarbeiter. Pflicht: ein Auftrags­verarbeitungs­vertrag, der mindestens regelt:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Datenkategorien und betroffene Personen
  • Pflichten und Rechte des Verantwortlichen
  • Vertraulichkeits- und technische/organisatorische Maßnahmen
  • Unterauftrags­verarbeiter (Subprozessoren — z.B. der Cloud-Anbieter unter dem LLM)
  • Unterstützung des Verantwortlichen bei Auskunfts-, Lösch-, Datenschutz-Folgenabschätzungs-Anfragen
  • Rückgabe oder Löschung der Daten am Vertragsende

Was 2026 Standard ist: jeder seriöse Enterprise-Tier-LLM-Anbieter stellt einen AVV bereit. Bei kostenlosen oder Consumer-Tarifen (z.B. ChatGPT Plus, Anthropic Plus) ist das nicht der Fall — daher keine geschäftliche Verarbeitung personen­bezogener Daten auf diesen Plänen.

drittland-transfer: dpf, sccs, oder eu-only

Die meisten LLM-Anbieter sind US-Unternehmen. Ein Transfer personen­bezogener Daten in die USA braucht eine Rechtsgrundlage nach Kapitel V DSGVO.

EU-U.S. Data Privacy Framework (DPF). Seit 10. Juli 2023 in Kraft. Adäquanz­beschluss der EU-Kommission. Aktuell zertifiziert: Microsoft, OpenAI, Anthropic, Google, AWS, viele weitere — Stand jederzeit prüfbar unter `dataprivacyframework.gov/list`. Für DPF-zertifizierte Anbieter ist die Übermittlung erlaubt.

EU-Standardvertrags­klauseln (SCCs). Falls ein Anbieter nicht (mehr) DPF-zertifiziert ist, oder zur Absicherung redundant: SCCs nach Art. 46 (2) (c) DSGVO. Liegen in den Enterprise-AVVs der meisten Anbieter beigelegt.

Risiko: politische Instabilität des DPF. Der DPF kann durch eine Klage (wie Schrems II beim Privacy Shield) jederzeit fallen. Wer das Risiko vermeiden will, wählt EU-only Anbieter (Mistral, Aleph Alpha, Langdock) oder self-hosted Open-Source-Modelle (Llama, Mixtral, OLMo).

transparenzpflichten gegenüber mitarbeitenden und kunden

Zwei Adressaten:

Mitarbeitende. Wenn ein AI-System im Arbeitskontext eingesetzt wird, fallen Informations­pflichten nach Art. 13/14 DSGVO an — plus arbeits­rechtliche Mitbestimmung über den Betriebsrat (falls vorhanden, § 87 BetrVG). Pflicht: schriftlich erklären, welches AI-System eingesetzt wird, welche Daten es verarbeitet, mit welchem Zweck.

Kunden / Endnutzer. Wer mit AI gegenüber Endnutzern in Berührung kommt (Voice Agent, Chatbot), informiert sie über die KI-Interaktion. Das ist sowohl DSGVO-Pflicht (Art. 13) als auch EU-AI-Act-Pflicht (Art. 50 — siehe unser [EU-AI-Act-Leitfaden](/blog/eu-ai-act-leitfaden)).

pragmatische schritte für kmu

1. Verzeichnis der Verarbeitungs­tätigkeiten (Art. 30) aktualisieren. Jeder AI-Use-Case rein, mit Rechtsgrundlage, Auftrags­verarbeiter, Datenkategorien. 2. AVV-Inventar. Mit jedem LLM-Anbieter, jedem Embedding-Anbieter, jedem KI-Tool-Anbieter einen AVV abschließen — vor Produktiv­einsatz. 3. Transparenz­bausteine. Vorgefertigte Hinweise für Voice Agents (Begrüßung), Chatbots (Erst-Banner), interne Tools (Onboarding-Material). 4. Lösch-Pipeline. Wer RAG einsetzt, braucht einen technischen Workflow, um Daten auf Lösch­anforderung aus dem Index zu entfernen (siehe auch unser [RAG-Erklärungs-Beitrag](/blog/rag-erklaert)). 5. Datenschutz-Folgenabschätzung (Art. 35). Pflicht bei „voraussichtlich hohem Risiko" — bei Hochrisiko-AI-Systemen (Bewerber-Scoring, automatisierte Entscheidungen) oder Verarbeitungen besonderer Datenkategorien (Gesundheits-, Bewerber-, Mitarbeiterdaten in größerem Umfang). 6. Konzept-Doku. Im DSGVO-Sinne empfohlen, im AI-Act-Sinne teilweise Pflicht. Wer beides parallel macht, halbiert den Doku-Aufwand.

was wir bei tokyn dazu tun

Wir packen DSGVO-AI-Setup als integralen Bestandteil unserer [Beratungs-](/consulting) und [Company-GPT-Projekte](/company-gpt). Konkret:

  • Verarbeitungs­verzeichnis-Updates pro AI-Use-Case
  • AVV-Templates mit den eingesetzten LLM-Anbietern
  • Transparenz­hinweise (DE + EN, für Voice und Text)
  • Lösch-Workflows für RAG-Indizes
  • Wenn nötig: DSFA-Begleitung

Wer wissen will, wie es bei euch konkret aussieht: ein 30-minütiges [Erstgespräch](/kontakt) ist kostenlos und ohne Pitch-Deck.

quellen

  • [Datenschutz-Grundverordnung (DSGVO, konsolidiert)](https://eur-lex.europa.eu/eli/reg/2016/679/oj/deu)
  • [Bundesbeauftragter für den Datenschutz: AI-Leitlinien](https://www.bfdi.bund.de/DE/Home/home_node.html)
  • [EU-U.S. Data Privacy Framework — Anbieterliste](https://www.dataprivacyframework.gov/list)
  • [tokyn-Glossar: DSGVO + AI](/glossar#dsgvo-ai), [EU AI Act](/glossar#eu-ai-act)

verwandter service

Consulting

alle beiträge
nächster schritt

dein fall, konkret — reden wir.

30 Minuten, kein Pitch-Deck. Wir schauen uns deinen Use Case an und sagen ehrlich, ob und wie es sich lohnt.

Kostenloses Erstgespräch buchen
DSGVO + AI 2026 · tokyn studio