DSGVO-Compliance-Bausteine

DSGVO-Compliance-Bausteine

Der datenschutzrechtliche Teil einer KI-Nutzungsrichtlinie muss die Grundsätze der DSGVO kohärent auf den Einsatz von KI-Systemen in der Kanzlei übertragen. Da KI-Systeme regelmäßig personenbezogene Daten verarbeiten, kommt Art. 2 Abs. 1 DSGVO zur Anwendung, was umfangreiche Dokumentations- und Rechtfertigungspflichten auslöst.

Rechtlicher Hintergrund

Zentrale Normen: Art. 2 Abs. 1 DSGVO (Sachlicher Anwendungsbereich), Art. 5 DSGVO (Grundsätze der Verarbeitung: Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung), Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung, insbesondere Art. 6 Abs. 1 lit. a Einwilligung, lit. b Vertragsdurchführung, lit. f berechtigtes Interesse), Art. 9 DSGVO (besondere Kategorien sensibler Daten), Art. 15 DSGVO (Auskunftsrecht Betroffener), Art. 28 DSGVO (Auftragsverarbeitung), Art. 44 ff. DSGVO (Drittlandtransfer, Angemessenheitsbeschluss USA, Standardvertragsklauseln, Transfer Impact Assessment). Art. 82 DSGVO begründet die Schadensersatzhaftung.

Vorgehen

1. Anwendungsbereich prüfen: Werden personenbezogene Daten in KI-Systeme eingegeben? Wenn ja, gilt die DSGVO vollumfänglich.
2. Erlaubnistatbestand bestimmen: Welcher Erlaubnisgrund nach Art. 6 DSGVO greift für den konkreten Verarbeitungsvorgang?
3. Besondere Kategorien identifizieren: Bei Gesundheitsdaten, Strafverfahrensdaten, ethnischer Herkunft etc. ist Art. 9 DSGVO zu beachten (Ausnahme: Art. 9 Abs. 2 lit. f für Rechtsansprüche).
4. Auftragsverarbeitungsvertrag abschließen: Mit jedem KI-Dienstleister, der personenbezogene Daten verarbeitet, ist ein AVV nach Art. 28 DSGVO zu schließen.
5. Drittlandtransfer prüfen: Bei US-amerikanischen Anbietern: Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework), Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO oder Transfer Impact Assessment (TIA) nach Art. 46 DSGVO.
6. Datenminimierung und Anonymisierung: Vor dem Upload von Dokumenten maximale Anonymisierung durchführen; nur die für die KI-Aufgabe notwendigen Daten eingeben.

Vorlagentext / Bausteine

Baustein DSGVO-Grundsätze: Die Kanzlei stellt sicher, dass beim Einsatz von KI-Systemen die Grundsätze des Art. 5 DSGVO eingehalten werden: Personenbezogene Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben (Zweckbindung) und beschränkt auf das notwendige Minimum (Datenminimierung). Mitarbeitende sind angewiesen, keine personenbezogenen Daten in KI-Systeme einzugeben, die nicht für die jeweilige Aufgabe erforderlich sind.

Baustein Erlaubnistatbestand: Die Verarbeitung personenbezogener Daten durch KI-Systeme erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung mit dem Mandanten) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Kanzlei an effizienter Rechtsdienstleistung), soweit nicht im Einzelfall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich ist. Sensible Daten nach Art. 9 Abs. 1 DSGVO werden nur auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO verarbeitet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Baustein AVV: Mit jedem KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, ist vor Aufnahme der Verarbeitung ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Der AVV muss Regelungen zu Gegenstand, Dauer, Art und Zweck der Verarbeitung, Weisungsgebundenheit des Dienstleisters, technisch-organisatorischen Maßnahmen (TOMs), Unterauftragnehmerregelungen sowie zu Löschung und Rückgabe der Daten enthalten.

Baustein Drittlandtransfer: Beim Einsatz von KI-Anbietern mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) ist ein geeignetes Schutzniveau nach Art. 44 ff. DSGVO sicherzustellen. Bei US-amerikanischen Anbietern kommt der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Beschluss vom 10. Juli 2023) in Betracht, sofern der Anbieter nach diesem Framework zertifiziert ist. Alternativ sind EU-Standardvertragsklauseln (SCC) in Verbindung mit einem Transfer Impact Assessment (TIA) zu vereinbaren.

Hinweise zur Aktualisierung

Drittlandtransfer-Regelungen sind besonders anfällig für Änderungen (Schrems-Urteile, neue Kommissionsbeschlüsse). Der Baustein ist bei neuen EuGH-Entscheidungen oder Änderungen des EU-US-Rahmens sofort zu aktualisieren. Ebenso bei neuen Datenschutzbehörden-Entscheidungen zu konkreten KI-Anbietern.

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

• Art. 6 DSGVO — Rechtsgrundlagen der Verarbeitung
• Art. 9 DSGVO — Besondere Kategorien personenbezogener Daten
• Art. 28 DSGVO — Auftragsverarbeitung
• Art. 32 DSGVO — Technische und organisatorische Massnahmen
• Art. 35 DSGVO — Datenschutz-Folgenabschaetzung

Triage zu Beginn

1. Welche Datenkategorien werden verarbeitet — besondere Kategorien nach Art. 9 DSGVO?
2. Liegt eine Rechtsgrundlage nach Art. 6 DSGVO vor — oder ist Einwilligung erforderlich?
3. Ist ein AVV nach Art. 28 DSGVO mit dem KI-Anbieter abgeschlossen?
4. Sind die TOM nach Art. 32 DSGVO dem Risiko angemessen?
5. Loest der Anwendungsfall eine DSFA nach Art. 35 DSGVO aus?

Output-Template — DSGVO-Compliance-Checkliste KI

Adressat: DSB / Rechtsabteilung — Tonfall: checklisten-strukturiert

DSGVO-COMPLIANCE-CHECKLISTE KI-EINSATZ
[DATUM] — Anwendungsfall: [BESCHREIBUNG]

Art. 6 DSGVO — Rechtsgrundlage:
☑/☐ Rechtsgrundlage identifiziert: [lit. a-f]
☑/☐ Dokumentiert im VVT (Art. 30 DSGVO)

Art. 9 DSGVO — Besondere Kategorien:
☑/☐ Keine besonderen Kategorien / Besondere Kategorien: Ausnahme nach Art. 9 Abs. 2: [lit.]

Art. 28 DSGVO — AVV:
☑/☐ AVV abgeschlossen
☑/☐ Unterauftragsverarbeiter-Liste vorliegend

Art. 32 DSGVO — TOM:
☑/☐ Verschluesselung (at rest und in transit)
☑/☐ Zugangskontrolle
☑/☐ Protokollierung

Art. 35 DSGVO — DSFA:
☑/☐ DSFA nicht erforderlich (Begruendung: [BEGRUENDUNG])
☑/☐ DSFA durchgefuehrt am [DATUM]

Gesamtbewertung: [KONFORM / LUECKEN — MASSNAHMEN ERFORDERLICH]
Geprueft von: [NAME DSB], [DATUM]