Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
AI Engineering·● Pillar article

KI-Features und DSGVO: Rechtmässige Verarbeitung, wenn ein LLM personenbezogene Daten berührt

Die Compliance-Schicht unter jedem KI-Feature. Rechtsgrundlage, automatisierte Entscheidungen nach Artikel 22, Subprozessor-Offenlegung und personenbezogene Daten aus dem Training heraushalten.

Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO
·5 min read
In this article
  1. Worauf es ankommt
  2. Die Engineering-Realität
  3. Die konkreten Anforderungen
  4. Umsetzung in der Praxis
  5. Häufige Fehler
  6. Der DACH-Kontext
  7. Nächste Schritte

In dem Moment, in dem ein LLM personenbezogene Daten eines Nutzers verarbeitet, greift das volle Gewicht der DSGVO — und der EU AI Act sitzt obendrauf. Sie brauchen eine Rechtsgrundlage für die Verarbeitung, einen Subprozessor-Eintrag für den Modellanbieter, eine vertragliche Zusicherung, dass Prompts nicht fürs Training verwendet werden, und, wo das Feature Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung trifft, eine Analyse nach Artikel 22. Nichts davon ist optional, und alles davon ist unkompliziert, wenn es von Anfang an mitgedacht wird.

Dieser Leitfaden behandelt das Thema DSGVO-Compliance für KI-Features über sieben Abschnitte: Kontext, die Engineering-Realität, die konkreten Anforderungen, Umsetzung, häufige Fehler, den DACH-Kontext und nächste Schritte.

Wir schreiben aus der Praxis. Innopulse Consulting berät DACH-Unternehmen und betreibt ein eigenes SaaS-Portfolio unter denselben Bedingungen, die wir empfehlen — die hier beschriebenen Muster sind solche, auf die sich unsere eigenen Produkte verlassen.

Worauf es ankommt

In dem Moment, in dem ein LLM personenbezogene Daten eines Nutzers verarbeitet, greift das volle Gewicht der DSGVO — und der EU AI Act sitzt obendrauf. Sie brauchen eine Rechtsgrundlage für die Verarbeitung, einen Subprozessor-Eintrag für den Modellanbieter, eine vertragliche Zusicherung, dass Prompts nicht fürs Training verwendet werden, und, wo das Feature Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung trifft, eine Analyse nach Artikel 22. Nichts davon ist optional, und alles davon ist unkompliziert, wenn es von Anfang an mitgedacht wird.

  • Für jede KI-Verarbeitung eine Rechtsgrundlage etablieren\n- Modellanbieter sind Subprozessoren — listen, AVV unterzeichnen\n- Ihre Prompts vertraglich vom Anbietertraining ausschliessen\n- Artikel 22: automatisierte Entscheidungen brauchen Garantien oder Einwilligung

Die Engineering-Realität

Das Bauen mit LLMs liegt an der Schnittstelle von Software-Engineering und einer probabilistischen Komponente, die sich anders verhält als alles andere im Stack. Das Modell ist nicht-deterministisch, sein Verhalten ändert sich, wenn der Anbieter ein Update ausliefert, und seine Kosten skalieren mit der Nutzung, statt sich zu amortisieren. Nichts davon ist ein Grund, es zu meiden — es ist ein Grund, mehr Engineering-Disziplin anzuwenden, nicht weniger. Die Muster, die funktionieren, behandeln das Modell als nicht vertrauenswürdige, gemessene, versionierte Abhängigkeit: hinter einer Schnittstelle abstrahiert, in der Produktion beobachtet, bei jeder Änderung evaluiert und von allem abgeschottet, was es nicht erreichen können sollte. Teams, die diese Disziplin überspringen, liefern beeindruckende Demos, die in der Produktion still degradieren.

Die konkreten Anforderungen

Im Zentrum des Themas DSGVO-Compliance für KI-Features stehen die folgenden Punkte. Jeder hat direkte Konsequenzen für Architektur, Prozess oder Kosten:

  • Für jede KI-Verarbeitung eine Rechtsgrundlage etablieren\n- Modellanbieter sind Subprozessoren — listen, AVV unterzeichnen\n- Ihre Prompts vertraglich vom Anbietertraining ausschliessen\n- Artikel 22: automatisierte Entscheidungen brauchen Garantien oder Einwilligung

Umsetzung in der Praxis

Der Weg von der Theorie zur Praxis folgt einem klaren Pfad. Für das Thema DSGVO-Compliance für KI-Features funktioniert ein dreiphasiger Ansatz:

  1. Assessment (1–2 Wochen): den Ist-Zustand kartieren, Stakeholder identifizieren, die grössten Lücken oder Risiken ehrlich benennen.\n2. Design (2–4 Wochen): den Zielzustand definieren, Verantwortlichkeiten zuweisen, die technischen und organisatorischen Massnahmen spezifizieren.\n3. Umsetzung und Betrieb (laufend): bauen, messen, anpassen. Die meisten Initiativen scheitern nicht am Start, sondern am Fehlen von Phase drei.

Häufige Fehler

Dieselben Fehler wiederholen sich in der Praxis:

  • das Thema DSGVO-Compliance für KI-Features als einmaliges Projekt statt als fortlaufende Disziplin zu behandeln\n- Werkzeuge zu wählen, bevor man den Prozess verstanden hat\n- den DACH-Kontext zu ignorieren und US-Vorlagen unverändert zu kopieren\n- Dokumentation aufzuschieben, bis sie unter Druck produziert werden muss\n- Erfolg an Aktivität statt an Ergebnissen zu messen

Der DACH-Kontext

Die Schweiz, Deutschland und Österreich unterscheiden sich in Recht und Marktrealität. Die Schweiz steht oft ausserhalb der EU-Regime, ist aber praktisch über Marktzugang und Datenflüsse gebunden; Deutschland setzt am striktesten um; Österreich folgt den EU-Standards eng. Ein Unternehmen, das in allen dreien tätig ist, baut auf den striktesten gemeinsamen Nenner und passt regionale Details bewusst an, statt zufällig.

Nächste Schritte

Der pragmatische Einstieg in das Thema DSGVO-Compliance für KI-Features ist eine ehrliche Bestandsaufnahme: Wo stehen wir, wo wollen wir hin, und was sind die drei wirkungsvollsten nächsten Schritte? Innopulse Consulting arbeitet mit DACH-Unternehmen genau an diesen Fragen — von der Analyse über das Design bis zur Umsetzung. Erreichen Sie uns unter info@innopulse.io. Die ersten dreissig Minuten sind kostenlos.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO · Innopulse Consulting

Gründer und leitender Ingenieur von Innopulse Consulting. MSc Innovation Management (FFHS). Autor von „Identity Over Discipline".

Topics
ki dsgvollm datenschutzartikel 22auftragsverarbeitung ki
Keep reading

Related insights.

AI Engineering

KI-Features und DSGVO: Rechtmässige Verarbeitung, wenn ein LLM personenbezogene Daten berührt

Die Compliance-Schicht unter jedem KI-Feature. Rechtsgrundlage, automatisierte Entscheidungen nach Artikel 22, Subprozessor-Offenlegung und personenbezogene Daten aus dem Training heraushalten.

Leutrim·5 min
Datenschutz & DSGVO

Privacy-by-Design für SaaS-Produkte: Sieben Prinzipien in der Praxis

Artikel 25 DSGVO verlangt Privacy-by-Design. Konkrete Engineering-Entscheidungen für Multi-Tenant-SaaS: Datenminimierung, Encryption, Retention, Access-Controls.

Leutrim·5 min
EU AI Act

EU AI Act Artikel 10: Data Governance für Trainings-, Validierungs-, Testdaten

Artikel 10 verlangt Governance für Trainings-, Validierungs- und Testdaten. Bias-Mitigation, statistische Eigenschaften, Datenherkunft — was konkret dokumentiert werden muss.

Leutrim·5 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch