DSGVO-KI-Compliance mit Audact

Wie Audact DSGVO handhabt

DSGVO Article 22: Automatisierte Entscheidungsfindung und KI

Article 22 gibt jeder betroffenen Person das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung — einschließlich Profiling — basiert, die rechtliche oder ähnlich erhebliche Auswirkungen auf sie hat. Für KI-Deployer ist dies die folgenreichste Bestimmung in der DSGVO: ein KI-System, das einen Kredit ablehnt, einen Jobbewerber zurückweist, eine Betrugsblockierung auslöst oder eine Disziplinaranhörung ohne sinnvolle menschliche Überprüfung terminiert, fällt direkt unter Article 22.

Rechtmäßige Wege bestehen: ausdrückliche Einwilligung, Notwendigkeit für einen Vertrag oder Autorisierung nach EU-/Mitgliedstaatenrecht mit angemessenen Garantien. In allen Fällen muss der Verantwortliche aussagekräftige Informationen über die involvierte Logik, die Bedeutung der Verarbeitung bereitstellen und der betroffenen Person das Recht geben, menschliches Eingreifen zu erlangen, einen Standpunkt zu äußern und die Entscheidung anzufechten. Der Europäische Gerichtshof bestätigte in SCHUFA (C-634/21, 2023), dass von Dritten zur Entscheidungsfindung verwendetes Wahrscheinlichkeits-Scoring selbst 'automatisierte Entscheidungsfindung' ist — was Article 22 für KI-Anbieter ausweitet.

Wie KI-Systeme DSGVO-Datenschutzpflichten auslösen

Training, Fine-Tuning und Inferenz auf personenbezogenen Daten sind nach Article 4(2) jeweils separate Verarbeitungstätigkeiten und erfordern jeweils eine eigene Rechtsgrundlage nach Article 6. Voice Agents, Chatbots und agentische Workflows verarbeiten routinemäßig Namen, Telefonnummern, Stimmbiometrie und Inhalte, die Gesundheit, Überzeugungen oder Sexualität offenbaren — was die Verarbeitung zu besonderen Kategorien von Daten nach Article 9 eskalieren kann, die eine stärkere Grundlage wie ausdrückliche Einwilligung oder wesentliches öffentliches Interesse erfordern.

Eine Datenschutz-Folgenabschätzung (Article 35) ist für die meisten kundenseitigen KI-Deployments praktisch obligatorisch: sie verbinden systematische Überwachung, neue Technologie und häufig schutzbedürftige betroffene Personen. Verantwortliche müssen auch die Transparenzpflichten der Articles 13–14 am Punkt der Datenerhebung erfüllen — eine Pflicht, die KI-Voice-Agents häufig nicht erfüllen, da die Disclosure zu spät im Gespräch erfolgt.

Grenzüberschreitende Datentransfers nach DSGVO für KI-Anbieter

Kapitel V der DSGVO schränkt Transfers personenbezogener Daten außerhalb des EWR ein. Nach Schrems II müssen Verantwortliche eine Transfer-Folgenabschätzung durchführen, wenn sie Standardvertragsklauseln verwenden, und das EU-US Data Privacy Framework bietet derzeit die einzige Angemessenheitsbrücke in die Vereinigten Staaten. Viele beliebte KI-Anbieter (OpenAI, Anthropic, Google) verarbeiten EU-Daten auf US-basierter Infrastruktur unter DPF oder SCCs, was die Due-Diligence-Last auf den Kunden überträgt.

Audact löst dies, indem es ausschließlich innerhalb der EU operiert: Inferenz-Traffic, Metadaten, Schlüssel und Backups verbleiben in AWS Frankfurt und Amsterdam. Kein Kapitel-V-Transfer findet statt, was den TIA-Aufwand eliminiert und die Abhängigkeit von der politischen Stabilität des DPF beseitigt.

Datenverarbeitungsrollen

Audact agiert als Auftragsverarbeiter. Der Kunde bleibt jederzeit der Verantwortliche. Audact verarbeitet Daten ausschließlich im Auftrag und nach Anweisung des Verantwortlichen.

Auftragsverarbeitungsvertrag

Unser Standard-AVV ist verfügbar unter /legal/dpa. Enterprise-Kunden können einen individuellen AVV anfordern.

Häufig gestellte Fragen

EU-AI-Compliance-Gesetze vergleichen

Verwandte Compliance-Ressourcen

• EU AI Act Article 50 Compliance Übersicht
• Digital Services Act Compliance für KI
• Audact Compliance-Plattform Preise