Die DSGVO-Herausforderung
Der Einsatz von KI-Systemen wie ChatGPT wirft datenschutzrechtliche Fragen auf: Wohin fließen die Daten? Werden sie für Training verwendet? Besonders bei personenbezogenen Daten ist Vorsicht geboten.
Die gute Nachricht: Mit der richtigen Architektur lassen sich KI-Agenten DSGVO-konform betreiben.
Achtung: Die direkte Nutzung von OpenAI (api.openai.com) überträgt Daten in die USA. Für personenbezogene Daten ist das ohne zusätzliche Maßnahmen problematisch.
OpenAI direkt vs. Azure OpenAI
| Kriterium | OpenAI direkt | Azure OpenAI |
|---|---|---|
| Datenverarbeitung | USA | EU möglich |
| Training mit Ihren Daten | Opt-out nötig | Nein, nie |
| AVV (DPA) | US-Standard | EU-konform |
| Zertifizierungen | SOC 2 | ISO 27001, C5 |
| Enterprise SLA | Nein | 99,9% |
Warum Azure OpenAI?
- EU-Rechenzentren: Sweden Central, West Europe, Germany West Central
- Kein Training: Ihre Daten werden nie für Modelltraining verwendet
- Compliance: ISO 27001, SOC 2 Type II, BSI C5
- AVV: Standard-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
Technische Maßnahmen
1. Datenminimierung
- Nur notwendige Daten an das LLM senden
- Personenbezogene Daten pseudonymisieren
- Nur relevante Dokumentausschnitte verwenden
2. Verschlüsselung
- In Transit: TLS 1.2+ (Standard bei Azure)
- At Rest: AES-256
- Optional: Customer Managed Keys
3. Zugriffskontrolle
- API-Keys rotieren und in Key Vault speichern
- Managed Identities statt statischer Credentials
- Rollenbasierte Zugriffskontrolle (RBAC)
Auftragsverarbeitung (AVV)
Microsoft agiert als Auftragsverarbeiter. Der AVV ist im Microsoft DPA enthalten.
AVV-Checkliste
- Microsoft DPA unterschrieben
- Standardvertragsklauseln (SCCs) vorhanden
- TOMs dokumentiert
- Sub-Auftragsverarbeiter-Liste eingeholt
- Löschkonzept definiert
Dokumentationspflichten
Verarbeitungsverzeichnis (Art. 30)
- Zweck: z.B. "Automatisierte Kundenanfragen-Beantwortung"
- Betroffene: Kunden, Interessenten
- Datenkategorien: Name, E-Mail, Anfrage-Inhalt
- Empfänger: Microsoft Ireland Operations Ltd.
- Drittlandtransfer: Nein (EU-Hosting)
Datenschutz-Folgenabschätzung
Eine DSFA kann erforderlich sein bei automatisierten Entscheidungen mit rechtlicher Wirkung oder besonderen Datenkategorien.
Praxis-Tipp: Für Standard-Chatbots ist eine DSFA meist nicht erforderlich, wenn Sie Azure OpenAI mit EU-Hosting nutzen.
DSGVO-konformer Stack
| Komponente | Empfehlung | Hosting |
|---|---|---|
| LLM | Azure OpenAI | EU |
| STT/TTS | Azure Speech | EU |
| Orchestrierung | n8n Self-Hosted | Eigene Infra |
| Telefonie | sipgate | Deutschland |
Fazit
DSGVO-konforme KI-Agenten sind kein Widerspruch. Der Schlüssel:
- EU-Hosting (Azure OpenAI)
- Saubere Dokumentation (AVV, Verarbeitungsverzeichnis)
- Technische Maßnahmen (Datenminimierung, Verschlüsselung)
- Transparenz gegenüber Betroffenen