Datenschutz bei KI-Agenten bedeutet, dass jede Verarbeitung personenbezogener Daten durch ein KI-System die Datenschutz-Grundverordnung (DSGVO) einhält. Sobald ein KI-Agent Namen, E-Mail-Adressen, Kundenhistorien oder ähnliche Daten von natürlichen Personen verarbeitet, gelten dieselben Regeln wie für jede andere Datenverarbeitung: Es braucht eine Rechtsgrundlage, klare Zwecke, Transparenz gegenüber den Betroffenen und angemessene technische wie organisatorische Schutzmaßnahmen. Die zentrale Verantwortung liegt beim Unternehmen, das den Agenten einsetzt – nicht beim Anbieter des Sprachmodells.
Ein KI-Agent ist ein System, das eigenständig plant, entscheidet und handelt. In der Praxis kommt er dabei fast immer mit personenbezogenen Daten in Berührung – etwa wenn er Leads qualifiziert, Anfragen beantwortet oder Termine koordiniert. Genau das macht den Datenschutz zu einer Kernfrage und nicht zu einer Formalität am Rande.
Wer ist verantwortlich?
Datenschutzrechtlich ist Ihr Unternehmen in der Regel der Verantwortliche im Sinne der DSGVO. Das heißt: Sie legen fest, welche Daten der KI-Agent zu welchem Zweck verarbeitet, und Sie tragen die Pflicht, das rechtskonform zu tun. Der Anbieter des Sprachmodells oder der Plattform ist meist Auftragsverarbeiter – er verarbeitet Daten in Ihrem Auftrag.
Diese Rollenverteilung hat praktische Folgen: Eine Zusicherung des Anbieters ersetzt nicht Ihre eigene Prüfung. Auch wenn ein Dienstleister mit Zertifikaten oder einem Vertrag wirbt, bleibt die Verantwortung dafür, was der Agent im Betrieb konkret mit den Daten tut, bei Ihnen.
Rechtsgrundlage und Zweck
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für den Betrieb eines KI-Agenten kommen typischerweise infrage:
- Vertragserfüllung, wenn der Agent zur Abwicklung eines Vertrags mit der betroffenen Person nötig ist.
- Berechtigtes Interesse, das gegen die Interessen der Betroffenen abgewogen werden muss.
- Einwilligung, wenn keine andere Grundlage greift – dann freiwillig, informiert und widerrufbar.
Werden besondere Kategorien von Daten verarbeitet (z. B. Gesundheits- oder Bewerberdaten), gelten die strengeren Voraussetzungen des Art. 9 DSGVO. Wichtig ist zudem der Grundsatz der Zweckbindung: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres für andere Zwecke im Agenten weiterverwendet werden.
Auftragsverarbeitungsvertrag und Hosting
Wenn ein externer Anbieter Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Das gilt auch für die Anbieter der zugrunde liegenden Sprachmodelle. Der AVV regelt unter anderem, was mit den Daten geschieht, ob sie zum Training verwendet werden dürfen und wie lange sie gespeichert werden.
Zwei Punkte sind hier in der Praxis entscheidend:
- Speicherort: Werden Daten außerhalb der EU verarbeitet, brauchen Sie zusätzliche Garantien für den Datentransfer. Ein Hosting innerhalb Deutschlands oder der EU reduziert diese Komplexität.
- Kein Modelltraining mit Ihren Daten: Klären Sie vertraglich, dass Ihre Eingaben nicht zur Weiterentwicklung der Modelle des Anbieters genutzt werden.
Bei scoreprise.AI ist die Verarbeitung DSGVO-konform ausgelegt: Hosting in Deutschland, kein Training mit Kundendaten. Das ist kein Selbstzweck, sondern erleichtert die genannten Prüfungen erheblich.
Datenschutz-Folgenabschätzung
Verarbeitet ein KI-Agent personenbezogene Daten mit hohem Risiko für die Rechte der Betroffenen, ist in vielen Fällen eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich. Sie beschreibt die geplante Verarbeitung, bewertet die Risiken und legt Schutzmaßnahmen fest. Ein hohes Risiko kann etwa bei umfangreicher Profilbildung oder automatisierten Entscheidungen mit erheblichen Folgen vorliegen.
Praktisch bedeutet das: Bevor Sie einen Agenten mit sensiblen oder umfangreichen personenbezogenen Daten produktiv schalten, sollten Sie prüfen, ob eine DSFA nötig ist – und diese gegebenenfalls dokumentieren.
Automatisierte Entscheidungen und Kontrolle
Die DSGVO setzt Grenzen für rein automatisierte Entscheidungen, die für Betroffene erhebliche Wirkung haben (Art. 22 DSGVO). Wo solche Entscheidungen im Raum stehen, ist menschliche Kontrolle ein sinnvolles und oft notwendiges Prinzip. Das Konzept dahinter beschreiben wir unter Human-in-the-Loop: Ein Mensch prüft oder bestätigt kritische Schritte, statt dem System die letzte Entscheidung allein zu überlassen.
Ergänzend gilt: Ein KI-Agent, der auf einer geprüften, unternehmenseigenen Wissensbasis arbeitet – etwa über Retrieval-Augmented Generation –, lässt sich besser eingrenzen als ein Modell, das frei aus seinem Training antwortet. Sie behalten die Kontrolle darüber, welche Daten überhaupt in die Verarbeitung einfließen.
Praktische Maßnahmen im Überblick
Zusammengefasst helfen folgende Schritte, KI-Agenten datenschutzkonform zu betreiben:
- Datenminimierung: Nur die Daten verarbeiten, die für den Zweck wirklich nötig sind.
- Verzeichnis von Verarbeitungstätigkeiten führen und aktuell halten (Art. 30 DSGVO).
- Transparenz: Betroffene informieren, wenn ein KI-System ihre Daten verarbeitet.
- Betroffenenrechte sicherstellen: Auskunft, Berichtigung, Löschung müssen umsetzbar sein.
- Zugriffs- und Löschkonzepte definieren, damit Daten nicht länger als nötig gespeichert werden.
- AV-Verträge mit allen beteiligten Anbietern abschließen und prüfen.
Neben der DSGVO rückt zunehmend auch die KI-Verordnung der EU (KI-VO) in den Blick, die zusätzliche Anforderungen je nach Risikoklasse eines Systems stellt. Beide Regelwerke greifen ineinander: Wer beim Datenschutz sauber arbeitet, hat einen guten Teil der Grundlage bereits gelegt.
Datenschutz bei KI-Agenten ist damit weniger eine Hürde als eine Frage sauberer Vorbereitung. Wer Rechtsgrundlage, Verträge, Speicherort und menschliche Kontrolle von Anfang an klärt, kann AI-Mitarbeiter verantwortungsvoll einsetzen – ohne rechtliche Überraschungen im Betrieb.
Verwandte Einträge
Fine-Tuning vs. RAG: Wann was?
Fine-Tuning verändert das Verhalten eines Sprachmodells durch zusätzliches Training, RAG ergänzt es zur Laufzeit um externes Wissen. Wann welche Methode passt – und wann beide zusammen.
Weiterlesen →Orchestrierung von KI-Agenten – wie funktioniert das?
Orchestrierung von KI-Agenten ist die Koordinationsschicht, die mehrere spezialisierte Agenten zu einer geordneten Aufgabenerledigung zusammenführt. Dieser Artikel erklärt Funktionsweise, gängige Muster und Praxisfragen.
Weiterlesen →Nächster Schritt
30 Minuten.
Ein echtes Gespräch.
Erzählen Sie uns, wo bei Ihnen die Zeit verloren geht. Wir sagen Ihnen, welcher AI-Mitarbeiter diese Aufgabe übernehmen würde und ob es für Sie überhaupt Sinn ergibt. Kein Pitch, keine Folien.