← Back to Blog // DSGVO

DSGVO und KI-Agenten: Der umfassende Leitfaden zur Compliance

Januar 2026 · 11 Min. Lesedauer

Warum DSGVO-Konformität für KI-Agenten nicht verhandelbar ist

Jeder konversationsbasierte KI-Agent verarbeitet personenbezogene Daten. In dem Moment, in dem ein Kunde seinen Namen schreibt, nach einer Bestellung fragt, ein gesundheitliches Problem schildert oder eine Telefonnummer für einen Rückruf hinterlässt, greift die DSGVO. Es gibt keine Ausnahmen für "einfache Chatbots" – die Verordnung regelt die Verarbeitung personenbezogener Daten unabhängig von der eingesetzten Technologie.

Dennoch behandeln die meisten KI-Agenten-Plattformen die DSGVO als reine Formsache: ein Link zur Datenschutzerklärung im Footer und eine vage Behauptung von "DSGVO-Konformität" auf der Marketingseite. Dieser Leitfaden schlüsselt auf, was die DSGVO tatsächlich erfordert, wenn ein KI-Agent eingesetzt wird, und wie Sinaptic® DROID+ jede Anforderung architektonisch und nicht nur kosmetisch angeht.

Artikel 13: Die Transparenzpflicht

Artikel 13 der DSGVO schreibt vor, dass bei der Erhebung personenbezogener Daten direkt bei der betroffenen Person bestimmte Informationen zum Zeitpunkt der Erhebung bereitgestellt werden müssen. Für KI-Agenten bedeutet dies:

  • Der Nutzer muss darüber informiert werden, dass er mit einem KI-System (nicht mit einem Menschen) interagiert.
  • Die Identität des Verantwortlichen und der Auftragsverarbeiter muss offengelegt werden.
  • Die Zwecke der Datenverarbeitung müssen klar benannt werden.
  • Die Speicherdauer der Daten muss mitgeteilt werden.
  • Die Rechte des Nutzers (Auskunft, Berichtigung, Löschung, Portabilität) müssen zugänglich sein.

Sinaptic® DROID+ Agenten enthalten konfigurierbare Informationsnachrichten zu Beginn des Gesprächs. Die Plattform ermöglicht es, Transparenzhinweise für jeden Kunden individuell anzupassen und auf die kundeneigene Datenschutzerklärung sowie die Daten des Verantwortlichen zu verlinken. Dies ist kein generischer Footer, sondern ein strukturierter, auditierbarer Informationsmechanismus.

Artikel 22: Automatisierte Entscheidungsfindung und HITL

Artikel 22 gibt betroffenen Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies ist der am häufigsten missverstandene Artikel im Kontext von KI-Agenten.

Wann überschreitet ein KI-Agent die Schwelle von Art. 22? Betrachten wir diese Szenarien:

  • Produktempfehlung: In der Regel risikoarm; keine rechtliche Wirkung. Der Nutzer kann den Vorschlag ignorieren.
  • Terminbuchung: Mittleres Risiko – der Agent teilt eine knappe Ressource (ein Zeitfenster) zu. Eine Ablehnung ohne menschliche Überprüfung könnte einer "erheblichen Beeinträchtigung" nahekommen.
  • Erstellung von Versicherungsangeboten: Hohes Risiko – Preisentscheidungen auf Basis automatisierter Profilbildung fallen klar unter Art. 22.
  • Medizinische Triage-Priorisierung: Hohes Risiko – automatisierte Entscheidungen, die den Zugang zur Gesundheitsversorgung beeinflussen, erfordern explizite HITL-Sicherungen.

Sinaptic® DROID+ adressiert dies mit konfigurierbaren Human-in-the-Loop (HITL) Schwellenwerten. Für jedes Szenario definiert die einsetzende Organisation, welche Aktionen des Agenten autonom erfolgen dürfen und welche die Genehmigung eines menschlichen Operators erfordern. Die Operator Takeover-Funktion der Plattform ermöglicht es, jedes Live-Gespräch von einem Menschen mit vollem Kontext zu übernehmen, was gleichzeitig die Anforderungen von Art. 22 DSGVO und Art. 14 des EU AI Act erfüllt.

Artikel 25: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Artikel 25 (Privacy by Design) verlangt, dass der Datenschutz bereits in der Entwurfsphase in die Verarbeitungstätigkeiten integriert wird, statt erst nach dem Start hinzugefügt zu werden. Für KI-Agenten-Plattformen bedeutet dies konkrete architektonische Entscheidungen:

  • Datenminimierung: Der Agent darf nur Daten erheben, die für den erklärten Zweck notwendig sind. Sinaptic® DROID+ Agenten werden mit expliziten Datenerhebungsbereichen pro Szenario konfiguriert.
  • Zweckbindung: Während einer Produktanfrage erhobene Daten dürfen nicht ohne gesonderte Einwilligung für Marketingzwecke weiterverwendet werden. Sinaptic® DROID+ erzwingt Zweckbindung auf Konversationsflussebene.
  • Speicherbegrenzung: Konversationsprotokolle haben konfigurierbare Aufbewahrungsfristen mit automatischer Löschung. Standardmäßig wird die Speicherung auf das Minimum reduziert; eine längere Aufbewahrung erfordert eine dokumentierte Rechtfertigung.
  • Pseudonymisierung: Wenn Analysen der Konversationen benötigt werden, ermöglicht Sinaptic® DROID+ den Export pseudonymisierter Daten, die identifizierende Informationen entfernen, aber den analytischen Wert erhalten.

Die Sinaptic Intent Firewall der Plattform fügt eine entscheidende Ebene hinzu: Data Loss Prevention (DLP). Die Firewall überwacht Gespräche aktiv auf sensible Datenmuster – Kreditkartennummern, Sozialversicherungsnummern, Gesundheitsdaten – und kann diese basierend auf den konfigurierten Richtlinien schwärzen, blockieren oder eskalieren. Dies ist Privacy by Design in Echtzeit, nicht nur in einem Richtliniendokument.

Datenresidenz: Der Ort, an dem Ihre Daten leben, ist wichtig

Die DSGVO verbietet Datentransfers außerhalb der EU nicht explizit, stellt aber nach Kapitel V strenge Bedingungen. Die praktische Realität seit dem Schrems II-Urteil (2020) ist, dass der Transfer personenbezogener Daten in die USA ein erhebliches rechtliches Risiko darstellt: Der EuGH erklärte das Privacy-Shield-Framework für ungültig und stellte hohe Anforderungen an Standardvertragsklauseln (SCCs).

Das 2023 verabschiedete EU-U.S. Data Privacy Framework (DPF) bietet eine neue Rechtsgrundlage, aber seine langfristige Stabilität ist ungewiss. Rechtsexperten und Datenschützer erwarten eine Anfechtung ("Schrems III").

Hier wird die Hosting-Architektur zum Compliance-Differenzierer. Die meisten KI-Agenten-Plattformen sind US-Unternehmen, die auf US-Cloud-Infrastrukturen laufen. Selbst wenn sie "EU-Hosting" anbieten, unterliegt die Muttergesellschaft weiterhin dem US-Recht, einschließlich des CLOUD Act, der der US-Regierung den Zugriff auf Daten von US-Unternehmen erlaubt, unabhängig davon, wo sich die Server befinden.

Sinaptic® DROID+ bietet echte Datenresidenz in der EU ohne Exposition gegenüber einer US-Muttergesellschaft. Deployen Sie auf Ihrer eigenen EU-Infrastruktur oder nutzen Sie das Sinaptic® DROID+ Hosted SaaS mit bestätigter EU-Datenresidenz. Kein CLOUD Act-Risiko. Keine Unklarheiten durch Schrems II.

Rechtsgrundlage der Verarbeitung

Jede Datenverarbeitung benötigt eine Rechtsgrundlage nach Artikel 6. Für KI-Agenten sind die relevantesten Grundlagen:

  • Einwilligung (Art. 6(1)(a)): Geeignet für optionale Funktionen wie Personalisierung oder Marketing-Tracking. Muss freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich erfolgen.
  • Erfüllung eines Vertrags (Art. 6(1)(b)): Die stärkste Basis für transaktionale KI-Agenten: Die Bearbeitung einer Bestellung, Buchung eines Termins oder Bearbeitung einer Serviceanfrage ist für die Erfüllung eines Vertrags erforderlich.
  • Berechtigtes Interesse (Art. 6(1)(f)): Kann auf Analysen und Serviceverbesserungen angewendet werden, erfordert jedoch eine dokumentierte Interessenabwägung (LIA) und muss gegen die Rechte der betroffenen Person abgewogen werden.

Sinaptic® DROID+ ermöglicht es, die Rechtsgrundlage für jede Datenverarbeitungstätigkeit zu konfigurieren, mit dokumentierten Mappings, die ab dem ersten Tag für Audits bereitstehen.

Betroffenenrechte: Verpflichtungen operativ umsetzen

Die DSGVO gewährt betroffenen Personen eine Reihe von Rechten, die operativ unterstützt werden müssen, nicht nur in einer Datenschutzerklärung anerkannt werden dürfen:

  • Recht auf Auskunft (Art. 15): Fähigkeit, alle personenbezogenen Daten zu einem Betroffenen zu exportieren. Das Sinaptic® DROID+ Admin-Panel unterstützt Auskunftsersuchen mit strukturiertem Datenexport.
  • Recht auf Löschung (Art. 17): Konversationsprotokolle, Nutzerprofile und abgeleitete Daten müssen auf Anfrage gelöscht werden können. Sinaptic® DROID+ ermöglicht granulare Löschung mit Bestätigung im Audit-Trail.
  • Recht auf Datenübertragbarkeit (Art. 20): Personenbezogene Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format exportiert werden können. Sinaptic® DROID+ exportiert im Standard-JSON-Format.
  • Widerspruchsrecht (Art. 21): Betroffene können der Verarbeitung auf Basis berechtigter Interessen widersprechen. Der Agent muss die Verarbeitung bei Widerspruch einstellen, sofern keine zwingenden schutzwürdigen Gründe überwiegen.

Checkliste für die DSGVO-Konformität von KI-Agenten-Deployments

Bevor Sie einen konversationsbasierten KI-Agenten in der EU einsetzen oder Daten von EU-Bürgern verarbeiten, prüfen Sie Folgendes:

  • KI-Informationen werden zu Beginn des Gesprächs bereitgestellt (Art. 13 DSGVO + Art. 52 EU AI Act).
  • Die Rechtsgrundlage ist für jede Datenverarbeitungstätigkeit dokumentiert (Art. 6).
  • HITL-Schwellenwerte für Entscheidungen mit erheblicher Wirkung sind definiert (Art. 22).
  • Datenminimierung wird angewendet: Der Agent erhebt nur das Nötigste (Art. 25).
  • Aufbewahrungsfristen sind mit automatischer Löschung konfiguriert (Art. 5(1)(e)).
  • DLP-Kontrollen verhindern die versehentliche Erhebung sensibler Datenkategorien (Art. 9).
  • Datenresidenz ist bestätigt: Idealerweise in der EU gehostet und ohne Exposition gegenüber dem US CLOUD Act.
  • Betroffenenrechte werden operativ unterstützt: Auskunft, Löschung, Portabilität, Widerspruch.
  • Eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisiko-Verarbeitungen wurde durchgeführt (Art. 35).
  • Auftragsverarbeitungsverträge (AVV) nach Art. 28 bestehen mit allen Unterauftragsverarbeitern, einschließlich LLM-Providern.

Fazit

DSGVO-Konformität für KI-Agenten ist kein bloßes Häkchensetzen: Es geht um architektonische Entscheidungen, die getroffen werden, bevor das erste Gespräch stattfindet. Datenresidenz, HITL-Design, DLP-Durchsetzung und Transparenzmechanismen müssen in die Plattform integriert sein, nicht nur darübergelegt.

Sinaptic® DROID+ wurde von einem PECB-zertifizierten DSGVO-Datenschutzbeauftragten mit diesen Anforderungen als Grundpfeiler entworfen. Das Ergebnis ist eine Plattform, bei der Compliance eine Deployment-Konfiguration ist, kein rechtliches Sanierungsprojekt.