DSGVO-Compliance mit zitierbaren Quellen — für deutsche Datenschutz- und Compliance-Teams.
DSGVO, KI-Verordnung und ISO 42001 im selben Workflow, den Ihr Team bereits nutzt. Ansvar AI liefert Antworten mit Artikel-genauen Zitaten aus öffentlichen regulatorischen Quellen — damit Entscheidungen begründet werden, nicht geraten.
Drei Regelwerke, ein gemeinsamer Workflow
DSGVO, KI-Verordnung und sektorale Regelwerke greifen ineinander — nicht parallel. DSGVO-Compliance heißt heute, sie als zusammenhängende Arbeit zu behandeln, nicht als drei separate Projekte.
Für deutsche Unternehmen stellt sich selten die Frage, ob personenbezogene Daten verarbeitet werden — sondern wie nachweisbar regelkonform. DSGVO, KI-Verordnung, NIS2 und sektorale Anforderungen treffen häufig auf denselben Anwendungsfall. Ein KI-gestütztes Recruiting-Tool ist gleichzeitig Hochrisiko nach KI-VO, DSFA-pflichtig nach Art. 35 DSGVO und arbeitsrechtlich relevant.
Der gemeinsame Nenner ist Dokumentation: eine Bewertung, die einer Aufsichtsprüfung standhält und nachvollziehbar auf den tatsächlichen Gesetzestext verweist — nicht auf Zusammenfassungen. Genau hier entstehen die meisten Lücken zwischen Anspruch und Praxis.
Die zentralen Pflichten — strukturiert nach Artikel
Datenschutz-Compliance lässt sich auf einige wenige Kernpflichten reduzieren. Was im Einzelfall darunter hängt, ergibt sich aus dem Anwendungsfall.
Rechtsgrundlage und Zweckbindung (Art. 5, 6)
Jede Verarbeitung braucht eine Rechtsgrundlage aus Art. 6 (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse oder berechtigtes Interesse). Die Zwecke müssen festgelegt, eindeutig und legitim sein — eine Erweiterung des Zwecks im Nachhinein ist ohne erneute Rechtsgrundlage nicht zulässig.
Informationspflichten (Art. 13, 14)
Betroffene Personen müssen zum Zeitpunkt der Erhebung (Art. 13) oder spätestens innerhalb eines Monats (Art. 14) über Identität des Verantwortlichen, Zwecke, Rechtsgrundlage, Empfänger, Speicherdauer und ihre Rechte informiert werden. Datenschutzerklärungen erfüllen diese Pflicht nur, wenn sie konkret und transparent sind.
Verzeichnis der Verarbeitungstätigkeiten (Art. 30)
Verantwortliche und Auftragsverarbeiter führen Verzeichnisse aller Verarbeitungstätigkeiten in schriftlicher oder elektronischer Form. Pflichtangaben sind im Artikel selbst geregelt — von Verarbeitungszwecken über Empfängerkategorien bis zu geplanten Löschfristen und Drittlandsübermittlungen.
Technische und organisatorische Maßnahmen (Art. 32)
Verantwortliche und Auftragsverarbeiter setzen geeignete TOM um — unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art und Zweck der Verarbeitung sowie der Risiken für die Betroffenen. Pseudonymisierung, Verschlüsselung, Verfügbarkeit und Belastbarkeit der Systeme sowie regelmäßige Überprüfung der Wirksamkeit sind ausdrücklich genannt.
Meldepflichten bei Datenpannen (Art. 33, 34)
Verletzungen des Schutzes personenbezogener Daten sind binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden (Art. 33), bei hohem Risiko zusätzlich an die betroffenen Personen (Art. 34). Die 72-Stunden-Frist beginnt mit dem Zeitpunkt, an dem der Verantwortliche von der Verletzung Kenntnis erlangt.
AVV und Datenschutz-Folgenabschätzung — zwei separate Pflichten
Auftragsverarbeitungsvertrag und DSFA sind unterschiedliche Instrumente mit unterschiedlichen Auslösern. Sie ersetzen einander nicht.
Der AVV nach Art. 28 regelt das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter — etwa zwischen einem Unternehmen und seinem Cloud-Anbieter. Pflichtinhalte sind unter anderem Gegenstand und Dauer der Verarbeitung, Weisungsbindung, Vertraulichkeitsverpflichtung, TOM, Unterauftragsverarbeitung, Unterstützung bei Betroffenenrechten und Meldepflichten sowie Audit-Rechte. Ohne AVV ist die Beauftragung selbst rechtswidrig.
Die DSFA nach Art. 35 betrifft den eigenen Verarbeitungsprozess des Verantwortlichen, wenn dieser voraussichtlich ein hohes Risiko für die Rechte und Freiheiten Betroffener mit sich bringt. Sie ist eine Risikobewertung — keine Genehmigung. Ergibt sich nach der DSFA ein hohes Restrisiko, ist die Aufsichtsbehörde nach Art. 36 zu konsultieren, bevor die Verarbeitung beginnt.
Für KI-gestützte Verarbeitungen kommt eine Grundrechte-Folgenabschätzung nach Art. 27 KI-VO hinzu — insbesondere bei bestimmten Hochrisiko-Systemen im öffentlichen Sektor oder bei Anbietern öffentlicher Dienste. Die beiden Bewertungen haben unterschiedliche Schwerpunkte und müssen separat dokumentiert werden.
Zitierte Antworten in Ihrem bestehenden KI-Client
Sie brauchen kein neues Produkt zu erlernen. Ansvar AI verbindet Claude, Cursor, Copilot Studio und andere MCP-kompatible Clients mit öffentlichen regulatorischen Quellen.
Jede Antwort wird mit Artikel-genauen Zitaten geliefert. Wenn eine Datenschutzbeauftragte fragt "Welche Pflichten habe ich als Verantwortlicher bei einer Datenpanne nach Art. 33?", verweist die Antwort direkt auf den Artikeltext — nicht auf eine Schätzung des Modells. Die Quellen sind öffentlich und überprüfbar.
Die Plattform ist in der EU gehostet (Hetzner). Modell-Traffic läuft über BYOK — der Kunde besitzt die Beziehung zum Modellanbieter. Wir trainieren keine Modelle mit Kundendaten. Hintergrund zum tatsächlichen Betrieb steht auf der AI Governance-Seite.
Heute deckt Ansvar AI 30 auditierte Jurisdiktionen, EU-Verordnungen, Sicherheitsrahmenwerke und sektorale Regelwerke ab. Die Abdeckung wird nur erweitert, wenn Quell-Lizenzierung, Aktualisierungszyklus und Zitatqualität validiert sind.
Fragen, die wir von deutschen Datenschutz-, Compliance- und Sicherheitsteams erhalten
Wenn Ihre Frage nicht dabei ist — schreiben Sie uns. Wir beantworten jede E-Mail.
Was ist DSGVO-Compliance?
DSGVO-Compliance bezeichnet den nachweisbaren Zustand, in dem ein Unternehmen die Anforderungen der Datenschutz-Grundverordnung erfüllt — von Rechtsgrundlage über Betroffenenrechte bis zu technischen und organisatorischen Maßnahmen sowie Meldepflichten. Compliance ist kein Zertifikat, sondern dokumentierte Praxis, die einer Aufsichtsprüfung standhält.
Welche Pflichten gelten für mein Unternehmen?
Das hängt von Rolle (Verantwortlicher oder Auftragsverarbeiter) und Verarbeitungstätigkeit ab. Kernpflichten sind: Rechtsgrundlage je Verarbeitung (Art. 6), Informationspflichten (Art. 13/14), Verzeichnis der Verarbeitungstätigkeiten (Art. 30), technische und organisatorische Maßnahmen (Art. 32), Meldepflichten bei Datenpannen (Art. 33/34) und gegebenenfalls Datenschutz-Folgenabschätzung (Art. 35).
Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Artikel 35 DSGVO verlangt eine DSFA bei voraussichtlich hohem Risiko für die Rechte und Freiheiten betroffener Personen — typischerweise bei systematischer und umfassender Bewertung persönlicher Aspekte (Profiling), Verarbeitung sensibler Datenkategorien in großem Umfang oder systematischer Überwachung öffentlich zugänglicher Bereiche. Die Aufsichtsbehörden veröffentlichen Listen, in welchen Konstellationen sie eine DSFA für zwingend halten.
Was muss ein AVV nach Artikel 28 enthalten?
Ein Auftragsverarbeitungsvertrag muss Gegenstand und Dauer, Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Datenkategorien benennen. Hinzu kommen die Pflichten des Auftragsverarbeiters aus Artikel 28(3) — von der Weisungsbindung über Vertraulichkeitsverpflichtungen und TOM bis hin zur Unterstützung bei Betroffenenrechten, Meldepflichten und Audits durch den Verantwortlichen.
Wie hängt die KI-Verordnung mit der DSGVO zusammen?
Die KI-Verordnung ergänzt die DSGVO, ersetzt sie nicht. Wenn ein KI-System personenbezogene Daten verarbeitet, gelten beide Regelwerke parallel. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO kann erforderlich sein, ebenso eine Grundrechte-Folgenabschätzung nach Art. 27 KI-VO bei bestimmten Hochrisiko-Systemen — insbesondere wenn öffentliche Stellen oder Anbieter öffentlicher Dienste sie einsetzen.
Welche Aufsichtsbehörden sind in Deutschland zuständig?
Die Zuständigkeit folgt dem föderalen Aufbau. Für Unternehmen sind in der Regel die Landesdatenschutzbeauftragten (LDIs) Ansprechpartner — entscheidend ist der Sitz des Unternehmens. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist für Bundesbehörden, Telekommunikations- und Postdienstleister sowie für bestimmte internationale Sachverhalte zuständig.
Wie unterscheidet sich Ansvar AI von einem normalen KI-Chatbot?
Ansvar AI ist ein Gateway, das Ihre bestehenden KI-Clients (Claude, Cursor, Copilot Studio und andere MCP-kompatible Clients) über das Model Context Protocol an öffentliche regulatorische Quellen anbindet. Jede Antwort wird mit Artikel-genauen Zitaten geliefert, die überprüfbar sind. Das Modell formuliert den Text — die Quellen stammen jedoch aus auditierten, offenen Anbindungen, nicht aus den Trainingsdaten des Modells.
Möchten Sie sehen, wie das in der Praxis funktioniert?
Buchen Sie eine Demo, in der wir Ansvar AI an einem Ihrer eigenen Szenarien zeigen — eine DSFA, eine KI-VO-Bewertung, eine Gap-Analyse. Wir gehen die Zitat-Pipeline, die Herkunft der Quellen und die Verteidigbarkeit der Antworten gegenüber einer Aufsichtsbehörde durch.