Dokumentation und Vertraege
Erfahre, welche Dokumentation du fuer den KI-Einsatz brauchst — vom Verarbeitungsverzeichnis ueber den AVV bis zur KI-Bestandsaufnahme.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In der letzten Lektion hast du die Praxis-Szenarien kennengelernt: Anonymisierung, Schatten-KI und konkrete Do’s und Don’ts. Jetzt geht es um die Dokumentation — dein Nachweis, dass du alles richtig machst.
Dokumentation ist nicht sexy. Aber sie ist das, was dich bei einer Pruefung durch die Aufsichtsbehoerde schuetzt. Ohne Dokumentation ist jede Compliance-Massnahme wertlos — denn du kannst sie nicht nachweisen.
Die vier Saeulen der KI-Dokumentation
| Dokument | Rechtsgrundlage | Was steht drin | Pflicht? |
|---|---|---|---|
| Verarbeitungsverzeichnis | Art. 30 DSGVO | Alle Verarbeitungstaetigkeiten inkl. KI | Ja (fast immer) |
| AVV mit KI-Anbieter | Art. 28 DSGVO | Pflichten des Auftragsverarbeiters | Ja, bei personenbez. Daten |
| DSFA | Art. 35 DSGVO | Risikobewertung bei hohem Risiko | Wenn hohes Risiko |
| KI-Inventar | EU AI Act | Bestandsaufnahme aller KI-Systeme | Ab Aug. 2026 (Hochrisiko) |
✅ Quick Check: Ist dein KI-Einsatz im Verarbeitungsverzeichnis eingetragen? Wenn nicht, ist das die dringendste Aufgabe.
Verarbeitungsverzeichnis: KI-Eintrag
So traegst du den KI-Einsatz im Verarbeitungsverzeichnis ein:
| Feld | Beispiel |
|---|---|
| Verarbeitungstaetigkeit | KI-gestuetzte Texterstellung und Analyse |
| Verantwortlicher | [Dein Unternehmen] |
| Zweck | Effizienzsteigerung bei Textproduktion, Zusammenfassungen, Uebersetzungen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Betroffene Personen | Kunden, Mitarbeiter (soweit personenbezogene Daten eingegeben werden) |
| Datenkategorien | Geschaeftskorrespondenz, anonymisierte Kundenanfragen |
| Empfaenger | OpenAI (ChatGPT Enterprise), Microsoft (Copilot for M365) |
| Drittlandtransfer | EU Data Boundary (Microsoft), EU-Verarbeitung (OpenAI Enterprise) |
| Loeschfrist | Sofort nach Sitzungsende (keine Speicherung durch Anbieter) |
| TOM | Verschluesselung, Zugriffsrechte, Anonymisierungspflicht, Nutzungsrichtlinie |
AVV-Checkliste: KI-spezifische Klauseln
Der Standard-AVV nach Art. 28 DSGVO reicht fuer KI nicht aus. Diese zusaetzlichen Klauseln muessen rein:
Muss enthalten sein:
- Kein Training mit Kundendaten — Explizite Garantie, dass Eingaben nicht fuer Modelltraining, -verbesserung oder -bewertung verwendet werden
- Datenloeschung nach Sitzungsende — Wann werden die Eingaben geloescht? Sofort, nach 30 Tagen, nach Vertragsende?
- Server-Standort — Wo werden die Daten verarbeitet? EU-Rechenzentren oder auch USA?
- Subunternehmer-Transparenz — Welche Cloud-Provider, Hosting-Dienste oder Dritte sind beteiligt?
- Audit-Recht — Dein Recht, die Einhaltung der Vereinbarungen zu ueberpruefen
- Datenpannen-Meldung — Frist fuer die Benachrichtigung (Art. 33: 72 Stunden an die Behoerde)
Pruefe bei bestehendem AVV:
- Wann wurde er zuletzt aktualisiert?
- Deckt er KI-Dienste explizit ab?
- Sind die KI-spezifischen Klauseln enthalten?
KI-Inventar: Alle Systeme im Ueberblick
Ein zentrales KI-Inventar erfasst alle eingesetzten KI-Systeme. Ab August 2026 wird es fuer Hochrisiko-KI zur Pflicht — aber auch jetzt ist es Best Practice.
| KI-Tool | Anbieter | Zweck | Risikoklasse | AVV | DSFA |
|---|---|---|---|---|---|
| ChatGPT Enterprise | OpenAI | Texterstellung | Minimal | ✅ Abgeschlossen | Nicht erforderlich |
| Copilot for M365 | Microsoft | Zusammenfassungen, E-Mails | Minimal | ✅ DPA aktiv | Empfohlen |
| Personio KI-Screening | Personio | Bewerbervorauswahl | Hoch | ✅ Abgeschlossen | Pflicht |
| Eigenes RAG-System | Intern | Wissensdatenbank | Minimal | Nicht noetig (intern) | Empfohlen |
Erstelle ein KI-Inventar fuer mein Unternehmen:
EINGESETZTE KI-TOOLS:
1. [Tool-Name, Anbieter, Zweck, welche Daten]
2. [Tool-Name, Anbieter, Zweck, welche Daten]
3. [Tool-Name, Anbieter, Zweck, welche Daten]
FUER JEDES TOOL PRUEFEN:
- Risikoklasse nach EU AI Act (minimal/begrenzt/hoch)
- AVV-Status (vorhanden/ausstehend/nicht noetig)
- DSFA-Status (durchgefuehrt/empfohlen/nicht noetig)
- Rechtsgrundlage nach Art. 6 DSGVO
- Server-Standort (EU/USA/unbekannt)
- Training mit Kundendaten (ja/nein/unbekannt)
Erstelle eine Uebersichtstabelle mit Handlungsempfehlungen.
Rechenschaftspflicht: Was du nachweisen musst
Art. 5 Abs. 2 DSGVO verlangt: Du musst die Einhaltung aller Datenschutzgrundsaetze nachweisen koennen. Das heisst im KI-Kontext:
| Nachweis | Dokument | Aktualisierung |
|---|---|---|
| Rechtsgrundlage definiert | Verarbeitungsverzeichnis | Bei Aenderung |
| AVV abgeschlossen | Vertragskopie | Jaehrliche Pruefung |
| DSFA durchgefuehrt (wenn noetig) | DSFA-Dokument | Bei Aenderung der Verarbeitung |
| Mitarbeiter geschult | Schulungsnachweis | Jaehrlich |
| Nutzungsrichtlinie erstellt | Richtlinien-Dokument | Jaehrlich oder bei neuen Tools |
| KI-Inventar gepflegt | Inventar-Tabelle | Quartalweise |
Key Takeaways
- Das Verarbeitungsverzeichnis ist Pflichtdokument Nr. 1 — KI-Einsatz muss dort eingetragen sein
- AVVs fuer KI-Anbieter brauchen zusaetzliche Klauseln: Kein Training, Datenloeschung, Server-Standort, Subunternehmer
- Viele Standard-AVVs decken KI-spezifische Risiken nicht ab — pruefe deinen AVV auf Klauseln zu Training, Datenloeschung und Server-Standort
- Ein zentrales KI-Inventar wird ab August 2026 fuer Hochrisiko-KI Pflicht — starte jetzt
- Die Rechenschaftspflicht verlangt Nachweise: Schulungen, Vertraege, Richtlinien — alles dokumentieren
Up Next
In der naechsten Lektion geht es um den Faktor Mensch: Wie du Mitarbeiter fuer den datenschutzkonformen KI-Einsatz schulst und den Betriebsrat fruehzeitig einbindest.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!