Steve BakaDiscovery
0 Prozent gelesen

Steve Baka · Compliance

11 Min LesezeitAktualisiert

DSGVO-LLM-Checkliste 2026 für Dienstleister

LLM-Betrieb bleibt DSGVO-pflichtig. Diese Checkliste trennt Mindestanforderungen von Nice-to-have — mit 30-Tage-Umsetzungsplan.

  • DSGVO
  • LLM
  • Checkliste
  • Compliance

Export

Kurzantwort

Die DSGVO-LLM-Checkliste 2026 für Dienstleister verlangt je Use Case Rechtsgrundlage, Transparenz, TOMs, Löschkonzept, AVV/TIA und operationalisierte Betroffenenrechte — der AI Act ersetzt das nicht.

Die DSGVO-LLM-Checkliste 2026: Was für Dienstleister Pflicht ist

LLM-Betrieb bleibt 2026 vollständig DSGVO-pflichtig — der EU AI Act ersetzt keine Rechtsgrundlagen, keine Betroffenenrechte und keine TOMs. Diese Checkliste ist der Mindestumfang für Dienstleister, Agenturen und Beratungen, die KI in Kunden- oder internen Prozessen einsetzen (Stand Review: Mai 2026).

Die EDPB Opinion 28/2024 zu KI-Modellen (öffnet in neuem Tab) verdeutlicht: Verantwortlichkeit, Zweckbindung und Datenminimierung gelten unverändert — auch wenn der Anbieter „enterprise-ready“ wirkt.

Pflichtblöcke: Rechtsgrundlage je Use Case, Transparenz, Datenminimierung in Prompts/Logs, Rollenrechte, Lösch- und Retention-Konzept, AVV/Drittland, Betroffenenrechte operationalisiert, DSFA-Screening.

Rechtsgrundlage und Transparenz — praxisnah

Je Use Case dokumentieren: Zweck, Datenkategorien, Empfänger (inkl. Modell-Anbieter), Speicherdauer. Rechtsgrundlagen: Vertrag, Einwilligung, berechtigtes Interesse — letzteres nur mit dokumentiertem Interessenabwägungstest, nicht als Default.

Transparenz heißt: Betroffene wissen, dass KI eingesetzt wird, wenn sie betroffen sind — besonders bei Kundenkommunikation. Intern reicht oft ein Mitarbeiter-Handbuch; extern brauchst du klare Hinweise in Prozessen, die KI berühren.

Art. 22 DSGVO bleibt relevant bei automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung — dann brauchst du menschliche Einflussmöglichkeit und Erklärbarkeit. Verknüpfe mit Human-in-the-Loop.

Technische und organisatorische Maßnahmen (TOMs) für LLM-Prozesse

TOMs: Zugriff nach Rolle, Verschlüsselung in Transit und at Rest, Logging mit Retention, Pseudonymisierung wo möglich, keine Debug-Logs mit Roh-Prompts in Produktion ohne Freigabe. RAG: Quellenrechte und Löschpfade pro Index — RAG ist kein Freifahrtschein.

Die DSK-Orientierungshilfe KI und Datenschutz (2024) (öffnet in neuem Tab) ist für Deutschland ein zentraler Referenzrahmen neben EDPB.

Wechsle Modell-Anbieter nur mit Change-Prozess: neue AVV, neue Region, neues Risiko — nicht „Freitag Nachmittag API-Key tauschen“.

AVV, Drittland und TIA — Kurzblock für die Checkliste

AVV mit jedem Auftragsverarbeiter (Hosting, Modell-API, Monitoring). Bei Drittlandtransfer: TIA oder dokumentierte Entscheidung auf Basis EDPB Recommendations 01/2020 (öffnet in neuem Tab) — Details im Artikel AVV und TIA im LLM-Betrieb.

Enterprise-Flags (z. B. keine Training-Nutzung) sind hilfreich, ersetzen aber keine verantwortliche Stellen-Dokumentation.

Limit: Checkliste ersetzt keine Rechtsberatung bei Hochrisiko-Szenarien (Gesundheit, HR-Scoring, Behördennahe).

30-Tage-Umsetzungsplan für die Checkliste

Woche 1: Datenfluss-Map und Rechtsgrundlage pro Use Case. Woche 2: Rollen, AVV/TIA-Status, Prompt-Policy. Woche 3: Logging, Löschpfade, Betroffenenrechte-Prozess. Woche 4: Pilot mit Review und DSFA-Screening-Ergebnis dokumentieren.

Parallel: EU AI Act und KI-Governance-Rollen einbinden — ein gemeinsames Kontrollmodell spart Doppelarbeit.

Erfolg = auditierbare Ordnerstruktur plus laufender Betrieb — nicht ein PDF, das nach Go-Live verstaubt.

Autor

Über den Autor

Steve BakaSteve Baka

Steve Baka · KI-Consultant für Dienstleister, Agenturen und Beratungen

DSGVO-konforme LLM-Prozesse und Checklisten für Dienstleister

Mehr zum Autor

Erfahrungsfokus: Mehrjährige Praxis in KI-Strategie, Governance und operativer Workflow-Implementierung

  • Übersetzung von EDPB/DSK in operative Prompt- und Log-Policies
  • DSFA-Screening und AVV/TIA-Workflows für KMU
  • Verzahnung mit AI Act und Governance-Rollen

Methodik: Klarer Scope, klare KPI, klare Freigaben — dann Skalierung.

FAQ

Häufige Fragen

Quellen

Referenzen

Weiterlesen

Compliance

DSGVO und LLMs: Was 2026 wirklich gilt

AI Act und DSGVO laufen parallel. Für Dienstleister zählen 2026 vor allem belastbare Rechtsgrundlagen, klare Verantwortlichkeiten und ein auditierbarer LLM-Betrieb.

Compliance

AVV und TIA im LLM-Betrieb erklärt

AVV und TIA sind Pflichtbausteine für LLM-Betrieb mit Drittlandbezug — mit klarer Schrittfolge und Vendor-Prüfung.

Zurück zum BlogZur Startseite