DAllgemein

Datenverarbeitungsverzeichnis (VVT) für KI

Dokumentiert KI-Datenverarbeitung nach DSGVO – wer, was, warum.

Ein Datenverarbeitungsverzeichnis (VVT) für KI ist das DSGVO-Pflichtdokument, in dem Sie strukturiert festhalten, wie Ihr Unternehmen bei KI-Tools personenbezogene Daten verarbeitet – also wer die Daten nutzt, welche Daten es sind, zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen. Für KMU ist es der „Spickzettel“ für Datenschutz, Audits und saubere Entscheidungen bei neuen KI-Anwendungsfällen.

Was bedeutet „VVT“ im KI-Kontext?

Das VVT (auch „Verzeichnis von Verarbeitungstätigkeiten“) ist nach Art. 30 DSGVO ein Überblick über Ihre Verarbeitungstätigkeiten. Sobald Sie KI einsetzen (z. B. für Kundenservice, Marketing, Recruiting oder interne Wissenssuche), entstehen oft neue Datenflüsse: Prompts, Anhänge, Chat-Verläufe, Logdaten, Trainings-/Verbesserungsdaten oder Weitergaben an Cloud-Anbieter. Ein KI-spezifisches VVT macht diese Flüsse transparent und prüfbar.

Wie funktioniert ein VVT für KI in der Praxis?

Konkretes Beispiel für ein KMU

Sie nutzen ein KI-Tool, um eingehende Support-E-Mails zusammenzufassen und Antwortvorschläge zu erstellen. Im VVT steht dann u. a.: Zweck „schnellere Bearbeitung“, Daten „E-Mail-Inhalte inkl. Namen/Bestellnummern“, Empfänger „KI-Provider als Auftragsverarbeiter“, Speicherfristen „Logs 30 Tage“, Schutzmaßnahmen „PII-Schwärzung vor Upload, Zugriff nur Support-Team, regelmäßige Stichproben gegen Halluzinationen (Hallucinations)“.

Warum ist ein KI-VVT für Geschäftsführer wichtig?

Weil Sie damit KI-Einsatz skalierbar und rechtssicher steuern: Sie sehen sofort, welche Tools Daten bekommen, ob Verträge/Standorte passen, wo Risiken liegen und welche Prozesse (z. B. Freigaben, Schulungen) fehlen. Außerdem hilft es bei Kundenfragen („Wie geht ihr mit unseren Daten in KI um?“) und reduziert das Risiko von Datenschutzverstößen durch „Shadow AI“ oder unkontrollierte Prompt-Nutzung.

Was kostet ein VVT für KI?

Wenn Sie nur 1–3 KI-Anwendungsfälle haben, ist ein erstes KI-VVT oft in wenigen Stunden intern erstellbar (Vorlage + Provider-Infos). Externe Unterstützung (Datenschutzberatung) lohnt sich vor allem bei sensiblen Daten, Drittlandtransfer oder wenn eine DPIA nötig wird; die Kosten hängen dann stark von Komplexität und Dokumentationsgrad ab.