Datenverarbeitungsverzeichnis (VVT) für KI
Ein Datenverarbeitungsverzeichnis (VVT) für KI ist das DSGVO-Pflichtdokument, in dem Sie strukturiert festhalten, wie Ihr Unternehmen bei KI-Tools personenbezogene Daten verarbeitet – also wer die Daten nutzt, welche Daten es sind, zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen. Für KMU ist es der „Spickzettel“ für Datenschutz, Audits und saubere Entscheidungen bei neuen KI-Anwendungsfällen.
Was bedeutet „VVT“ im KI-Kontext?
Das VVT (auch „Verzeichnis von Verarbeitungstätigkeiten“) ist nach Art. 30 DSGVO ein Überblick über Ihre Verarbeitungstätigkeiten. Sobald Sie KI einsetzen (z. B. für Kundenservice, Marketing, Recruiting oder interne Wissenssuche), entstehen oft neue Datenflüsse: Prompts, Anhänge, Chat-Verläufe, Logdaten, Trainings-/Verbesserungsdaten oder Weitergaben an Cloud-Anbieter. Ein KI-spezifisches VVT macht diese Flüsse transparent und prüfbar.
Wie funktioniert ein VVT für KI in der Praxis?
- 1) KI-Anwendungsfall beschreiben: z. B. „E-Mail-Entwürfe mit ChatGPT“, „Support-Antworten mit Generative KI (Generative AI)“, „Wissenssuche mit RAG (Retrieval-Augmented Generation)“.
- 2) Datenkategorien festhalten: Kundenstammdaten, Kommunikationsinhalte, Bewerberdaten, Mitarbeiterdaten; besonders kritisch: Gesundheitsdaten, Bankdaten, Ausweiskopien.
- 3) Zweck & Rechtsgrundlage dokumentieren: z. B. Vertragserfüllung, berechtigtes Interesse, Einwilligung; inkl. Interessenabwägung, wenn nötig.
- 4) Beteiligte Rollen klären: Verantwortlicher (Sie), Auftragsverarbeiter (KI-Provider), ggf. gemeinsame Verantwortlichkeit; inkl. AVV/DPA und Unterauftragnehmer.
- 5) Empfänger & Drittlandtransfer: Wo werden Daten verarbeitet (EU/USA)? Gibt es SCCs/DPF? Thema Data Residency und EU-US Data Privacy Framework (DPF) & KI.
- 6) Speicherdauer & Löschkonzept: Wie lange bleiben Prompts/Logs/Dateien beim Tool? Thema Data Retention (Datenaufbewahrung) bei KI-Providern und ggf. Zero Data Retention (ZDR).
- 7) Technische/organisatorische Maßnahmen (TOMs): Zugriffskontrolle, Rollen, Verschlüsselung, Protokollierung, Schulungen, Freigabeprozesse; z. B. PII Redaction (PII-Schwärzung) oder Data Minimization (Datenminimierung).
- 8) Risiken & Folgepflichten prüfen: Brauchen Sie eine Data Protection Impact Assessment (DPIA) für KI? Gibt es Vorgaben aus AI Governance oder EU AI Act?
Konkretes Beispiel für ein KMU
Sie nutzen ein KI-Tool, um eingehende Support-E-Mails zusammenzufassen und Antwortvorschläge zu erstellen. Im VVT steht dann u. a.: Zweck „schnellere Bearbeitung“, Daten „E-Mail-Inhalte inkl. Namen/Bestellnummern“, Empfänger „KI-Provider als Auftragsverarbeiter“, Speicherfristen „Logs 30 Tage“, Schutzmaßnahmen „PII-Schwärzung vor Upload, Zugriff nur Support-Team, regelmäßige Stichproben gegen Halluzinationen (Hallucinations)“.
Warum ist ein KI-VVT für Geschäftsführer wichtig?
Weil Sie damit KI-Einsatz skalierbar und rechtssicher steuern: Sie sehen sofort, welche Tools Daten bekommen, ob Verträge/Standorte passen, wo Risiken liegen und welche Prozesse (z. B. Freigaben, Schulungen) fehlen. Außerdem hilft es bei Kundenfragen („Wie geht ihr mit unseren Daten in KI um?“) und reduziert das Risiko von Datenschutzverstößen durch „Shadow AI“ oder unkontrollierte Prompt-Nutzung.
Was kostet ein VVT für KI?
Wenn Sie nur 1–3 KI-Anwendungsfälle haben, ist ein erstes KI-VVT oft in wenigen Stunden intern erstellbar (Vorlage + Provider-Infos). Externe Unterstützung (Datenschutzberatung) lohnt sich vor allem bei sensiblen Daten, Drittlandtransfer oder wenn eine DPIA nötig wird; die Kosten hängen dann stark von Komplexität und Dokumentationsgrad ab.