HVNHAI

Insight

KI-Agenten & DSGVO: Was Unternehmen beachten müssen

01. Juli 2026 · HVNH AI

Kurz beantwortet

KI-Agenten lassen sich DSGVO-konform betreiben, wenn drei Voraussetzungen stimmen: eine klare Rechtsgrundlage samt Auftragsverarbeitungsvertrag, ein Betrieb auf europäischen — idealerweise deutschen — Servern oder in der eigenen Umgebung, und eine lückenlose Protokollierung jedes Verarbeitungsschritts. Wer zusätzlich Datenminimierung und Löschfristen sauber umsetzt, erfüllt die zentralen Anforderungen der DSGVO.

KI und DSGVO: kein Widerspruch, aber eine Gestaltungsaufgabe

Viele Unternehmen zögern beim Einsatz von KI-Agenten, weil personenbezogene Daten im Spiel sind: Kundenanfragen, Rechnungen, Bewerbungen. Die gute Nachricht: Die DSGVO verbietet KI nicht — sie stellt Anforderungen an den Umgang mit Daten. Wer diese von Anfang an mitplant, kann digitale Mitarbeiter rechtssicher betreiben. Die vier wichtigsten Handlungsfelder im Überblick.

1. Rollen klären: Verantwortlicher und Auftragsverarbeiter

Setzt ein Dienstleister KI-Agenten für Sie auf und betreibt sie, verarbeitet er Daten in Ihrem Auftrag. Dann verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV). Er regelt, welche Daten zu welchem Zweck verarbeitet werden, welche technischen und organisatorischen Maßnahmen gelten und was nach Vertragsende mit den Daten geschieht. Seriöse Anbieter legen den AVV unaufgefordert vor. Prüfen Sie zusätzlich, welche Unterauftragsverarbeiter — etwa Anbieter von KI-Modellen — eingebunden sind und wo diese Daten verarbeiten.

2. Serverstandort: deutsche Server oder die eigene Umgebung

Wo ein KI-Agent läuft, ist eine der wichtigsten Weichenstellungen. Drei Stufen sind üblich:

  • Deutsche bzw. europäische Server: Verarbeitung innerhalb der EU — Drittlandübermittlungen werden gar nicht erst zum Grundproblem
  • Eigene Umgebung (On-Premises oder eigene Cloud): Die Daten verlassen Ihr Haus nicht — sinnvoll bei besonders sensiblen Informationen
  • Hybrid: Sensible Verarbeitungsschritte laufen lokal, unkritische in der Cloud

Anbieter wie HVNH AI betreiben Agenten standardmäßig auf deutschen Servern oder auf Wunsch vollständig in der Umgebung des Kunden. Fragen Sie jeden Anbieter konkret: Wo laufen die Agenten, wo laufen die KI-Modelle, welche Daten verlassen die EU?

3. Protokollierung: jeder Schritt nachvollziehbar

Die DSGVO verlangt Rechenschaftsfähigkeit (Art. 5 Abs. 2): Sie müssen nachweisen können, was mit personenbezogenen Daten geschieht. Bei KI-Agenten heißt das: Jeder Verarbeitungsschritt — welche E-Mail gelesen, welches Dokument ausgewertet, welche Antwort erstellt wurde — wird protokolliert. Das bringt dreifachen Nutzen: Sie erfüllen Nachweispflichten, Sie können Auskunftsersuchen Betroffener beantworten, und Sie sehen im Alltag jederzeit, was Ihr digitaler Mitarbeiter getan hat. Ein Agent ohne lückenloses Protokoll ist aus Datenschutzsicht ein Blindflug.

4. Datenminimierung, Löschung, menschliche Aufsicht

  • Datenminimierung: Der Agent erhält nur Zugriff auf die Daten, die er für seine Aufgabe braucht — nicht auf das gesamte Laufwerk
  • Löschkonzept: Verarbeitete Daten und Protokolle bekommen klare Aufbewahrungs- und Löschfristen
  • Keine automatisierte Letztentscheidung: Entscheidungen mit rechtlicher Wirkung für Personen (Art. 22 DSGVO) trifft ein Mensch — der Agent bereitet nur vor
  • Datenschutz-Folgenabschätzung: Bei umfangreicher Verarbeitung sensibler Daten prüfen, ob eine DSFA erforderlich ist
  • Team einbinden: Datenschutzbeauftragte und gegebenenfalls den Betriebsrat früh informieren

Checkliste für die Anbieterauswahl

  1. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vorhanden?
  2. Serverstandort Deutschland/EU — oder Betrieb in der eigenen Umgebung möglich?
  3. Lückenlose Protokollierung jedes Agenten-Schritts?
  4. Klare Aussage zu Unterauftragsverarbeitern und eingesetzten KI-Modellen?
  5. Rollen- und Rechtekonzept: Worauf genau hat der Agent Zugriff?

Fazit

DSGVO-konforme KI-Agenten sind machbar — mit Auftragsverarbeitungsvertrag, Betrieb in der EU oder im eigenen Haus, lückenloser Protokollierung und konsequenter Datenminimierung. Entscheidend ist, den Datenschutz nicht nachträglich anzuflanschen, sondern ihn bei Architektur und Anbieterwahl von Beginn an mitzudenken.

Häufige Fragen

Dürfen KI-Agenten personenbezogene Daten verarbeiten?
Ja, unter denselben Voraussetzungen wie jede andere Datenverarbeitung: Es braucht eine Rechtsgrundlage, etwa die Vertragserfüllung oder ein berechtigtes Interesse, sowie technische und organisatorische Schutzmaßnahmen. Die DSGVO verbietet KI nicht, sie regelt den Umgang mit den Daten.
Brauche ich einen Auftragsverarbeitungsvertrag für KI-Agenten?
Ja, sobald ein Dienstleister die Agenten für Sie betreibt und dabei personenbezogene Daten verarbeitet. Der AVV nach Art. 28 DSGVO regelt Zweck, Umfang, Schutzmaßnahmen und Löschung. Seriöse Anbieter legen ihn unaufgefordert vor — inklusive Liste der Unterauftragsverarbeiter.
Müssen KI-Agenten auf deutschen Servern laufen?
Zwingend vorgeschrieben ist der Standort Deutschland nicht — die DSGVO verlangt eine Verarbeitung im Einklang mit ihren Regeln. Deutsche oder EU-Server vermeiden aber die komplexe Drittlandproblematik. Bei besonders sensiblen Daten ist der Betrieb in der eigenen Umgebung die sauberste Lösung.
Ist eine Datenschutz-Folgenabschätzung immer nötig?
Nein, nur wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt — etwa bei umfangreicher Verarbeitung sensibler Daten oder systematischer Bewertung von Personen. Für typische Büroprozesse wie Belegverarbeitung ist meist keine DSFA nötig; die Prüfung sollte dokumentiert werden.
Darf ein KI-Agent allein über Personen entscheiden?
Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung — etwa Absagen an Bewerber — dürfen nach Art. 22 DSGVO grundsätzlich nicht rein automatisiert fallen. In der Praxis bereitet der Agent Entscheidungen vor, ein Mensch prüft und entscheidet.