---
name: dsgvo-compliance-bausteine
description: "DSGVO-Textbausteine für KI-Nutzungsrichtlinien in Kanzleien: Anwendungsfall Kanzlei erstellt oder aktualisiert KI-Richtlinie und benoetigt prazise datenschutzrechtliche Formulierungen. Art. 2 Abs. 1 DSGVO Anwendungsbereich, Art. 6 DSGVO Rechtsgrundlage, Art. 9 DSGVO besondere Kategorien, Art. 28..."
---

# DSGVO-Compliance-Bausteine

## Arbeitsbereich

DSGVO-Textbausteine für KI-Nutzungsrichtlinien in Kanzleien: Anwendungsfall Kanzlei erstellt oder aktualisiert KI-Richtlinie und benoetigt prazise datenschutzrechtliche Formulierungen. Art. 2 Abs. 1 DSGVO Anwendungsbereich, Art. 6 DSGVO Rechtsgrundlage, Art. 9 DSGVO besondere Kategorien, Art. 28 DSGVO AVV. Prüfraster Datenminimierung, Zweckbindung, Drittlandtransfer, Anonymisierung, AVV-Pflicht, Löschkonzept. Output DSGVO-Bausteine-Sammlung anpassbar für Kanzlei-Profil mit Normreferenzen. Abgrenzung zu Auftragsverarbeitungsvertrag-Prüfen und zu Anonymisierung-Pseudonymisierung. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: BRAO, BORA, FAO, BNotO, StBerG, WPO, PAO; DSGVO — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen

Der datenschutzrechtliche Teil einer KI-Nutzungsrichtlinie muss die Grundsätze der DSGVO kohärent auf den Einsatz von KI-Systemen in der Kanzlei übertragen. Da KI-Systeme regelmäßig personenbezogene Daten verarbeiten, kommt Art. 2 Abs. 1 DSGVO zur Anwendung, was umfangreiche Dokumentations- und Rechtfertigungspflichten auslöst.

## Rechtlicher Hintergrund

Zentrale Normen: Art. 2 Abs. 1 DSGVO (Sachlicher Anwendungsbereich), Art. 5 DSGVO (Grundsätze der Verarbeitung: Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung), Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung, insbesondere Art. 6 Abs. 1 lit. a Einwilligung, lit. b Vertragsdurchführung, lit. f berechtigtes Interesse), Art. 9 DSGVO (besondere Kategorien sensibler Daten), Art. 15 DSGVO (Auskunftsrecht Betroffener), Art. 28 DSGVO (Auftragsverarbeitung), Art. 44 ff. DSGVO (Drittlandtransfer, Angemessenheitsbeschluss USA, Standardvertragsklauseln, Transfer Impact Assessment). Art. 82 DSGVO begründet die Schadensersatzhaftung.

## Vorgehen

1. **Anwendungsbereich prüfen**: Werden personenbezogene Daten in KI-Systeme eingegeben? Wenn ja, gilt die DSGVO vollumfänglich.
2. **Erlaubnistatbestand bestimmen**: Welcher Erlaubnisgrund nach Art. 6 DSGVO greift für den konkreten Verarbeitungsvorgang?
3. **Besondere Kategorien identifizieren**: Bei Gesundheitsdaten, Strafverfahrensdaten, ethnischer Herkunft etc. ist Art. 9 DSGVO zu beachten (Ausnahme: Art. 9 Abs. 2 lit. f für Rechtsansprüche).
4. **Auftragsverarbeitungsvertrag abschließen**: Mit jedem KI-Dienstleister, der personenbezogene Daten verarbeitet, ist ein AVV nach Art. 28 DSGVO zu schließen.
5. **Drittlandtransfer prüfen**: Bei US-amerikanischen Anbietern: Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework), Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO oder Transfer Impact Assessment (TIA) nach Art. 46 DSGVO.
6. **Datenminimierung und Anonymisierung**: Vor dem Upload von Dokumenten maximale Anonymisierung durchführen; nur die für die KI-Aufgabe notwendigen Daten eingeben.

## Vorlagentext / Bausteine

**Baustein DSGVO-Grundsätze:**
Die Kanzlei stellt sicher, dass beim Einsatz von KI-Systemen die Grundsätze des Art. 5 DSGVO eingehalten werden: Personenbezogene Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben (Zweckbindung) und beschränkt auf das notwendige Minimum (Datenminimierung). Mitarbeitende sind angewiesen, keine personenbezogenen Daten in KI-Systeme einzugeben, die nicht für die jeweilige Aufgabe erforderlich sind.

**Baustein Erlaubnistatbestand:**
Die Verarbeitung personenbezogener Daten durch KI-Systeme erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung mit dem Mandanten) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Kanzlei an effizienter Rechtsdienstleistung), soweit nicht im Einzelfall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich ist. Sensible Daten nach Art. 9 Abs. 1 DSGVO werden nur auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO verarbeitet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

**Baustein AVV:**
Mit jedem KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, ist vor Aufnahme der Verarbeitung ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Der AVV muss Regelungen zu Gegenstand, Dauer, Art und Zweck der Verarbeitung, Weisungsgebundenheit des Dienstleisters, technisch-organisatorischen Maßnahmen (TOMs), Unterauftragnehmerregelungen sowie zu Löschung und Rückgabe der Daten enthalten.

**Baustein Drittlandtransfer:**
Beim Einsatz von KI-Anbietern mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) ist ein geeignetes Schutzniveau nach Art. 44 ff. DSGVO sicherzustellen. Bei US-amerikanischen Anbietern kommt der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Beschluss vom 10. Juli 2023) in Betracht, sofern der Anbieter nach diesem Framework zertifiziert ist. Alternativ sind EU-Standardvertragsklauseln (SCC) in Verbindung mit einem Transfer Impact Assessment (TIA) zu vereinbaren.

## Hinweise zur Aktualisierung

Drittlandtransfer-Regelungen sind besonders anfällig für Änderungen (Schrems-Urteile, neue Kommissionsbeschlüsse). Der Baustein ist bei neuen EuGH-Entscheidungen oder Änderungen des EU-US-Rahmens sofort zu aktualisieren. Ebenso bei neuen Datenschutzbehörden-Entscheidungen zu konkreten KI-Anbietern.

## Aktuelle Rechtsprechung (v14.2)
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Zentrale Normen (Paragrafenkette)
- Art. 6 DSGVO — Rechtsgrundlagen der Verarbeitung
- Art. 9 DSGVO — Besondere Kategorien personenbezogener Daten
- Art. 28 DSGVO — Auftragsverarbeitung
- Art. 32 DSGVO — Technische und organisatorische Massnahmen
- Art. 35 DSGVO — Datenschutz-Folgenabschaetzung

## Triage zu Beginn
1. Welche Datenkategorien werden verarbeitet — besondere Kategorien nach Art. 9 DSGVO?
2. Liegt eine Rechtsgrundlage nach Art. 6 DSGVO vor — oder ist Einwilligung erforderlich?
3. Ist ein AVV nach Art. 28 DSGVO mit dem KI-Anbieter abgeschlossen?
4. Sind die TOM nach Art. 32 DSGVO dem Risiko angemessen?
5. Loest der Anwendungsfall eine DSFA nach Art. 35 DSGVO aus?

## Output-Template — DSGVO-Compliance-Checkliste KI
**Adressat:** DSB / Rechtsabteilung — Tonfall: checklisten-strukturiert
```
DSGVO-COMPLIANCE-CHECKLISTE KI-EINSATZ
[DATUM] — Anwendungsfall: [BESCHREIBUNG]

Art. 6 DSGVO — Rechtsgrundlage:
☑/☐ Rechtsgrundlage identifiziert: [lit. a-f]
☑/☐ Dokumentiert im VVT (Art. 30 DSGVO)

Art. 9 DSGVO — Besondere Kategorien:
☑/☐ Keine besonderen Kategorien / Besondere Kategorien: Ausnahme nach Art. 9 Abs. 2: [lit.]

Art. 28 DSGVO — AVV:
☑/☐ AVV abgeschlossen
☑/☐ Unterauftragsverarbeiter-Liste vorliegend

Art. 32 DSGVO — TOM:
☑/☐ Verschluesselung (at rest und in transit)
☑/☐ Zugangskontrolle
☑/☐ Protokollierung

Art. 35 DSGVO — DSFA:
☑/☐ DSFA nicht erforderlich (Begruendung: [BEGRUENDUNG])
☑/☐ DSFA durchgefuehrt am [DATUM]

Gesamtbewertung: [KONFORM / LUECKEN — MASSNAHMEN ERFORDERLICH]
Geprueft von: [NAME DSB], [DATUM]
```