Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat im Juni 2026 neue konkretisierende Leitlinien zum Einsatz von KI-Systemen veröffentlicht. Diese ergänzen die DSGVO-Anforderungen für KI und geben KMU mehr Rechtssicherheit.
Die 5 wichtigsten Neuerungen
KI-Verarbeitungsverzeichnis ausreichend
Das bestehende Verarbeitungsverzeichnis muss um KI-spezifische Angaben ergänzt werden. Kein separates Dokument nötig.
AV-Vertrag als Standard etabliert
Die BfDI bestätigt: Für KI-as-a-Service ist ein AV-Vertrag nach Art. 28 DSGVO das richtige Instrument.
EU-Hosting als Mindeststandard
Datenverarbeitung auf EU-Servern reicht aus. Einige Branchen benötigen aber DE-Hosting (Gesundheitswesen, Recht).
Transparenzpflicht konkretisiert
„Ich bin ein KI-Assistent" reicht als Hinweis – aber es muss in der Kommunikation klar erkennbar sein.
Sanktionen: Erst beraten, dann strafen
Die BfDI setzt auf Beratung vor Bußgeld – besonders bei KMU, die sich aktiv um Compliance bemühen.
Checkliste: So sind Sie compliant
- AV-Vertrag mit KI-Anbieter abschließen
- Verarbeitungsverzeichnis um KI-Einsatz ergänzen
- Datenschutzerklärung auf KI-Nutzung prüfen
- EU-Hosting bestätigen lassen (Serverstandort)
- Transparenz-Hinweis in der Kommunikation implementieren
DSGVO-Fragen zu Ihrem KI-Einsatz?
Wir helfen Ihnen, alle Anforderungen zu erfüllen – schnell und unkompliziert.
Jetzt beraten lassen