Softwareanbieter tragen besondere Verantwortung
Wenn Ihr Produkt personenbezogene Daten Ihrer Kunden verarbeitet, sind Sie in der Regel Auftragsverarbeiter nach Art. 28 DSGVO. Das bedeutet: Ihre Kunden (die Verantwortlichen) schließen einen AVV mit Ihnen ab — und Sie müssen sicherstellen, dass Ihre Infrastruktur und Prozesse die DSGVO-Anforderungen erfüllen.
Gleichzeitig sind Sie für die Daten Ihrer eigenen Nutzer (Registrierung, Nutzungsverhalten, Support-Anfragen) selbst Verantwortlicher.
Privacy by Design und Privacy by Default
Art. 25 DSGVO verpflichtet Softwareanbieter, Datenschutz bereits bei der Entwicklung zu berücksichtigen — nicht als Nachgedanke. Das bedeutet:
- Datensparsamkeit: Nur die Daten erheben, die wirklich benötigt werden
- Pseudonymisierung wo möglich
- Standardmäßig datenschutzfreundliche Einstellungen (Privacy by Default)
- Löschkonzepte direkt in der Software verankern
Wir beraten Ihre Entwicklungsteams und helfen bei der Umsetzung dieser Prinzipien in der Praxis.
Für Softwareprodukte mit KI-Funktionen gelten diese Prinzipien mit besonderer Schärfe: Trainingsdaten müssen auf das Notwendige begrenzt sein, Nutzer müssen wissen, wenn ihre Eingaben KI-Modelle verbessern, und KI-gestützte Voreinstellungen dürfen nicht auf maximaler Datenerhebung basieren.
KI-Features im eigenen Produkt: Was Softwareanbieter jetzt wissen müssen
Immer mehr SaaS-Produkte integrieren KI-Funktionen — Chatbots, Textzusammenfassungen, Anomalieerkennung, automatische Kategorisierung. Was technisch eine API-Anbindung ist, hat datenschutzrechtlich weitreichende Konsequenzen.
KI-Drittanbieter als Unterauftragsverarbeiter
Wenn Sie OpenAI, Azure OpenAI, Google Vertex AI, Anthropic oder ähnliche Dienste in Ihr Produkt einbinden und dabei Daten Ihrer Kunden verarbeiten, wird der KI-Anbieter zu einem Unterauftragsverarbeiter nach Art. 28 Abs. 4 DSGVO. Das bedeutet:
- Sie benötigen einen Sub-AVV mit dem KI-Anbieter — und müssen diesen Ihren Kunden gegenüber nachweisen können
- Ihr eigener AVV muss Unterauftragsverarbeiter explizit regeln (inkl. Zustimmungspflichten Ihrer Kunden)
- US-Drittlandtransfers müssen abgesichert sein (SCCs, ggf. TIA) — viele KI-APIs verarbeiten Daten auf US-Servern
- Sie müssen prüfen, ob der KI-Anbieter Daten für Modelltraining nutzt, und dies ggf. deaktivieren oder in Ihrer Datenschutzerklärung ausweisen
Wir prüfen die Datenschutzbedingungen gängiger KI-APIs und helfen Ihnen, Ihre Vertragsstruktur DSGVO-konform aufzusetzen.
Automatisierte Entscheidungen und Art. 22 DSGVO
Trifft Ihr Produkt automatisiert Entscheidungen mit erheblicher Auswirkung auf Personen — zum Beispiel KI-gestützte Bonitätsbewertungen, automatische Ablehnungen oder Risikoklassifizierungen — greift Art. 22 DSGVO. Betroffene haben dann das Recht auf menschliche Überprüfung, Erklärung der Entscheidungslogik und Widerspruch gegen die automatisierte Verarbeitung. Diese Rechte müssen technisch umsetzbar sein. Wir beraten, wie Sie die notwendige Transparenz und die Ausübbarkeit der Betroffenenrechte in Ihrer Software verankern.
Datenschutz-Folgenabschätzung (DSFA) bei KI
KI-gestützte Verarbeitungen sind häufig DSFA-pflichtig nach Art. 35 DSGVO — insbesondere bei Profiling mit erheblicher Wirkung auf Personen, Verarbeitung besonderer Datenkategorien (Gesundheit, Biometrie) oder systematischer Verhaltensanalyse. Wir begleiten die Durchführung der DSFA und dokumentieren sie revisionssicher.
EU AI Act: Pflichten für SaaS- und Softwareanbieter
Der EU AI Act ist seit August 2024 in Kraft und gilt schrittweise ab 2025/2026. Für SaaS-Anbieter ist er in zweifacher Hinsicht relevant.
Als Provider (Anbieter) von KI-Systemen gelten Sie als Provider im Sinne des AI Acts, wenn Sie ein KI-System entwickeln und auf dem Markt bereitstellen — unabhängig davon, ob das Modell von Ihnen trainiert oder von einem Drittanbieter bezogen wurde. Die Pflichten hängen von der Risikoklasse ab:
- Minimales Risiko (z. B. KI-gestützte Suche, Spamfilter): Kaum Zusatzpflichten
- Begrenztes Risiko (z. B. Chatbots): Transparenzpflicht — Nutzer müssen wissen, dass sie mit KI interagieren
- Hohes Risiko (z. B. KI in HR, Kreditvergabe, kritischer Infrastruktur): Technische Dokumentation, Konformitätsbewertung, Registrierung in der EU-Datenbank, Risikomanagementsystem, menschliche Aufsicht
- Unzulässige Praktiken: Verboten, z. B. Social Scoring oder manipulative KI
Als Deployer (Betreiber) von KI-Systemen eines Drittanbieters haben Sie eigene Pflichten: Risikoüberwachung, Logging und Information Ihrer Nutzer.
Wir analysieren, in welche Kategorie Ihre KI-Features fallen, und unterstützen bei der Umsetzung — von der technischen Dokumentation bis zur Registrierung.
Typische Aufgaben
AVV-Gestaltung als Auftragsverarbeiter
Wenn Ihre Kunden einen AVV mit Ihnen abschließen, muss dieser die Anforderungen von Art. 28 DSGVO erfüllen. Wir erstellen einen rechtssicheren Standard-AVV für Ihr Produkt.
Datenschutzerklärungen und Nutzungsbedingungen
Vollständige, verständliche und aktuelle Datenschutzerklärungen für Ihre Plattform — getrennt nach eigener Datenverarbeitung und Auftragsverarbeitung.
Technische Datenschutzberatung
Wie setzen Sie Datenlöschung, Datenexport (Betroffenenrechte), Audit-Logs und Pseudonymisierung technisch um? Wir übersetzen datenschutzrechtliche Anforderungen in konkrete technische Umsetzungsoptionen.
KI-API-Integration datenschutzkonform gestalten
Wir prüfen die vertragliche Grundlage (Sub-AVV, SCCs) für KI-APIs wie OpenAI, Azure, Google oder Anthropic, identifizieren Drittlandtransfer-Risiken und helfen dabei, Ihre Subprozessoren-Liste gegenüber Kunden transparent zu kommunizieren.
EU AI Act Compliance-Check
Wir bewerten Ihre KI-Features nach dem AI Act (Risikoklasse, Anbieter- vs. Betreiberpflichten) und erstellen einen priorisierten Maßnahmenplan für die Umsetzung der gesetzlichen Anforderungen.
DSFA für KI-gestützte Verarbeitungen
Für KI-Features mit erhöhtem Datenschutzrisiko begleiten wir die Datenschutz-Folgenabschätzung von der Risikoidentifikation bis zur Dokumentation.