Ist KI-Dokumentenverarbeitung DSGVO-konform? Eine praktische EU-Checkliste
Die Frage, die sich jede EU-Operations-Leitung vor der Dokumentenautomatisierung stellt. Die kurze Antwort: KI-Dokumentenverarbeitung KANN DSGVO-konform sein — aber die Konformität steckt im Design des Ablaufs, nicht auf der Marketingseite des KI-Modells.
Die DSGVO verbietet KI-Dokumentenverarbeitung nicht. Sie verlangt, was sie immer verlangt — Rechtsgrundlage, Zweckbindung, Minimierung, Sicherheit, Rechenschaft —, angewandt auf einen Ablauf, der eben KI nutzt. Ein gut gestalteter Extraktionsablauf lässt sich leichter konform machen als ein menschliches Postfach, weil jeder Schritt explizit und prüfbar ist.
Was die Konformität in der Praxis bricht: Dokumente an Tools ohne AVV schicken, Anbieter auf Ihren Kundendaten trainieren lassen, stille Kopien für immer behalten und Dokumentinhalte in Systeme protokollieren, die niemand kontrolliert.
Zweckbindung: Der Ablauf verarbeitet Dokumente für einen definierten Zweck; Wiederverwendung braucht eine neue Entscheidung.
Datenminimierung: definierte Felder extrahieren; nicht das ganze Dokument in nachgelagerte Systeme saugen.
AVV mit dem Ablauf-Anbieter UND jedem gelisteten Unterauftragsverarbeiter (einschließlich des KI-Modellanbieters).
Kein Training auf Ihren Daten: Die Bedingungen des Modellanbieters müssen Ihre Inhalte vom Training ausschließen.
EU-Datenhaltung, wo der Stack es zulässt; gültige Übermittlungsmechanismen (SCCs), wo nicht.
Aufbewahrung je Dokumenttyp vereinbart; temporäre Dateien und Protokolle der KI-Schicht werden planmäßig gelöscht.
Inhalte bleiben aus Anwendungsprotokollen heraus — Metadaten protokollieren (Zeitstempel, Status), nie Dokumenttext.
Menschliche Aufsicht bei folgenreichen Schritten; Betroffenenrechte (Auskunft, Löschung) durchgängig umsetzbar.
Ein Vorfallspfad: Wer erfährt was — und wann —, falls etwas durchsickert.
Sonderfälle, die erhöhte Sorgfalt brauchen
Lebensläufe und Einstellungsunterlagen: Hochrisiko nach der EU-KI-Verordnung — KI darf strukturieren und zusammenfassen, doch jede Entscheidung trifft ein Mensch.
Gesundheits-, Rechts- und Finanzdokumente: strengere Rechtsgrundlagen und oft kürzere Zugriffslisten; das Freigabe-Gate entsprechend gestalten.
Dokumente über Kinder oder schutzbedürftige Personen: meist ein Zeichen, dass der Ablauf vor dem Start eine DSFA braucht.
Wer verantwortlich ist
Das Unternehmen, das die Dokumente verarbeitet, bleibt Verantwortlicher: Es besitzt die Rechtsgrundlage, den Aufbewahrungsplan und die finalen Entscheidungen. Ein Anbieter wie Rexora handelt als Auftragsverarbeiter — gebunden an den AVV, zuständig dafür, den Ablauf so zu bauen, dass der Verantwortliche konform sein KANN, und dafür, die eigene Schicht (Protokolle, temporäre Dateien, Unterauftragsverarbeiter) sauber zu halten.
Die Compliance-Freigabe liegt beim Verantwortlichen und seinen Beratern. Ein guter Anbieter macht diese Prüfung leicht, indem er Datenfluss, Liste der Unterauftragsverarbeiter und Aufbewahrungsverhalten schriftlich übergibt — und Umfänge ablehnt, die sich nicht konform umsetzen lassen.
Bevor Sie Dokumente automatisieren
Zehn Minuten mit diesen Fragen ersparen später einen schmerzhaften Umbau.
Listen Sie die Dokumenttypen und die Rechtsgrundlage für jeden auf.
Schreiben Sie auf, welche Felder Sie wirklich extrahiert brauchen.
Fragen Sie jeden Anbieter nach der Liste der Unterauftragsverarbeiter und dem Trainingsausschluss.
Vereinbaren Sie die Aufbewahrung für Originale, Extrakte, temporäre Dateien und Protokolle.
Legen Sie fest, welche Schritte eine benannte menschliche Freigabe brauchen.
Wo Rexora ins Spiel kommt
Rexora gestaltet Dokumentenabläufe DSGVO-zuerst: Minimierung, vereinbarte Aufbewahrung, inhaltsfreie Protokolle, EU-gehostete Tools, wo möglich, und ein AVV-Entwurf zur Prüfung.
Bei Einstellungsunterlagen entscheiden immer Menschen — die Hochrisiko-Regeln der EU-KI-Verordnung sind die Architektur, keine Fußnote.
Ehrliche Grenzen
Dieser Leitfaden ist praktische Orientierung, keine Rechtsberatung; die finale Freigabe geben die Berater des Verantwortlichen.
Wir lehnen Umfänge ab, die menschliche Aufsicht aus sensiblen Entscheidungen entfernen würden.