KVKK-konformer KI-Einsatz: Was Unternehmen wissen müssen

KI-Automatisierung und KVKK: drei Konfliktpunkte

Hinweis: Dieser Artikel ist keine Rechtsberatung — er dient der Information. Konsultieren Sie für die Compliance einen Rechtsanwalt.

KVKK verlangt eine Rechtsgrundlage und Zweckbindung für die Datenverarbeitung. KI-Automatisierung erzeugt Reibung an drei Stellen.

Erstens, Zweckentfremdung: Werden Kundendaten zur Schulung von Marketingmodellen genutzt, ist das ein Verstoß. Jeder Verwendungszweck muss separat dokumentiert sein.

Zweitens, automatisierte Entscheidungen: DSGVO Art. 22 und sein KVKK-Äquivalent schränken vollautomatisierte Entscheidungen mit erheblicher Wirkung auf Personen ein. Kreditscoring und Preisdiskriminierung fallen darunter; ein Mechanismus für menschliche Kontrolle ist Pflicht.

Drittens, Drittanbieter: Cloud-KI-Anbieter und LLM-APIs sind Auftragsverarbeiter. Ein schriftlicher Auftragsverarbeitungsvertrag (AVV) ist nach KVKK-Art. 8 erforderlich.

Datensparsamkeit: das Prinzip "weniger ist mehr"

Datensparsamkeit ist ein Kernprinzip von KVKK und DSGVO: Erheben und speichern Sie nur die für den Zweck unbedingt notwendigen Daten. In KI-Projekten wird dieses Prinzip leicht verletzt.

Typisches Szenario: Ein Unternehmen baut ein KI-System zur Echtzeit-Standortverfolgung für die Bestelllogistik. Mit der Zeit beginnt das System auch Browser-Historie und Suchanfragen zu verarbeiten — weil das Modell "besser vorhersagt." Das ist ein Verstoß gegen das Minimierungsprinzip.

Praktische Regel: Fragen Sie für jedes Datenfeld: "Würde die Aufgabe ohne dieses Feld scheitern?" Wenn nein, entfernen Sie es. Außerdem: Aufbewahrungsfristen. Personenbezogene Rohdaten in KI-Logs sollten innerhalb von 30–90 Tagen anonymisiert werden. Integrieren Sie dies als automatischen Trigger — verlassen Sie sich nicht auf manuelle Prozesse.

Eine praktische Checkliste

Die folgende Checkliste fasst die wichtigsten Punkte zusammen, die vor dem Start eines KI-Projekts unter KVKK geprüft werden sollten. Keine Rechtsberatung.

1. Rechtsgrundlage: Bestimmen Sie für jede Datenkategorie die Grundlage (Einwilligung, Vertrag, berechtigtes Interesse) und dokumentieren Sie sie.

2. DSFA-Pflicht: Bei groß angelegter Verarbeitung, sensiblen Daten oder automatisierter Profilierung ist eine Datenschutz-Folgenabschätzung Pflicht. Hochrisiko-KI nach EU AI Act löst dies ebenfalls aus.

3. Auftragsverarbeitungsverträge (AVV): Stellen Sie für jeden KI-Anbieter einen unterzeichneten AVV sicher. Fragen Sie, ob Daten außerhalb der Türkei übertragen werden — das erfordert zusätzliche Genehmigung nach KVKK Art. 9.

4. Aufbewahrungsautomatisierung: Erstellen Sie Aufbewahrungsrichtlinien und integrieren Sie automatische Lösch-/Anonymisierungstrigger.

5. Zugriffsprotokollprüfung: Wer hat wann auf welche Daten zugegriffen? Prüfen Sie Protokolle alle 90 Tage.