Datenschutzvorfall durch KI: Meldepflicht, Fristen und Sofortmaßnahmen

Ein Mitarbeiter hat vertrauliche Kundendaten in ChatGPT eingegeben. Die Uhr tickt: Art. 33 DSGVO gibt Ihnen 72 Stunden für die Meldung an die Aufsichtsbehörde. Dieser Notfall-Leitfaden zeigt, was jetzt zu tun ist — Schritt für Schritt.

Wann liegt ein meldepflichtiger Vorfall vor?

Nach Art. 33 DSGVO muss jede Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde gemeldet werden — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Betroffenen.

Typische KI-Datenschutzvorfälle

• Direkteingabe: Mitarbeiter gibt Kundenliste mit Namen, Adressen und Vertragsdaten in ChatGPT ein
• Copy-Paste-Unfall: Vertrauliche E-Mail wird versehentlich als Prompt eingefügt
• Bulk-Upload: Tabelle mit Personaldaten wird zur Analyse hochgeladen
• Screenshot-Sharing: Screenshot mit sichtbaren Kundendaten wird an KI-Bildanalyse gesendet
• API-Leck: Automatisierte Pipeline sendet ungefilterte Daten an KI-API

Risikoeinschätzung: Muss ich melden?

Die Meldepflicht entfällt nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Betroffenen führt. Bei KI-Vorfällen ist das selten der Fall, weil:

• Der KI-Anbieter die Daten potenziell speichert und für Training verwendet
• Sie keine Kontrolle über die weitere Verarbeitung haben
• Eine Löschung beim Anbieter nicht garantiert ist
• Die Daten auf Servern außerhalb der EU liegen können

Faustregel: Wenn personenbezogene Daten einen KI-Anbieter ohne Pseudonymisierung erreicht haben, gehen Sie von einer Meldepflicht aus. Die Aufsichtsbehörden bewerten Nachmeldungen milder als versäumte Meldungen.

Die 72-Stunden-Checkliste

Stunde 0-4: Sofortmaßnahmen

1. Vorfall dokumentieren: Wer hat wann welche Daten an welchen KI-Anbieter gesendet? Screenshots sichern, Chat-Verlauf exportieren.
2. Datenumfang feststellen: Welche Datenkategorien sind betroffen? Wie viele Betroffene? Sind besondere Kategorien (Art. 9) dabei?
3. Weitere Eingaben stoppen: Sofortige Anweisung an alle Mitarbeiter, keine weiteren Daten über das betroffene Tool zu senden.
4. DSB informieren: Ihren Datenschutzbeauftragten sofort einbinden — er koordiniert das weitere Vorgehen.

Stunde 4-24: Schadensbegrenzung

1. Löschantrag stellen: Bei OpenAI über privacy@openai.com einen Data Deletion Request nach Art. 17 DSGVO stellen. Bei anderen Anbietern: jeweiligen DPO kontaktieren.
2. Chat-Verlauf löschen: Im Benutzeraccount den betroffenen Chat-Verlauf löschen (bei ChatGPT: Chat löschen + in Settings „Data Controls" prüfen).
3. API-Logs prüfen: Falls der Vorfall über eine API geschah — Logs sichern und API-Key rotieren.
4. Risikobewertung durchführen: Dokumentieren Sie das Risiko für die Betroffenen nach den Kriterien der DSK.

Stunde 24-72: Meldung vorbereiten

1. Meldung an Aufsichtsbehörde: Über das Online-Meldeformular der zuständigen Landesdatenschutzbehörde. Benötigte Angaben nach Art. 33 Abs. 3: Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl, Name des DSB, wahrscheinliche Folgen, ergriffene Maßnahmen.
2. Betroffene informieren (Art. 34): Falls ein hohes Risiko für die Betroffenen besteht, müssen Sie diese unverzüglich informieren. Bei Finanzdaten (IBAN, Kreditkarte) oder Gesundheitsdaten ist das regelmäßig der Fall.
3. Interne Dokumentation: Vollständige Dokumentation des Vorfalls im Verarbeitungsverzeichnis (Art. 33 Abs. 5).

Meldung an die Aufsichtsbehörde: Was muss rein?

Die Meldung nach Art. 33 DSGVO muss enthalten:

• Beschreibung der Art der Verletzung (z.B. „Unbefugte Übermittlung von Kundendaten an einen US-basierten KI-Dienstleister")
• Kategorien und ungefähre Anzahl betroffener Personen
• Kategorien und ungefähre Anzahl betroffener Datensätze
• Name und Kontaktdaten des DSB
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

Tipp: Sie müssen nicht alle Informationen sofort haben. Art. 33 Abs. 4 erlaubt eine schrittweise Meldung. Melden Sie innerhalb von 72 Stunden, was Sie wissen, und reichen Sie Details nach.

Bußgelder: Was droht?

Die Bußgelder hängen von Schwere, Dauer und Kooperationsbereitschaft ab:

• Verspätete Meldung: 10.000 – 100.000 EUR (abhängig von Unternehmensgröße)
• Unterlassene Meldung: 50.000 – 500.000 EUR
• Systematische Verstöße: Bis 10 Mio. EUR oder 2% des Jahresumsatzes
• Besonders schwere Fälle (Art. 9-Daten): Bis 20 Mio. EUR oder 4% des Jahresumsatzes

Mildernde Faktoren: Schnelle Meldung, umfassende Dokumentation, sofortige Gegenmaßnahmen, Kooperation mit der Behörde, nachweisbare Präventionsmaßnahmen.

Nach dem Vorfall: Prävention aufbauen

Technische Maßnahmen

• KI-Compliance-Proxy: Automatische PII-Erkennung und Pseudonymisierung vor jeder KI-Anfrage. Verhindert Datenlecks, bevor sie entstehen.
• DLP-Policies: Data Loss Prevention-Regeln, die bestimmte Datenmuster (IBANs, Sozialversicherungsnummern) an der Netzwerkgrenze blockieren.
• Audit-Trail: Lückenlose Protokollierung aller KI-Interaktionen für Incident Response und Compliance-Nachweise.

Organisatorische Maßnahmen

• KI-Nutzungsrichtlinie: Verbindliche Policy mit klaren Dos und Donts, unterschrieben von jedem Mitarbeiter.
• Regelmäßige Schulungen: Mindestens halbjährlich, mit konkreten Beispielen für Fehlverhalten und korrektes Vorgehen.
• Incident-Response-Plan: Dokumentierter Ablauf für KI-Datenschutzvorfälle — wer macht was in den ersten 72 Stunden.

Vorlage: Meldung an die Aufsichtsbehörde

Betreff: Meldung einer Datenschutzverletzung nach Art. 33 DSGVO — Unbefugte Datenübermittlung an KI-Dienstleister

Inhaltspunkte:

1. Art der Verletzung: Unbefugte Übermittlung personenbezogener Daten an [Anbieter] durch Mitarbeitereingabe in ein KI-Tool
2. Zeitpunkt: Feststellung am [Datum, Uhrzeit], vermuteter Zeitraum der Verletzung [von-bis]
3. Betroffene: ca. [Anzahl] Personen, Kategorien: [Kunden/Mitarbeiter/Bewerber]
4. Datenkategorien: [Namen, Kontaktdaten, Finanzdaten, etc.]
5. Wahrscheinliche Folgen: [Identitätsdiebstahl / unbefugter Zugriff / Reputationsschaden]
6. Ergriffene Maßnahmen: [Löschantrag, Zugangssperre, Mitarbeiterunterweisung, technische Prävention]

Fazit

Ein KI-Datenschutzvorfall ist kein Weltuntergang — aber er erfordert schnelles, strukturiertes Handeln. Die 72-Stunden-Frist ist ernst zu nehmen. Die beste Strategie ist allerdings Prävention: Mit automatischer Pseudonymisierung erreichen sensible Daten den KI-Anbieter gar nicht erst.