KI-Nutzung mit anymize – Einordnung für den Datenschutzbeauftragten

• anymize anonymisiert personenbezogene Daten, BEVOR sie ein KI-Modell erreichen. Verarbeitung und Hosting erfolgen in Deutschland.
• Auf vollständig anonymisierte Daten ist die DSGVO nicht anwendbar (Erwägungsgrund 26 DSGVO).
• Es findet kein Drittlandtransfer personenbezogener Daten statt (kein US-CLOUD-Act-Zugriff, kein Schrems-II-Risiko).
• Im optionalen Klartext-Betrieb (ohne Anonymisierung) greifen AVV (Art. 28) und die TOMs (Art. 32); die Datenhaltung bleibt in Deutschland.

• DSGVO Art. 6 · § 25 TDDDG — Kunden-/Bestelldaten; Tracking/Cookies nur mit Einwilligung.
• § 7 UWG — Marketing-Einwilligung (Double-Opt-in) für Newsletter und Telefonwerbung.
• PCI DSS v4.0 — Schutz von Karteninhaberdaten; gespeicherte Kartennummern müssen unlesbar sein.
• § 147 AO / GoBD — Revisionssichere Aufbewahrung (Buchungsbelege i. d. R. 8 Jahre).

Ohne Anonymisierung gelangen Kunden- und Zahlungsdaten in die KI. Karteninhaberdaten in US-Cloud-Tools verstoßen gegen PCI DSS und das Drittland-Verbot der DSGVO.

Bestell-, Kunden- und Supportdaten werden vor der KI-Nutzung (Produkttexte, Service-Bots, Auswertungen) anonymisiert; Zahlungs-/Karteninhaberdaten gelangen nicht in Modelle. DE-Hosting verhindert den PII-Transfer.

• ☐AVV nach Art. 28 DSGVO liegt vor (Muster wird bereitgestellt).
• ☐Eintrag im Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30).
• ☐DSFA-Schwelle geprüft und dokumentiert (Art. 35).
• ☐TOMs gemäß Art. 32 inkl. Anonymisierung umgesetzt.
• ☐KI-Kompetenz der Mitarbeitenden sichergestellt (Art. 4 EU AI Act, seit 02.02.2025).

Manuel Langeheinecke
digitalNORD GmbH, Kiel, Schleswig-Holstein
Kontakt: datenschutz@anymize.ai