KI-Nutzung mit anymize – Einordnung für den Datenschutzbeauftragten

• anymize anonymisiert personenbezogene Daten, BEVOR sie ein KI-Modell erreichen. Verarbeitung und Hosting erfolgen in Deutschland.
• Auf vollständig anonymisierte Daten ist die DSGVO nicht anwendbar (Erwägungsgrund 26 DSGVO).
• Es findet kein Drittlandtransfer personenbezogener Daten statt (kein US-CLOUD-Act-Zugriff, kein Schrems-II-Risiko).
• Im optionalen Klartext-Betrieb (ohne Anonymisierung) greifen AVV (Art. 28) und die TOMs (Art. 32); die Datenhaltung bleibt in Deutschland.

• MsbG §§ 49 ff. — Abschließende, BDSG-vorrangige Regeln zur Verarbeitung von Smart-Meter-Daten; strikte Zweckbindung.
• §§ 28 ff. BSIG (NIS-2-UmsG) — Einstufung als besonders wichtige/wichtige Einrichtung; Risikomanagement und Meldepflichten (in Kraft seit 06.12.2025).
• §§ 5c–5e EnWG — Sektorspezifische IT-Sicherheit (IT-Sicherheitskatalog) und Geschäftsleitungs-Haftung.
• § 6a EnWG · KI-VO Anhang III Nr. 2 — Informatorische Entflechtung; KI als Sicherheitsbauteil kritischer Infrastruktur ist Hochrisiko.

Ohne Anonymisierung gelangen Smart-Meter- und Netzdaten in die KI. US-Cloud-Verarbeitung kollidiert mit der MsbG-Zweckbindung und erhöht das KRITIS-Risiko.

Verbrauchs- und Kundendaten werden vor der KI-Analyse (Lastprognose, Service, Abrechnung) anonymisiert – konform zur MsbG-Zweckbindung. DE-Hosting unterstützt die KRITIS-Anforderungen.

• ☐AVV nach Art. 28 DSGVO liegt vor (Muster wird bereitgestellt).
• ☐Eintrag im Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30).
• ☐DSFA-Schwelle geprüft und dokumentiert (Art. 35).
• ☐TOMs gemäß Art. 32 inkl. Anonymisierung umgesetzt.
• ☐KI-Kompetenz der Mitarbeitenden sichergestellt (Art. 4 EU AI Act, seit 02.02.2025).

Manuel Langeheinecke
digitalNORD GmbH, Kiel, Schleswig-Holstein
Kontakt: datenschutz@anymize.ai