KI-Nutzung mit anymize – Einordnung für den Datenschutzbeauftragten

• anymize anonymisiert personenbezogene Daten, BEVOR sie ein KI-Modell erreichen. Verarbeitung und Hosting erfolgen in Deutschland.
• Auf vollständig anonymisierte Daten ist die DSGVO nicht anwendbar (Erwägungsgrund 26 DSGVO).
• Es findet kein Drittlandtransfer personenbezogener Daten statt (kein US-CLOUD-Act-Zugriff, kein Schrems-II-Risiko).
• Im optionalen Klartext-Betrieb (ohne Anonymisierung) greifen AVV (Art. 28) und die TOMs (Art. 32); die Datenhaltung bleibt in Deutschland.

• § 25a / § 25b KWG — Ordnungsgemäße Geschäftsorganisation und Anforderungen an Auslagerungen; das Institut bleibt voll verantwortlich.
• MaRisk AT 9 — Vorgelagerte Risikoanalyse, Wesentlichkeitseinstufung und Auslagerungsregister.
• DORA – VO (EU) 2022/2554, Art. 28 — IKT-Drittparteienrisiko: Informationsregister, Audit-/Exit-Rechte (anwendbar seit 17.01.2025).
• BAIT — IT-spezifische Konkretisierung der BaFin zu IT-Auslagerungen und Fremdbezug.

Ohne Anonymisierung gelangen Kundendaten zum Dienstleister. KI-Tools mit US-Cloud-Verarbeitung sind dann aufsichtsrechtlich nur mit erheblichem Zusatzaufwand tragbar (DORA Art. 28, § 25b KWG), kollidieren mit dem Bankgeheimnis und exponieren Daten gegenüber dem US-CLOUD-Act.

Kontodaten, Namen und Transaktionsdetails werden anonymisiert, bevor sie die KI sehen. Das Bankgeheimnis bleibt gewahrt, der Drittlandtransfer entfällt – die aufsichtsrechtlichen Pflichten bleiben formal, sind aber durch DE-Hosting und Datenminimierung deutlich leichter erfüllbar.

• ☐AVV nach Art. 28 DSGVO liegt vor (Muster wird bereitgestellt).
• ☐Eintrag im Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30).
• ☐DSFA-Schwelle geprüft und dokumentiert (Art. 35).
• ☐TOMs gemäß Art. 32 inkl. Anonymisierung umgesetzt.
• ☐KI-Kompetenz der Mitarbeitenden sichergestellt (Art. 4 EU AI Act, seit 02.02.2025).

Manuel Langeheinecke
digitalNORD GmbH, Kiel, Schleswig-Holstein
Kontakt: datenschutz@anymize.ai