KI-Nutzung mit anymize – Einordnung für den Datenschutzbeauftragten

• anymize anonymisiert personenbezogene Daten, BEVOR sie ein KI-Modell erreichen. Verarbeitung und Hosting erfolgen in Deutschland.
• Auf vollständig anonymisierte Daten ist die DSGVO nicht anwendbar (Erwägungsgrund 26 DSGVO).
• Es findet kein Drittlandtransfer personenbezogener Daten statt (kein US-CLOUD-Act-Zugriff, kein Schrems-II-Risiko).
• Im optionalen Klartext-Betrieb (ohne Anonymisierung) greifen AVV (Art. 28) und die TOMs (Art. 32); die Datenhaltung bleibt in Deutschland.

• Landesdatenschutzgesetze (LDSG) — Konkretisieren die DSGVO für öffentliche Stellen; Aufgabenübertragung an Private nur unter besonderen Voraussetzungen.
• § 203 Abs. 2 StGB — Amtsträger unterliegen der Geheimhaltung; ungesicherte Cloud-KI kann den Straftatbestand erfüllen.
• DSK-Orientierungshilfe KI (06.05.2024) — Leitlinie u. a. zu Anonymisierung, Datenminimierung und Transparenz – ausdrücklich auch für Behörden.
• OZG 2.0 · EVB-IT — Verantwortlichkeiten bei IT-Dienstleistern und verbindliche Vertragsmuster der öffentlichen Hand.

Ohne Anonymisierung gelangen Bürger- und Aktendaten in die KI. Bei US-Cloud-Diensten kann das § 203 Abs. 2 StGB erfüllen und ist mit Landesdatenschutz sowie dem Drittland-Verbot regelmäßig nicht vereinbar.

Melde-, Sozial- und Aktendaten werden anonymisiert und in Deutschland verarbeitet. Keine Offenbarung nach § 203 Abs. 2 StGB, kein Drittlandtransfer, und die Datenminimierung der DSK-Orientierungshilfe ist erfüllt.

• ☐AVV nach Art. 28 DSGVO liegt vor (Muster wird bereitgestellt).
• ☐Eintrag im Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30).
• ☐DSFA-Schwelle geprüft und dokumentiert (Art. 35).
• ☐TOMs gemäß Art. 32 inkl. Anonymisierung umgesetzt.
• ☐KI-Kompetenz der Mitarbeitenden sichergestellt (Art. 4 EU AI Act, seit 02.02.2025).

Manuel Langeheinecke
digitalNORD GmbH, Kiel, Schleswig-Holstein
Kontakt: datenschutz@anymize.ai