dsgvo-compliance-bausteine

star 872

DSGVO-Textbausteine für KI-Nutzungsrichtlinien in Kanzleien: Anwendungsfall Kanzlei erstellt oder aktualisiert KI-Richtlinie und benoetigt prazise datenschutzrechtliche Formulierungen. Art. 2 Abs. 1 DSGVO Anwendungsbereich, Art. 6 DSGVO Rechtsgrundlage, Art. 9 DSGVO besondere Kategorien, Art. 28 DSGVO AVV. Prüfraster Datenminimierung, Zweckbindung, Drittlandtransfer, Anonymisierung, AVV-Pflicht, Löschkonzept. Output DSGVO-Bausteine-Sammlung anpassbar für Kanzlei-Profil mit Normreferenzen. Abgrenzung zu Auftragsverarbeitungsvertrag-Prüfen und zu Anonymisierung-Pseudonymisierung im Ki Richtlinie Kanzleien: prüft konkret die einschlägigen Tatbestandsmerkmale, Fristen, Belege und Rechtsprechung. Liefert priorisierten Output mit Norm-Pinpoints, Risikoampel und nächstem Arbeitsschritt.

Klotzkette By Klotzkette schedule Updated 6/6/2026
play_arrow Run Skill in Manus View GitHub

name: dsgvo-compliance-bausteine description: "DSGVO-Textbausteine für KI-Nutzungsrichtlinien in Kanzleien: Anwendungsfall Kanzlei erstellt oder aktualisiert KI-Richtlinie und benoetigt prazise datenschutzrechtliche Formulierungen. Art. 2 Abs. 1 DSGVO Anwendungsbereich, Art. 6 DSGVO Rechtsgrundlage, Art. 9 DSGVO besondere Kategorien, Art. 28..."

DSGVO-Compliance-Bausteine

Arbeitsbereich

DSGVO-Textbausteine für KI-Nutzungsrichtlinien in Kanzleien: Anwendungsfall Kanzlei erstellt oder aktualisiert KI-Richtlinie und benoetigt prazise datenschutzrechtliche Formulierungen. Art. 2 Abs. 1 DSGVO Anwendungsbereich, Art. 6 DSGVO Rechtsgrundlage, Art. 9 DSGVO besondere Kategorien, Art. 28 DSGVO AVV. Prüfraster Datenminimierung, Zweckbindung, Drittlandtransfer, Anonymisierung, AVV-Pflicht, Löschkonzept. Output DSGVO-Bausteine-Sammlung anpassbar für Kanzlei-Profil mit Normreferenzen. Abgrenzung zu Auftragsverarbeitungsvertrag-Prüfen und zu Anonymisierung-Pseudonymisierung. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

Arbeitsweg

  • Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
  • Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
  • Tragende Normen verifizieren: BRAO, BORA, FAO, BNotO, StBerG, WPO, PAO; DSGVO — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
  • Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
  • Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

Spezialwissen

Der datenschutzrechtliche Teil einer KI-Nutzungsrichtlinie muss die Grundsätze der DSGVO kohärent auf den Einsatz von KI-Systemen in der Kanzlei übertragen. Da KI-Systeme regelmäßig personenbezogene Daten verarbeiten, kommt Art. 2 Abs. 1 DSGVO zur Anwendung, was umfangreiche Dokumentations- und Rechtfertigungspflichten auslöst.

Rechtlicher Hintergrund

Zentrale Normen: Art. 2 Abs. 1 DSGVO (Sachlicher Anwendungsbereich), Art. 5 DSGVO (Grundsätze der Verarbeitung: Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung), Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung, insbesondere Art. 6 Abs. 1 lit. a Einwilligung, lit. b Vertragsdurchführung, lit. f berechtigtes Interesse), Art. 9 DSGVO (besondere Kategorien sensibler Daten), Art. 15 DSGVO (Auskunftsrecht Betroffener), Art. 28 DSGVO (Auftragsverarbeitung), Art. 44 ff. DSGVO (Drittlandtransfer, Angemessenheitsbeschluss USA, Standardvertragsklauseln, Transfer Impact Assessment). Art. 82 DSGVO begründet die Schadensersatzhaftung.

Vorgehen

  1. Anwendungsbereich prüfen: Werden personenbezogene Daten in KI-Systeme eingegeben? Wenn ja, gilt die DSGVO vollumfänglich.
  2. Erlaubnistatbestand bestimmen: Welcher Erlaubnisgrund nach Art. 6 DSGVO greift für den konkreten Verarbeitungsvorgang?
  3. Besondere Kategorien identifizieren: Bei Gesundheitsdaten, Strafverfahrensdaten, ethnischer Herkunft etc. ist Art. 9 DSGVO zu beachten (Ausnahme: Art. 9 Abs. 2 lit. f für Rechtsansprüche).
  4. Auftragsverarbeitungsvertrag abschließen: Mit jedem KI-Dienstleister, der personenbezogene Daten verarbeitet, ist ein AVV nach Art. 28 DSGVO zu schließen.
  5. Drittlandtransfer prüfen: Bei US-amerikanischen Anbietern: Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework), Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO oder Transfer Impact Assessment (TIA) nach Art. 46 DSGVO.
  6. Datenminimierung und Anonymisierung: Vor dem Upload von Dokumenten maximale Anonymisierung durchführen; nur die für die KI-Aufgabe notwendigen Daten eingeben.

Vorlagentext / Bausteine

Baustein DSGVO-Grundsätze: Die Kanzlei stellt sicher, dass beim Einsatz von KI-Systemen die Grundsätze des Art. 5 DSGVO eingehalten werden: Personenbezogene Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben (Zweckbindung) und beschränkt auf das notwendige Minimum (Datenminimierung). Mitarbeiter sind angewiesen, keine personenbezogenen Daten in KI-Systeme einzugeben, die nicht für die jeweilige Aufgabe erforderlich sind.

Baustein Erlaubnistatbestand: Die Verarbeitung personenbezogener Daten durch KI-Systeme erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung mit dem Mandanten) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Kanzlei an effizienter Rechtsdienstleistung), soweit nicht im Einzelfall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich ist. Sensible Daten nach Art. 9 Abs. 1 DSGVO werden nur auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO verarbeitet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Baustein AVV: Mit jedem KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, ist vor Aufnahme der Verarbeitung ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Der AVV muss Regelungen zu Gegenstand, Dauer, Art und Zweck der Verarbeitung, Weisungsgebundenheit des Dienstleisters, technisch-organisatorischen Maßnahmen (TOMs), Unterauftragnehmerregelungen sowie zu Löschung und Rückgabe der Daten enthalten.

Baustein Drittlandtransfer: Beim Einsatz von KI-Anbietern mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) ist ein geeignetes Schutzniveau nach Art. 44 ff. DSGVO sicherzustellen. Bei US-amerikanischen Anbietern kommt der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Beschluss vom 10. Juli 2023) in Betracht, sofern der Anbieter nach diesem Framework zertifiziert ist. Alternativ sind EU-Standardvertragsklauseln (SCC) in Verbindung mit einem Transfer Impact Assessment (TIA) zu vereinbaren.

Hinweise zur Aktualisierung

Drittlandtransfer-Regelungen sind besonders anfällig für Änderungen (Schrems-Urteile, neue Kommissionsbeschlüsse). Der Baustein ist bei neuen EuGH-Entscheidungen oder Änderungen des EU-US-Rahmens sofort zu aktualisieren. Ebenso bei neuen Datenschutzbehörden-Entscheidungen zu konkreten KI-Anbietern.

Aktuelle Rechtsprechung (v14.2)

  • Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

  • Art. 6 DSGVO — Rechtsgrundlagen der Verarbeitung
  • Art. 9 DSGVO — Besondere Kategorien personenbezogener Daten
  • Art. 28 DSGVO — Auftragsverarbeitung
  • Art. 32 DSGVO — Technische und organisatorische Maßnahmen
  • Art. 35 DSGVO — Datenschutz-Folgenabschaetzung

Triage zu Beginn

  1. Welche Datenkategorien werden verarbeitet — besondere Kategorien nach Art. 9 DSGVO?
  2. Liegt eine Rechtsgrundlage nach Art. 6 DSGVO vor — oder ist Einwilligung erforderlich?
  3. Ist ein AVV nach Art. 28 DSGVO mit dem KI-Anbieter abgeschlossen?
  4. Sind die TOM nach Art. 32 DSGVO dem Risiko angemessen?
  5. Loest der Anwendungsfall eine DSFA nach Art. 35 DSGVO aus?

Output-Template — DSGVO-Compliance-Checkliste KI

Adressat: DSB / Rechtsabteilung — Tonfall: checklisten-strukturiert

DSGVO-COMPLIANCE-CHECKLISTE KI-EINSATZ
[DATUM] — Anwendungsfall: [BESCHREIBUNG]

Art. 6 DSGVO — Rechtsgrundlage:
☑/☐ Rechtsgrundlage identifiziert: [lit. a-f]
☑/☐ Dokumentiert im VVT (Art. 30 DSGVO)

Art. 9 DSGVO — Besondere Kategorien:
☑/☐ Keine besonderen Kategorien / Besondere Kategorien: Ausnahme nach Art. 9 Abs. 2: [lit.]

Art. 28 DSGVO — AVV:
☑/☐ AVV abgeschlossen
☑/☐ Unterauftragsverarbeiter-Liste vorliegend

Art. 32 DSGVO — TOM:
☑/☐ Verschluesselung (at rest und in transit)
☑/☐ Zugangskontrolle
☑/☐ Protokollierung

Art. 35 DSGVO — DSFA:
☑/☐ DSFA nicht erforderlich (Begruendung: [BEGRUENDUNG])
☑/☐ DSFA durchgefuehrt am [DATUM]

Gesamtbewertung: [KONFORM / LUECKEN — MASSNAHMEN ERFORDERLICH]
Geprueft von: [NAME DSB], [DATUM]

Ausformulierungspflicht und Formatstandard. Das Endprodukt wird in vollständigen, ausformulierten Sätzen geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie [Name der Mandantin] werden klar markiert, der umgebende Text bleibt vollständig.

Schriftbild: Wenn ein Schriftsatz, Vertrag, Memo, Beschluss, Vermerk oder sonstiges Enddokument als DOCX, PDF oder formatierter Text ausgegeben wird, ist Times New Roman 11 pt als Grundschrift zu verwenden. Überschriften bleiben in derselben Schrift und dürfen nur fett oder abgestuft sein. Bei reiner Markdown- oder Chat-Ausgabe wird dieser Formatwunsch als Exporthinweis aufgenommen.

Nummerierung: Gliederung ausschließlich dezimal (1, 1.1, 1.1.1 und so weiter). Keine römischen Ziffern, keine Buchstaben- oder Mischgliederung.

Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill dsgvo-compliance-bausteine
Repository Details
star Stars 872
call_split Forks 114
navigation Branch main
article Path SKILL.md
More from Creator
Klotzkette
Klotzkette Explore all skills →