dsgvo-compliance-bausteine
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/dsgvo-compliance-bausteineDer datenschutzrechtliche Teil einer KI-Nutzungsrichtlinie muss die Grundsätze der DSGVO kohärent auf den Einsatz von KI-Systemen in der Kanzlei übertragen. Da KI-Systeme regelmäßig personenbezogene Daten verarbeiten, kommt Art. 2 Abs. 1 DSGVO zur Anwendung, was umfangreiche Dokumentations- und Rechtfertigungspflichten auslöst.
SKILL.md
.github/skills/dsgvo-compliance-bausteineView on GitHub ↗
--- name: dsgvo-compliance-bausteine description: "Stellt datenschutzrechtliche Textbausteine für KI-Nutzungsrichtlinien bereit: Art. 2 Abs. 1, Art. 6, Art. 9, Art. 15, Art. 28 DSGVO; Auftragsverarbeitungsvertrag, Drittlandstransfer, Datenminimierung, Zweckbindung sowie Anonymisierung und Pseudonymisierung." --- # DSGVO-Compliance-Bausteine Der datenschutzrechtliche Teil einer KI-Nutzungsrichtlinie muss die Grundsätze der DSGVO kohärent auf den Einsatz von KI-Systemen in der Kanzlei übertragen. Da KI-Systeme regelmäßig personenbezogene Daten verarbeiten, kommt Art. 2 Abs. 1 DSGVO zur Anwendung, was umfangreiche Dokumentations- und Rechtfertigungspflichten auslöst. ## Rechtlicher Hintergrund Zentrale Normen: Art. 2 Abs. 1 DSGVO (Sachlicher Anwendungsbereich), Art. 5 DSGVO (Grundsätze der Verarbeitung: Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung), Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung, insbesondere Art. 6 Abs. 1 lit. a Einwilligung, lit. b Vertragsdurchführung, lit. f berechtigtes Interesse), Art. 9 DSGVO (besondere Kategorien sensibler Daten), Art. 15 DSGVO (Auskunftsrecht Betroffener), Art. 28 DSGVO (Auftragsverarbeitung), Art. 44 ff. DSGVO (Drittlandtransfer, Angemessenheitsbeschluss USA, Standardvertragsklauseln, Transfer Impact Assessment). Art. 82 DSGVO begründet die Schadensersatzhaftung. ## Vorgehen 1. **Anwendungsbereich prüfen**: Werden personenbezogene Daten in KI-Systeme eingegeben? Wenn ja, gilt die DSGVO vollumfänglich. 2. **Erlaubnistatbestand bestimmen**: Welcher Erlaubnisgrund nach Art. 6 DSGVO greift für den konkreten Verarbeitungsvorgang? 3. **Besondere Kategorien identifizieren**: Bei Gesundheitsdaten, Strafverfahrensdaten, ethnischer Herkunft etc. ist Art. 9 DSGVO zu beachten (Ausnahme: Art. 9 Abs. 2 lit. f für Rechtsansprüche). 4. **Auftragsverarbeitungsvertrag abschließen**: Mit jedem KI-Dienstleister, der personenbezogene Daten verarbeitet, ist ein AVV nach Art. 28 DSGVO zu schließen. 5. **Drittlandtransfer prüfen**: Bei US-amerikanischen Anbietern: Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework), Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO oder Transfer Impact Assessment (TIA) nach Art. 46 DSGVO. 6. **Datenminimierung und Anonymisierung**: Vor dem Upload von Dokumenten maximale Anonymisierung durchführen; nur die für die KI-Aufgabe notwendigen Daten eingeben. ## Vorlagentext / Bausteine **Baustein DSGVO-Grundsätze:** Die Kanzlei stellt sicher, dass beim Einsatz von KI-Systemen die Grundsätze des Art. 5 DSGVO eingehalten werden: Personenbezogene Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben (Zweckbindung) und beschränkt auf das notwendige Minimum (Datenminimierung). Mitarbeitende sind angewiesen, keine personenbezogenen Daten in KI-Systeme einzugeben, die nicht für die jeweilige Aufgabe erforderlich sind. **Baustein Erlaubnistatbestand:** Die Verarbeitung personenbezogener Daten durch KI-Systeme erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung mit dem Mandanten) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Kanzlei an effizienter Rechtsdienstleistung), soweit nicht im Einzelfall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich ist. Sensible Daten nach Art. 9 Abs. 1 DSGVO werden nur auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO verarbeitet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. **Baustein AVV:** Mit jedem KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, ist vor Aufnahme der Verarbeitung ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Der AVV muss Regelungen zu Gegenstand, Dauer, Art und Zweck der Verarbeitung, Weisungsgebundenheit des Dienstleisters, technisch-organisatorischen Maßnahmen (TOMs), Unterauftragnehmerregelungen sowie zu Löschung und Rückgabe der Daten enthalten. **Baustein Drittlandtransfer:** Beim Einsatz von KI-Anbietern mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) ist ein geeignetes Schutzniveau nach Art. 44 ff. DSGVO sicherzustellen. Bei US-amerikanischen Anbietern kommt der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Beschluss vom 10. Juli 2023) in Betracht, sofern der Anbieter nach diesem Framework zertifiziert ist. Alternativ sind EU-Standardvertragsklauseln (SCC) in Verbindung mit einem Transfer Impact Assessment (TIA) zu vereinbaren. ## Hinweise zur Aktualisierung Drittlandtransfer-Regelungen sind besonders anfällig für Änderungen (Schrems-Urteile, neue Kommissionsbeschlüsse). Der Baustein ist bei neuen EuGH-Entscheidungen oder Änderungen des EU-US-Rahmens sofort zu aktualisieren. Ebenso bei neuen Datenschutzbehörden-Entscheidungen zu konkreten KI-Anbietern. ## Aktuelle Rechtsprechung (v14.2) - EuGH, Urt. v. 16.07.2020 — C-311/18 (Schrems II), NJW 2020, 2557 Rn. 87: Drittlandtransfer-Compliance erfordert TIA; Textbausteine muessen SCC-Klausel und TIA-Pflicht abbilden. - EuGH, Urt. v. 04.05.2023 — C-300/21 (Oesterreichische Post), NJW 2023, 1985 Rn. 38: Art. 82 DSGVO — Schadensersatz bei Verstoss gegen Art. 6 und Art. 28 DSGVO; Bausteine muessen Rechtsgrundlagen-Pruefung verankern. - BGH, Urt. v. 06.07.2021 — VI ZR 40/20, NJW 2021, 2726 Rn. 12: Immaterieller Schadensersatz bei DSGVO-Verstoss — Compliance-Bausteine muessen Art. 5/6 DSGVO-Compliance gewährleisten. - EuGH, Urt. v. 14.12.2023 — C-340/21 (Natsionalna agentsia), NJW 2024, 685 Rn. 77: Art. 82 DSGVO Schadensersatz bei Datenpanne — Bausteine muessen Art. 32 TOM-Anforderungen abdecken. ## Zentrale Normen (Paragrafenkette) - Art. 6 DSGVO — Rechtsgrundlagen der Verarbeitung - Art. 9 DSGVO — Besondere Kategorien personenbezogener Daten - Art. 28 DSGVO — Auftragsverarbeitung - Art. 32 DSGVO — Technische und organisatorische Massnahmen - Art. 35 DSGVO — Datenschutz-Folgenabschaetzung ## Triage zu Beginn 1. Welche Datenkategorien werden verarbeitet — besondere Kategorien nach Art. 9 DSGVO? 2. Liegt eine Rechtsgrundlage nach Art. 6 DSGVO vor — oder ist Einwilligung erforderlich? 3. Ist ein AVV nach Art. 28 DSGVO mit dem KI-Anbieter abgeschlossen? 4. Sind die TOM nach Art. 32 DSGVO dem Risiko angemessen? 5. Loest der Anwendungsfall eine DSFA nach Art. 35 DSGVO aus? ## Output-Template — DSGVO-Compliance-Checkliste KI **Adressat:** DSB / Rechtsabteilung — Tonfall: checklisten-strukturiert ``` DSGVO-COMPLIANCE-CHECKLISTE KI-EINSATZ [DATUM] — Anwendungsfall: [BESCHREIBUNG] Art. 6 DSGVO — Rechtsgrundlage: ☑/☐ Rechtsgrundlage identifiziert: [lit. a-f] ☑/☐ Dokumentiert im VVT (Art. 30 DSGVO) Art. 9 DSGVO — Besondere Kategorien: ☑/☐ Keine besonderen Kategorien / Besondere Kategorien: Ausnahme nach Art. 9 Abs. 2: [lit.] Art. 28 DSGVO — AVV: ☑/☐ AVV abgeschlossen ☑/☐ Unterauftragsverarbeiter-Liste vorliegend Art. 32 DSGVO — TOM: ☑/☐ Verschluesselung (at rest und in transit) ☑/☐ Zugangskontrolle ☑/☐ Protokollierung Art. 35 DSGVO — DSFA: ☑/☐ DSFA nicht erforderlich (Begruendung: [BEGRUENDUNG]) ☑/☐ DSFA durchgefuehrt am [DATUM] Gesamtbewertung: [KONFORM / LUECKEN — MASSNAHMEN ERFORDERLICH] Geprueft von: [NAME DSB], [DATUM] ```
More from Klotzkette/claude-fuer-deutsches-recht
- abgrenzung-konventionelle-software-vs-ki-systemPrueft typische Falschverortungen: wann liegt konventionelle Software vor und wann ein KI-System nach Art. 3 Nr. 1 KI-VO. Abgrenzung zu Expertensystemen deterministischer Logik einfachen Entscheidungsbaeumen und klassischer Automation. Hilft bei Grenzfaellen.
- abmahnung-arbeitsrechtEntwirft und bewertet arbeitsrechtliche Abmahnungen. Lädt, wenn eine Abmahnung erstellt, inhaltlich geprüft oder deren Wirksamkeitsvoraussetzungen (Warnfunktion, Bestimmtheit, Dokumentation) beurteilt werden sollen – sowohl aus Arbeitgeber- als auch aus Arbeitnehmerperspektive.
- abmahnung-markenrecht-uwgMarkenrechtliche Abmahnung mit strafbewehrter Unterlassungserklaerung, Hamburger Brauch Vertragsstrafe, § 14 MarkenG und § 8 UWG, Kosten nach § 14 UWG-n.F. 2021. Laedt, wenn der Nutzer 'Abmahnung Marke', 'Unterlassungserklaerung', 'Vertragsstrafe Marke', 'Hamburger Brauch' oder 'Abmahnung UWG' sagt.
- abmahnung-urheberrechtPrüfung und Erstellung urheberrechtlicher Abmahnungen nach § 97a UrhG; modifizierte Unterlassungserklärung; Deckelung der Abmahnkosten im privaten Bereich (§ 97a Abs. 3 UrhG); Filesharing-Praxis; Lizenzanalogie-Schadensersatz (§ 97 Abs. 2 UrhG). Lädt bei urheberrechtlichen Abmahnungen, Unterlassungs- erklärungen, Filesharing-Fällen oder Schadensersatzforderungen nach UrhG.
- abmahnung-uwgUnterstützt beim Verfassen und Prüfen von UWG-Abmahnungen nach § 13 UWG sowie der dazugehörigen modifizierten Unterlassungserklärung mit Vertragsstrafe und der Schutzschrift. Lädt, wenn ein Mandat eine wettbewerbsrechtliche Abmahnung, eine strafbewehrte Unterlassungserklärung oder eine Schutzschrift zum Gegenstand hat.
- abwaegungsgebot-1-abs-7-baugbPruefung des Abwaegungsgebots Paragraf 1 Abs. 7 BauGB als zentrale materielle Anforderung an den Bebauungsplan. Bei der Aufstellung sind die oeffentlichen und privaten Belange gerecht gegeneinander und untereinander abzuwaegen. Vier Stufen der Abwaegungsfehler nach BVerwG seit Urteil vom 12.12.1969 4 C 105.66. Abwaegungsausfall keine Abwaegung. Abwaegungsdefizit relevante Belange nicht eingestellt. Abwaegungsfehleinschaetzung Belange falsch gewichtet. Abwaegungsdisproportionalitaet Ergebnis sprengt Spielraum. Paragraf 214 Abs. 3 BauGB filtert nur Vorgangsfehler nicht Ergebnisfehler. Vorfestlegung als Abwaegungsausfall. Formelhafte Abwaegungsdokumentation als Abwaegungsdefizit. Abwaegungsmaterial muss vollstaendig ermittelt sein.
- account-sperre-soziales-netzwerk-rechtsbehelfe-art-20-23-dsaSkill zur anwaltlichen Vertretung bei Account-Sperre oder Inhaltsentfernung durch ein soziales Netzwerk. Stufenmodell: Art. 17 Begründungspflicht; Art. 20 internes Beschwerdesystem; Art. 21 außergerichtliche Streitbeilegung; Klageweg bei Vertragsstörung (BGH III ZR 179/20 und III ZR 192/20 vom 29.07.2021) auch gegen Auslandsanbieter; vorläufiger Rechtsschutz nach §§ 935 940 ZPO; Schadensersatz; Schnittstellen zu DSGVO Auskunft Löschung.
- aenderungs-historieVerfolgt, wie sich ein Vertrag über Basisvertrag und alle Nachträge hinweg verändert hat – entweder als Gesamtüberblick aller Änderungen oder als Klausel-Rückverfolgung für eine bestimmte Bestimmung. Laden, wenn der Nutzer fragt „was hat sich in diesem Vertrag geändert\", „zeig mir die Nachtragshistorie\", „wo steht die aktuelle [Klausel]\" oder mehrere Vertragsversionen hochlädt.
- ag-vorbereitungVorbereitung auf das Aufrufen in der Arbeitsgemeinschaft (AG) oder im Seminar. Lade diesen Skill bei Anfragen wie „AG-Vorbereitung\", „Seminar vorbereiten\", „was fragt der Dozent\", „Cold Call\" oder „ich werde morgen drangenommen\".
- agb-haendlervertrag-luxusAGB im Selektivvertrieb: AGB-Kontrolle §§ 305 ff. BGB im B2B, BGH-Klauselverbote, Verbots- und Konditionsklauseln, MFN-Klauseln nach Coty II, Vertragsstrafe-Bemessung. Laedt, wenn der Nutzer 'AGB Händler', 'Händlervertrag Luxus', 'MFN-Klausel', 'AGB-Kontrolle B2B' oder 'Vertriebsvertrag AGB' sagt.