Quellenlage
Betroffenenrechte bei KI-Verarbeitung: Auskunft, Berichtigung und Widerspruch praktisch umsetzen
Abdulmejd Kelil Shifa · 19. November 2025 · 7 Min.
Eine E-Mail genügt: Ein Kunde verlangt Auskunft darüber, welche Daten das Unternehmen über ihn verarbeitet. Für die Kernsysteme ist das Routine, das CRM kennt den Datensatz, die Buchhaltung ihre Belege. Aber was ist mit den KI-Workflows. Die Anfrage des Kunden ist durch einen Assistenten gelaufen, sein Beschwerdetext wurde automatisch zusammengefasst, seine Dokumente liegen als Suchindex in einer Vektordatenbank. Die Betroffenenrechte der DSGVO, also Auskunft, Berichtigung, Löschung und Widerspruch, gelten für all das gleichermaßen.
Genau hier zeigt sich, ob ein Unternehmen seine KI-Verarbeitung im Griff hat. Wer erst bei der ersten Anfrage anfängt zu suchen, wo überall Daten der Person liegen, wird die gesetzlichen Fristen kaum halten. Wer die Auskunftsfähigkeit dagegen von Anfang an mitgebaut hat, beantwortet die Anfrage mit vertretbarem Aufwand. Der Unterschied entsteht nicht im Moment der Anfrage, sondern Monate vorher, beim Design der Systeme.
Auskunftsfähigkeit von Anfang an mitdenken
Das Auskunftsrecht verlangt, dass ein Unternehmen sagen kann, welche Daten es zu einer Person verarbeitet, zu welchen Zwecken, mit welchen Empfängern und wie lange. Für KI-Workflows setzt das zwei Dinge voraus, die man nachträglich nur mühsam einzieht.
Erstens: Zuordenbarkeit. Konversationsverläufe, Logs und Indexeinträge müssen sich einer Person zuordnen lassen, wenn sie deren Daten enthalten. Das klingt paradox, weil man aus Datenschutzsicht gern möglichst wenig verknüpft. Aber eine Ablage, in der personenbezogene Inhalte liegen, ohne dass man sie je wiederfinden kann, ist keine Datensparsamkeit, sondern ein Kontrollverlust. Die Lösung liegt in der Struktur: Wo KI-Anwendungen kundenbezogen arbeiten, sollten Sitzungen und abgeleitete Daten eine Kundenkennung tragen. Wo das nicht möglich ist, etwa bei Freitexten, hilft eine klare Begrenzung der Aufbewahrung, damit der nicht durchsuchbare Bestand klein bleibt.
Zweitens: eine Speicherorte-Landkarte. Dieselbe Inventur, die ein Löschkonzept braucht, trägt auch die Auskunft: eine gepflegte Übersicht, welche KI-Workflows welche Daten wo ablegen. Mit ihr wird aus der Suche ein Abarbeiten, ohne sie wird jede Anfrage zur Forschungsarbeit.
Zur Auskunft gehört bei KI-Verarbeitung auch die Information über die Logik: Betroffene sollen in verständlicher Form erfahren können, dass und wie KI-Systeme an der Verarbeitung beteiligt sind. Eine kurze, ehrliche Beschreibung des Ablaufs genügt in den meisten Fällen, etwa dass eingehende Anfragen automatisch kategorisiert und Antwortentwürfe maschinell erstellt, aber von Mitarbeitern geprüft werden.
Berichtigung und Löschung über alle Speicherorte orchestrieren
Verlangt eine Person die Berichtigung falscher Daten oder die Löschung, reicht die Korrektur im führenden System nicht. Der Anspruch erstreckt sich auf die Kopien in den KI-Workflows. Praktisch heißt das: Eine Berichtigung im CRM muss nachgelagerte Bestände erreichen, sonst arbeitet der KI-Assistent munter mit dem alten Stand weiter, weil die Vektordatenbank noch das unkorrigierte Dokument indexiert hat.
Bewährt hat sich ein zentraler Prozess mit einer einfachen Logik: Jede Berichtigung und jede Löschung wird an einer Stelle erfasst und läuft von dort durch eine definierte Liste von Zielsystemen. Für jedes Ziel ist festgelegt, wie die Umsetzung erfolgt, automatisch über eine Schnittstelle, durch einen Bereinigungslauf oder als manueller Schritt mit Zuständigem. Zwei Punkte verdienen besondere Aufmerksamkeit:
- Abgeleitete Daten: Zusammenfassungen, Kategorisierungen und Embeddings, die aus den ursprünglichen Daten erzeugt wurden, müssen bei Berichtigung neu erzeugt und bei Löschung mit entfernt werden.
- Anbieterseite: Liegen Daten beim Modell-Anbieter, etwa in dessen Protokollen, muss der Auftragsverarbeitungsvertrag regeln, wie Lösch- und Berichtigungsersuchen dorthin weitergegeben werden. Das prüft man bei Vertragsschluss, nicht beim ersten Ernstfall.
Mit Widersprüchen gegen KI-gestützte Verarbeitung umgehen
Betroffene können der Verarbeitung ihrer Daten in bestimmten Konstellationen widersprechen, und die DSGVO setzt automatisierten Einzelentscheidungen mit erheblicher Wirkung enge Grenzen. Für die Praxis ergeben sich daraus zwei Anforderungen.
Zum einen braucht es die technische Möglichkeit der Ausnahme: Wenn eine Person der KI-gestützten Verarbeitung ihrer Anfragen widerspricht und der Widerspruch durchgreift, muss der Prozess sie an der KI vorbeiführen können. Ein System, das ausnahmslos jede Anfrage durch den Assistenten schleust, kann diesen Widerspruch nicht bedienen. Eine schlichte Markierung am Kundendatensatz, die den KI-Schritt überspringt und den Fall direkt einem Mitarbeiter zuweist, löst das elegant.
Zum anderen entschärft menschliche Beteiligung viele Konflikte von vornherein: Wo KI-Ergebnisse als Entwurf dienen und eine Person die Entscheidung trifft, liegt keine ausschließlich automatisierte Entscheidung vor, und die Diskussion verschiebt sich von der Zulässigkeit zur Qualität. Das ist einer der Gründe, warum Freigabeschritte in KI-Workflows nicht nur eine Qualitätsmaßnahme sind, sondern auch eine rechtliche Entlastung. Die genaue Bewertung hängt vom Einzelfall ab und gehört bei kritischen Prozessen fachkundig geprüft.
Antwortprozesse mit Zuständigkeiten und Fristen aufsetzen
Betroffenenanfragen scheitern in der Praxis selten am Rechtsverständnis und oft an der Organisation: Die Anfrage bleibt in einem Postfach liegen, niemand fühlt sich zuständig, die Frist verstreicht. Ein tragfähiger Prozess ist unspektakulär: ein definierter Eingangskanal und die Anweisung an alle Teams, Anfragen dorthin weiterzuleiten, egal wo sie eingehen. Eine verantwortliche Stelle, die Fristen überwacht und den Durchlauf koordiniert. Vorbereitete Bausteine für die Antwort, inklusive der Beschreibung der KI-Workflows, damit nicht jede Auskunft neu formuliert wird. Und ein kurzer Probelauf: einmal intern eine fiktive Anfrage durchspielen und messen, wie lange die vollständige Beantwortung dauert. Das Ergebnis zeigt zuverlässig, wo die Lücken liegen.
Fazit
Betroffenenrechte bei KI-Verarbeitung sind keine neue Rechtskategorie, aber eine neue organisatorische Herausforderung: Dieselben Rechte erstrecken sich auf mehr Speicherorte, abgeleitete Daten und externe Anbieter. Tragfähig wird die Umsetzung durch Vorarbeit: Zuordenbarkeit und eine Speicherorte-Landkarte beim Systemdesign, ein zentraler Prozess für Berichtigung und Löschung, eine technische Ausnahme für Widersprüche und ein geübter Antwortprozess mit klaren Zuständigkeiten. Wer das etabliert hat, erlebt die nächste Auskunftsanfrage als Routinefall und nicht als Krisenprojekt.
Sprechen wir über Ihr Vorhaben.
Unverbindliches Erstgespräch. Wir melden uns zeitnah bei Ihnen.
Erstgespräch anfragen →