DSGVO Artikel 6 — Rechtmäßigkeit der Verarbeitung
Hinweis: Dieser Explainer ist informativ; Framework-Referenzen sind nie eine Compliance-Garantie — stimmen Sie Ihr Programm mit Ihrer Rechtsberatung ab.
Was Artikel 6 verlangt
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der Rechtsgrundlagen aus Artikel 6 greift — Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. Keine Grundlage, keine Verarbeitung. Und die Grundlage muss für die konkrete Verarbeitung bestehen, nicht für das Unternehmen im Allgemeinen.
Was das für Ihr Unternehmen bedeutet
Ihr Datenschutzprogramm hat Rechtsgrundlagen für CRM, HR-System und Support-Desk etabliert. Ziemlich sicher aber nicht für „Beschäftigte fügen Kundendaten in einen Consumer-KI-Chatbot ein" — diese Offenlegung ist ein neuer Verarbeitungsvorgang, oft an einen neuen Verantwortlichen, den niemand geprüft hat. Schatten-KI-Nutzung ist DSGVO-technisch Verarbeitung ohne entschiedene Grundlage.
Wie Shield sie operationalisiert
Die sauberste Antwort auf grundlose Verarbeitung: Sie findet nicht statt. Die Vorlagen Transform PII before it reaches AI tools und Transform financial data (referenziert auf Art. 6) entfernen personenbezogene Daten auf dem Gerät aus Prompts und Pastes — die ungeprüfte Offenlegung an den KI-Anbieter passiert nicht, während freigegebene, geprüfte KI-Workflows unberührt weiterlaufen. Discovery hält das Tool-Inventar explizit — Ihr Datenschutz-Team bewertet reale Nutzung statt Vermutungen.
Beide Vorlagen sind ab Tag eins in jeder neuen Organisation aktiv; verwaltet in der Vorlagen-Bibliothek.
Das Ergebnis
Die Verarbeitung, die Ihre Rechtsgrundlagen nicht decken, wird an der Quelle verhindert — und die geprüfte läuft normal weiter, mit einem Audit-Trail, der zeigt, welche Kontrolle wann gegriffen hat.
War dieser Artikel hilfreich?
Verwandte Artikel
Richtlinien-Vorlagen und Bundles anwenden
Compliance-fertige Richtlinien aus der Vorlagen-Bibliothek ausrollen — EU AI Act, DSGVO, DIFC, Korea AI Basic Act, US AI in Employment sowie ISO-42001/NIST-Bundles.
Artikel lesenDSGVO Artikel 5 — Grundsätze der Verarbeitung
Datenminimierung, Zweckbindung, Rechenschaftspflicht — die Grundsätze aus Artikel 5 gelten voll, wenn Beschäftigte personenbezogene Daten in KI-Tools einfügen. Wie Shield sie an der Prompt-Grenze durchsetzt.
Artikel lesenDSGVO Artikel 32 — Sicherheit der Verarbeitung
Geeignete technische und organisatorische Maßnahmen — auch für den KI-Kanal: wie Secrets-Blocking, PII-Redaktion und Quellcode-Warnungen auf Artikel 32 einzahlen.
Artikel lesenEU AI Act Artikel 26 — Betreiberpflichten
Artikel 26 definiert Ihre Pflichten beim Einsatz von Hochrisiko-KI — anwendbar ab Dezember 2027 gemäß Digital Omnibus. Was die Absätze (1), (5) und (6) verlangen und wie Shield Sie heute vorbereitet.
Artikel lesenNoch Fragen?
Schicken Sie uns die Details — wir antworten innerhalb eines Werktags.