DSGVO-TOMs sind für KI-Agenten oft nicht mehr belastbar
Zehn Jahre nach Inkrafttreten der Datenschutz-Grundverordnung geraten viele Datenschutzkonzepte unter Druck. Vor allem technisch-organisatorische Maßnahmen stammen oft aus einer Zeit vor autonomen KI-Agenten – und könnten Prüfungen bald nicht mehr standhalten.
Die Datenschutz-Grundverordnung (DSGVO) gilt seit Jahren als feste Grundlage für den Datenschutz in Unternehmen und Behörden. Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und Meldeprozesse sind vielerorts etabliert. Doch ausgerechnet bei den technisch-organisatorischen Maßnahmen (TOM) entsteht eine gefährliche Lücke: Viele TOM-Dokumentationen wurden zwischen 2018 und 2022 erstellt – also vor dem breiten Einsatz generativer und agentischer Künstlicher Intelligenz (KI).
Alte Annahmen treffen auf neue Akteure
Artikel 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“. Dazu zählen etwa Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit. Diese Logik setzt jedoch voraus, dass alle Akteure vorhersehbar handeln: Mitarbeiter mit klarer Rolle, Service-Konten mit definiertem Auftrag oder Anwendungen mit festen Funktionen.
Genau diese Voraussetzung bricht bei autonomen KI-Agenten weg. Wird ein Agent durch Prompt Injection manipuliert, folgt er nicht zwingend der Zweckbindung seiner Sitzung. Eine Retrieval-Augmented-Generation-Pipeline (RAG) kann mehr Kontext aus einem Vektorspeicher ziehen, als für die Anfrage erforderlich wäre. Und ein Modell, das mit personenbezogenen Daten feinjustiert wurde, kann diese Informationen später in Antworten reproduzieren, ohne dass der Verantwortliche dies zuverlässig erkennt.
Damit fehlen vielen älteren TOM-Dokumentationen nicht nur einzelne Kontrollen, sondern ein ganzes Vokabular für neue Risikoszenarien.
Artikel 32 braucht eine neue technische Übersetzung
Eine belastbare Umsetzung von Artikel 32 muss heute tiefer ansetzen als auf der Modell- oder Anwendungsebene. Entscheidend ist die Datenebene, denn Modelle, Laufzeitumgebungen und Prompts können ersetzt, aktualisiert oder manipuliert werden.
Erstens muss der Zugriff eines KI-Agenten auf personenbezogene Daten an eine konkrete natürliche Person gebunden sein. Nicht die Agent-Identität darf entscheidend sein, sondern die authentifizierte Sitzung des Nutzers. So wird das klassische Konzept „autorisiertes Personal“ in die KI-Welt übertragen.
Zweitens reicht eine rein rollenbasierte Zugriffskontrolle (RBAC) nicht mehr aus. Attributbasierte Zugriffskontrolle (ABAC) kann zusätzliche Faktoren berücksichtigen: Dokumentenklassifizierung, Zweck der Sitzung, Zuständigkeitsbereich oder Einwilligung der betroffenen Person. Damit wird Zweckbindung technisch durchsetzbar.
Drittens braucht es manipulationssichere Audit-Trails. Wenn Protokolle nur auf Modell- oder Laufzeitebene liegen, verschwinden sie möglicherweise mit dem Austausch eines Systems. Artikel 5 DSGVO verlangt jedoch, dass Verantwortliche die Einhaltung „nachweisen können“ – auch Jahre später.
Die Prüfung trifft die Architektur
Die entscheidende Frage lautet künftig nicht mehr, ob ein Unternehmen TOM-Dokumente besitzt. Sondern ob seine Architektur das dokumentierte Schutzniveau tatsächlich erzwingt. Aktuelle Zahlen zeigen den Handlungsdruck: 63 Prozent der Organisationen können Zweckbeschränkungen für KI-Agenten nicht durchsetzen, 60 Prozent einen fehlverhaltenden Agenten nicht zeitnah terminieren und 55 Prozent KI-Systeme nicht vom übrigen Netzwerkzugang isolieren.
Damit wird die zweite DSGVO-Dekade zur Architekturprüfung. Wer TOMs weiter wie statische Richtlinien behandelt, riskiert, dass sie bei der nächsten Prüfung nicht mehr tragen. Unternehmen sollten ihre Maßnahmen deshalb jetzt an KI-Agenten, RAG-Systeme und manipulationssichere Nachweise anpassen – bevor Aufsichtsbehörden diese Lücken selbst benennen.
Marc ten Eikelder, Head of EMEA Marketing und Sr. Director of Industry Research bei Kiteworks
