DSGVO-Compliance

Rule of Two: DSGVO-Leitplanken für KI-Agenten

von

Rule of Two: DSGVO-Leitplanken für KI-Agenten

Die spanische Datenschutzbehörde (AEPD) hat im Februar 2026 einen 71-seitigen Leitfaden zur Nutzung von KI-Agenten veröffentlicht. Darin beschreibt sie eine simple, aber äußerst wirksame Regel für den sicheren Einsatz von KI-Agenten:

die „Rule of Two“.

Was ist die Rule of Two?

Die Grundregel ist denkbar einfach

Ein KI-Agent sollte maximal 2 von 3 dieser Eigenschaften gleichzeitig haben:  

  1. Verarbeitung nicht-vertrauenswürdiger Eingaben
    z.B. User-Prompts, E-Mails von außen, Formulardaten aus dem Web
  2. Zugriff auf sensible Daten
    z.B. Kundendatenbank, Gesundheitsdaten, Finanzdaten, Personaldaten
  3. Autonome Aktionen mit Personenbezug
    z.B. automatisch E-Mails versenden, Zahlungen auslösen, Daten löschen, Verträge abschließen

Die Kombination aller drei ohne menschliche Aufsicht ist zu vernmeiden:

Vereint ein KI-Agent alle drei Eigenschaften, werden weitere Maßnahmen las Minimum erforderlich:

  • Zusätzliche Sicherheitsmaßnahmen
    Verstärkte Authentifizierung, Prompt-Injection-Schutz, Input-Validierung, Anomalie-Erkennung
  • Verpflichtende menschliche Aufsicht (Human-in-the-Loop)
    Kritische Aktionen müssen vor der Ausführung von Menschen geprüft und freigegeben werden
  • Erweiterte Dokumentation für DSGVO-Compliance
    Detaillierte Risikoanalyse, Datenschutz-Folgenabschätzung (DSFA), Aufzeichnung aller Entscheidungen

Die Rule of Two wird zwar für sich gesehen nicht allein ausreichen, um für eine DSGVO-konformität bei dem Einsatz von KI-Agenten zu sorgen, sie ist aber mindestens mehr als nur eine technische Empfehlung.

Unternehmen, die diese Regel bei der Entwicklung und dem Betrieb von KI-Agenten berücksichtigen, reduzieren nicht nur rechtliche Risiken, sondern schaffen auch vertrauenswürdigere Systeme für ihre Nutzer. Die „Rule of Two“ gehört zumindest für die Entwicklung von KI-Agenten, auch in zur KI-Kompetenz.

Quelle und weiterführende Informationen

Die vollständigen Leitlinien der AEPD finden Sie hier:
Agentic Artificial Intelligence – AEPD Guide (PDF)

Autor

Matthias Rosa ist Rechtsanwalt und Fachanwalt für IT-Recht und schwerpunktmäßig im Datenschutz-, KI- und Datenrecht tätig.

Vereinbaren Sie jetzt Ihren Beratungstermin! https://varyfy.de/kontakt/