anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

Garante Italien: Die DPA, die ChatGPT verboten hat...

Der Garante Italiens verhängte im Dezember 2024 eine Geldstrafe von 15 Millionen Euro gegen OpenAI und verbot 2023 vorübergehend ChatGPT.

June 5, 20267 min Lesezeit
Garante ItalyItalian GDPRChatGPT banAI compliance ItalyOpenAI fine

Italiens Garante: KI und Datenschutz-Compliance

Aktualisiert für 2026

Die Durchsetzungsbilanz des Garante

Italiens Datenschutzbehörde ist der Garante per la protezione dei dati personali. Er ist Europas aktivster KI-Regulierer. Zwei große Maßnahmen prägen seinen Ansatz.

März 2023 — ChatGPT-Sperre: Der Garante wies OpenAI an, ChatGPT für Nutzer in Italien auszusetzen. Die Behörde fand keine gültige Rechtsgrundlage für die Datenverarbeitung. Sie fand auch keine Altersüberprüfung für Minderjährige. OpenAI kam dem nach. Es fügte Alterskontrollen, eine Opt-out-Option für das Training und eine Datenschutzerklärung auf Italienisch hinzu. Der Dienst wurde im April 2023 wiederhergestellt.

Dezember 2024 — Bußgeld von 15 Mio. €: Der Garante verhängte gegen OpenAI ein Bußgeld von 15 Millionen Euro. Drei Verstöße führten zu dem Bußgeld. Erstens: keine gültige Rechtsgrundlage. Zweitens: mangelnde Transparenz über die Trainingsnutzung. Drittens: keine Alterskontrolle für Minderjährige.

Laufende Ermittlungen (2024–2025): Die Behörde leitete Untersuchungen gegen Replika, Worldcoin und mehrere KI-Startups ein.

Italien ist der risikoreichste Standort in der EU für den KI-Einsatz. Jedes Tool, das personenbezogene Daten ohne klare Konformitätsmaßnahmen verarbeitet, schafft rechtliche Risiken. Handeln Sie früh.

Was der Garante fordert

Die Durchsetzungsmaßnahmen klären, was Unternehmen bei der Nutzung von KI-Tools tun müssen.

Rechtsgrundlage: Jedes KI-Tool benötigt eine dokumentierte Rechtsgrundlage gemäß DSGVO Artikel 6. Die Behörde zweifelt an „berechtigtem Interesse" für KI-Training. Ausdrückliche Einwilligung oder Vertragserforderlichkeit sind die bevorzugten Grundlagen.

Datenverarbeitungsverträge: Unternehmen, die KI-Tools von Drittanbietern als Auftragsverarbeiter nutzen, müssen DSGVO-konforme Auftragsverarbeitungsverträge haben. Die Behörde prüfte, ob Anbieter-AVVs die Datenbeschränkungen abdecken. Lücken ziehen Prüfungen nach sich.

Eingabekontrollen: Der Fokus der Behörde auf unrechtmäßige Verarbeitung erfordert Eingabekontrollen. Technische Filter, die personenbezogene Daten entfernen, bevor sie ein KI-Modell erreichen, lösen das Kernproblem. Weitere Details zu unserer Konformitätsdokumentation.

Altersüberprüfung: KI-Systeme, die für Verbraucher zugänglich sind, müssen das Alter von Minderjährigen überprüfen. Diese Regel folgte direkt aus der ChatGPT-Sperre.

Klare Hinweise: Datenschutzerklärungen müssen auf Italienisch sein. Sie müssen erklären, wie das KI-System persönliche Daten nutzt, einschließlich der Nutzung für das Training.

Die 63-Prozent-Lücke

Eine Garante-Umfrage 2024 ergab, dass 63 % der Unternehmen keine DSGVO-konformen KI-Nutzungsrichtlinien haben. Diese Lücke wächst, da die Behörde ihr KI-Programm ausweitet.

DSB-Anmeldungen stiegen nach der ChatGPT-Sperre um 340 %. Unternehmen erkannten, dass KI-Einsatz ohne DSB-Beteiligung rechtliche Risiken birgt. Ein DSB allein reicht aber nicht. Schriftliche Richtlinien ohne technische Kontrollen lassen sich schwer durchsetzen. Die Behörde zielt genau auf diese Lücke: Firmen, die sich auf die Eigenverantwortung der Mitarbeiter verlassen. Unsere Schutz-Übersicht zeigt, wie Kontrollen Richtlinien stützen.

Technische Umsetzung

Für Unternehmen mit Nutzern in Italien umfasst das konforme technische Setup Folgendes.

Vorgelagerte PII-Filterung: Eine Chrome-Erweiterung oder ein MCP-Server sitzt zwischen Nutzer und KI-Modell. Er entfernt personenbezogene Daten, bevor sie das Modell erreichen. Keine persönlichen Daten bedeuten keine unrechtmäßige Verarbeitung. Das ist die Kernlösung.

Lokale Entitätstypen: Standard-PII-Tools übersehen lokale Ausweistypen. Ihr Tool muss folgende erkennen:

  • Codice fiscale — 16-stelliger nationaler ID-Code
  • Partita IVA — 11-stellige Unternehmensnummer
  • Carta d'identità — nationaler Personalausweis
  • Tessera sanitaria — Krankenversicherungskarte mit codice fiscale
  • Italienische IBAN-Formate

Das codice fiscale ist der wichtigste nationale Identifikator. Ihn zu übersehen hinterlässt eine kritische Lücke. Unser Entitätsleitfaden bietet vollständige Abdeckungsdetails. Testen Sie mit echten lokalen Daten.

Prüfpfad: Garante-Inspektionen verlangen Nachweise über technische Kontrollen. Ein zentrales Protokoll zeigt, dass die vorgelagerte Filterung angewendet wurde.

AVV-Dokumentation: Für jeden KI-Anbieter: führen Sie eine abgeschlossene AVV-Prüfung. Notieren Sie Datenbeschränkungen und Trainingskonditionen. Bewahren Sie diese leicht auffindbar auf. Unser FAQ beantwortet häufige AVV-Fragen.

Branchenspezifische Schwerpunkte

Der Garante konzentriert sich auf bestimmte Sektoren.

Gesundheitswesen: Gesundheitsdaten sind hochriskant gemäß DSGVO Artikel 9. Jedes KI-Tool, das Patientendaten verarbeitet, benötigt eine ausdrückliche Rechtsgrundlage, einen AVV und starke Schutzmaßnahmen. KI-Diagnose- und Dokumentationstools erfordern DPIAs.

Finanzdienstleistungen: Verbraucher-Profiling mit KI steht unter Beobachtung. Banken und Finanzunternehmen, die KI für Kreditentscheidungen oder Marketing nutzen, müssen DPIAs durchführen und Erklärbarkeitskontrollen einführen.

Personalwesen: KI-Tools für Einstellung, Beurteilungen und Mitarbeiterkontrolle erfordern DPIAs. Der Garante hat 2023 spezifische Leitlinien zur Mitarbeiterüberwachung veröffentlicht.

Bildung: Schul-KI-Tools unterliegen zusätzlichen Anforderungen gemäß den Garante-Leitlinien 2024 zum Schülerdatenschutz.

Unternehmen in diesen Bereichen benötigen sektorspezifische Dokumentation. Lesen Sie unsere Fallstudien, um zu erfahren, wie Kollegen mit Konformitätsfragen umgehen. Die Perspektive unseres Gründers finden Sie in unserem Gründer-Statement. Unsere Pläne und Tarife decken alle Sektoren ab.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.