DSGVO & Datenschutz-Monitoring

AI Agents verarbeiten häufig personenbezogene Daten — manchmal unbeabsichtigt. OpenClaw bietet ein integriertes Privacy-Monitoring-Modul, das PII-Erkennung, Consent-Tracking und Datenminimierung automatisiert.

PII Detection in Agent Outputs

Automatische PII-Erkennung

OpenClaw scannt jeden Trace in Echtzeit auf personenbezogene Daten:

PII-Kategorie	Erkennung	Aktion
Namen	NER-basiert	Pseudonymisierung
E-Mail-Adressen	Regex + Validation	Maskierung
Telefonnummern	Pattern Matching	Maskierung
IBAN/Kreditkarte	Luhn-Check + Pattern	Sofortige Maskierung
Adressen	NER + Geocoding-Check	Pseudonymisierung
Gesundheitsdaten	Keyword + Context	Alert + Blockierung

PII-Actions konfigurieren

# privacy-config.yml
pii_detection:
  enabled: true
  scan_mode: real-time  # oder "batch"

  actions:
    - type: mask
      categories: [email, phone, iban, credit_card]
      replacement: "[REDACTED]"

    - type: pseudonymize
      categories: [name, address]
      method: consistent_hash  # gleiche PII = gleicher Pseudonym

    - type: alert
      categories: [health_data, biometric]
      channels: [slack, compliance-team]

    - type: block
      categories: [social_security_number]
      action: drop_trace  # Trace wird nicht gespeichert

Datenverarbeitungsverzeichnis

OpenClaw generiert automatisch ein Verarbeitungsverzeichnis gemäß Art. 30 DSGVO:

Verarbeitungszweck — Abgeleitet aus Agent-Konfiguration
Kategorien betroffener Personen — Aus Metadata-Tags
Datenkategorien — Automatisch erkannt durch PII-Scanner
Empfänger — Welche externen APIs werden aufgerufen?
Löschfristen — Aus Retention-Konfiguration
Technische Maßnahmen — Verschlüsselung, Pseudonymisierung, Zugriffskontrolle

Consent-Tracking

Für Agents, die Nutzerinteraktionen verarbeiten:

with oc.trace("support-agent") as trace:
    trace.set_consent({
        "data_processing": True,
        "ai_interaction": True,
        "profiling": False,
        "consent_timestamp": "2026-02-18T14:00:00Z",
        "consent_version": "v2.1"
    })

OpenClaw prüft automatisch:

Liegt eine gültige Einwilligung vor?
Ist die Einwilligung noch aktuell (nicht widerrufen)?
Stimmt der Verarbeitungszweck mit der Einwilligung überein?
Werden nur konsentierte Datenkategorien verarbeitet?

Data Retention Enforcement

OpenClaw erzwingt automatische Löschfristen:

Datenkategorie	Standardfrist	Anpassbar
Traces	90 Tage	Ja (min. 180 Tage für High-Risk)
PII-Daten	30 Tage	Ja
Aggregierte Metriken	365 Tage	Ja
Compliance-Logs	3 Jahre	Nein (gesetzlich)
Audit Trails	5 Jahre	Nein (gesetzlich)

Automatische Löschung

retention:
  traces:
    default: 90d
    high_risk: 180d
    with_pii: 30d

  deletion:
    method: secure_delete  # Überschreiben, nicht nur Markierung
    schedule: "0 2 * * *"  # Nightly um 02:00
    audit_log: true         # Löschung wird protokolliert

Datenschutz-Dashboard

Das Privacy-Dashboard zeigt:

PII Detection Rate — Wie oft werden personenbezogene Daten erkannt?
Consent Coverage — Für wie viele Interaktionen liegt eine Einwilligung vor?
Data Retention Status — Werden Löschfristen eingehalten?
DPIA Status — Stand der Datenschutz-Folgenabschätzungen
Cross-Border Transfers — Werden Daten in Drittländer übermittelt?

Wichtig: OpenClaw ersetzt nicht Ihren Datenschutzbeauftragten. Es automatisiert die technische Umsetzung und liefert die Datengrundlage für fundierte Datenschutz-Entscheidungen. Die rechtliche Verantwortung bleibt bei Ihnen.