Kaum ein Thema bremst KI-Projekte im Mittelstand so zuverlässig wie die Sorge vor dem Datenschutz. Die gute Nachricht: Die DSGVO verbietet weder Automatisierung noch KI. Sie verlangt, dass Sie wissen, welche Daten wohin fließen, und dass Sie das begründen und absichern können. Genau das lässt sich planen. Dieser Beitrag gibt Ihnen den Überblick, ersetzt aber keine Rechtsberatung im Einzelfall.
Die Grundsätze, auf die es ankommt
Die DSGVO ruht auf wenigen Prinzipien, die sich direkt in Anforderungen an Ihre Workflows übersetzen lassen:
- Zweckbindung: Daten werden nur für den Zweck verarbeitet, für den sie erhoben wurden. Ein Workflow, der Bewerbungsdaten in den Newsletter-Verteiler kippt, ist tabu.
- Datenminimierung: Der Workflow bekommt nur Zugriff auf die Felder und Postfächer, die er wirklich braucht, nicht auf das ganze System.
- Rechtsgrundlage: Für jede Verarbeitung braucht es eine Grundlage, meist Vertragserfüllung, berechtigtes Interesse oder Einwilligung.
- Nachvollziehbarkeit: Sie müssen erklären können, was automatisch passiert. Deshalb gehören Dokumentation und Protokolle zu jedem seriösen Projekt.
Typische Stolperfallen
In der Praxis scheitert sauberer Datenschutz selten an böser Absicht, sondern an Details:
- Fehlende Auftragsverarbeitungsverträge: Jede Plattform, die personenbezogene Daten für Sie verarbeitet, braucht einen AV-Vertrag. Das gilt für Automatisierungsplattformen genauso wie für KI-Anbieter.
- Drittlandtransfer: Viele KI-Dienste verarbeiten Daten außerhalb der EU. Das ist regelbar, etwa über Standardvertragsklauseln oder Anbieter mit EU-Hosting, aber es muss aktiv geregelt werden.
- Schatten-KI: Mitarbeitende nutzen private KI-Konten für Firmendaten, weil es keine offizielle Lösung gibt. Ein sauber eingeführter Workflow ist auch hier die bessere Antwort als ein Verbot.
- Vergessene Löschung: Automatisierung erzeugt Kopien, etwa in Logs und Zwischenablagen. Auch dafür braucht es Löschregeln.
Checkliste vor dem Start
- Welche personenbezogenen Daten fließen durch den Workflow, und wohin?
- Auf welcher Rechtsgrundlage verarbeiten wir sie?
- Liegen AV-Verträge mit allen beteiligten Anbietern vor?
- Verlassen Daten die EU, und wenn ja, wie ist das abgesichert?
- Wer hat Zugriff, und sind die Zugriffe auf das Nötigste begrenzt?
- Ist dokumentiert, was automatisch passiert, und wird es protokolliert?
- Gibt es Lösch- und Aufbewahrungsregeln für alle Ablagen des Workflows?
Wenn Sie diese sieben Fragen beantworten können, sind Sie weiter als die meisten, und ein Gespräch mit Ihrem Datenschutzbeauftragten wird zum Abgleich statt zum Streit.
Sonderfall: Gesundheits- und Mandantendaten
Für Praxen, Kanzleien und alle, die mit besonders geschützten Daten arbeiten, gilt eine einfache Leitlinie: Die sensiblen Daten bleiben in den dafür vorgesehenen Fachsystemen. Automatisierung und KI arbeiten an den Rändern, etwa bei Terminbuchung, Erinnerungen und der Vorsortierung von Anfragen, ohne dass Diagnosen oder Mandatsinhalte durch fremde Systeme laufen. Mit diesem Schnitt lassen sich die meisten Anwendungsfälle umsetzen, ohne die strengen Anforderungen zu verletzen.
Fazit
Datenschutz ist beim Einsatz von KI kein Stoppschild, sondern eine Bauanleitung: Zwecke klären, Zugriffe begrenzen, Verträge schließen, dokumentieren. Wer das von Anfang an mitplant, ist später schneller, nicht langsamer.
Wir bauen jeden Workflow nach diesen Grundsätzen und stimmen ihn auf Wunsch mit Ihrem Datenschutzbeauftragten ab. Wie das für Ihren konkreten Fall aussieht, klären wir gern im kostenlosen Erstgespräch.