DSGVO-Leitfaden für KI-Automatisierung

KI-Automatisierung
DSGVO-konform

Wie ich Automatisierungen für Ingenieurbüros baue, damit ihr sie mit Blick auf die DSGVO einsetzen könnt – transparent, realistisch und ohne leere Versprechen.

Leitfaden lesenSelbstcheck starten →
Kein RechtsersatzFür IngenieurbürosPraxisnah

Unsere Datenschutz-Zusagen

  • Auftragsverarbeitung vertraglich geregelt (Art. 28 DSGVO)
  • Keine Nutzung von Kundendaten für KI-Training (soweit vertraglich mit den eingesetzten Sub-Dienstleistern abbildbar, Standard bei Enterprise- und API-Tarifen)
  • Vollständige Transparenz über eingesetzte Sub-Dienstleister
  • Datenverarbeitung innerhalb der EU oder mit geeigneten Garantien nach Kap. V DSGVO
  • Klar definierter Zweck pro Verarbeitung
  • Schutz durch dokumentierte TOMs

So fließen eure Daten

Der Datenfluss wird je Automation vorab definiert, dokumentiert und technisch begrenzt.

  • 1. Eingang

    Daten kommen aus definierten Quellen wie E-Mail, Formular oder Dokumenten-Upload.

  • 2. Vorverarbeitung

    Filter, Prüfung und bei Bedarf Pseudonymisierung vor der KI-Verarbeitung.

  • 3. Verarbeitung

    Verarbeitung nur in freigegebenen Systemen und APIs mit klaren Berechtigungen.

  • 4. Rückgabe

    Ergebnisse werden kontrolliert ins Zielsystem übertragen, z. B. CRM, E-Mail oder Dokument.

  • 5. Speicherung

    Speicherung und Löschung erfolgen nach definierten Fristen und dokumentierten Verantwortlichkeiten.

Stufe 1 - Low Risk

Interne Recherche und Reports ohne personenbezogene Daten.

Stufe 2 - Mittleres Risiko

Kundenkommunikation ohne sensible Daten, mit klaren Freigaben.

Stufe 3 - Höheres Risiko

Automationen mit Kundendaten nur mit AVV, DSB-Abstimmung und Dokumentation.

Wo Datenschutz im Ingenieurbüro-Alltag relevant wird

  • Angebots- und Leistungsverzeichnis-Erstellung
  • E-Mail-Automation mit Kunden, Behörden und Nachunternehmern
  • Ausschreibungen und Vergabeunterlagen
  • Protokolle und Besprechungsnotizen
  • Rechnungs- und Projektdaten

Der Tool-Check vor dem Produktiveinsatz

Bevor ein KI-Tool produktiv genutzt wird, sollten diese Fragen beantwortet und intern dokumentiert sein.

  • Wo stehen die Server?
  • Wie lange werden Daten gespeichert?
  • Gibt es einen AV-Vertrag?
  • Werden Daten für Modelltraining genutzt?
  • Welche Sub-Dienstleister werden eingesetzt und sind sie offengelegt?
  • Wie werden Betroffenenrechte (Auskunft, Löschung) umgesetzt?

Tool-Kategorien statt Tool-Hype

  • Enterprise- oder Team-Tarife mit AVV

    Für Kundendaten geeignet, wenn Vertrag und technische Schutzmaßnahmen sauber umgesetzt sind.

  • Self-hosted oder EU-Modelle

    Sinnvoll bei besonders sensiblen Daten und erhöhten Compliance-Anforderungen.

  • Free-Tarife ohne AVV

    Nur für interne Aufgaben ohne personenbezogene Daten.

Einsatz von KI-Systemen

KI wird ausschließlich in klar definierten und kontrollierten Prozessschritten eingesetzt.

  • KI wird nur für konkrete Zwecke eingesetzt (z. B. Zusammenfassungen, Klassifikation, Entwürfe).
  • Es erfolgt keine unkontrollierte Weitergabe kompletter Rohdaten an externe KI-Systeme.
  • Sensible Daten werden vor der Verarbeitung geprüft, reduziert oder pseudonymisiert.
  • API-Nutzung erfolgt nur mit deaktivierter Trainingsnutzung und dokumentiertem Verarbeitungszweck.

Datenminimierung in der Praxis

  • Für Tests nur Pseudodaten oder anonymisierte Daten verwenden.
  • Personenbezogene Informationen entfernen, wenn sie nicht erforderlich sind.
  • Keine kompletten Rohdatensätze ungeprüft in KI-Tools einspielen.

Technische Maßnahmen (TOMs)

So setze ich Datenschutz auf Systemebene praktisch um.

  • Verschlüsselte Verbindungen (TLS)
  • Zugriffsbeschränkung nach Least-Privilege-Prinzip
  • API-Keys im Secret-Store, nie im Klartext
  • Logging und Monitoring der Automationen
  • Regelmäßige Review der Datenflüsse und Berechtigungen

Was ihr als Unternehmen braucht

Diese Dokumente sind eure Compliance-Basis. Ich liefere die technischen und organisatorischen Grundlagen für eure DSGVO-Dokumentation, die rechtliche Bewertung erfolgt über euren DSB oder Anwalt.

  • VVT: Verzeichnis von Verarbeitungstätigkeiten mit Zweck, Datenkategorien und Speicherdauer.
  • AVV: Auftragsverarbeitungsverträge mit allen relevanten Dienstleistern.
  • TOMs: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO.
  • Interne KI-Richtlinie: Klare Regeln, welche Tools Mitarbeitende wofür nutzen dürfen.
  • DSFA: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei Automationen mit voraussichtlich hohem Risiko - ich liefere die technische Grundlage, die Bewertung erfolgt durch euren DSB.

Prompt Injection: unterschätztes Risiko

Agenten können auf Dateien und Abläufe zugreifen. Deshalb braucht es klare Schutzmechanismen, damit Inhalte nicht unkontrolliert weitergegeben werden.

  • Eingaben validieren und riskante Inhalte filtern
  • Tool-Rechte für Agents strikt begrenzen
  • Keine automatische Datei- oder Mailfreigabe bei offenen Agent-Läufen
  • Review-Schritt bei sensiblen Ergebnissen

Betroffenenrechte und Meldepflichten

Automationen müssen so gebaut sein, dass Rechte der Betroffenen jederzeit umgesetzt werden können.

  • Auskunftsersuchen (Art. 15 DSGVO) werden durch dokumentierte Datenflüsse nachvollziehbar
  • Löschkonzept mit definierten Fristen und Verantwortlichkeiten pro Automation
  • Widerspruch und Einschränkung der Verarbeitung technisch abbildbar
  • Meldung von Datenschutzverletzungen an euch als Verantwortlichen unverzüglich gemäß Art. 33 Abs. 2 DSGVO
  • Unterstützung bei der Erfüllung der Pflichten aus Art. 33 und 34 DSGVO

EU AI Act - gestaffelte Anwendbarkeit

Der EU AI Act ist bereits seit August 2024 in Kraft. Die Pflichten gelten gestaffelt: Februar 2025 Verbote bestimmter Praktiken, August 2025 Pflichten für General-Purpose-KI-Modelle, August 2026 Hauptteil inklusive Hochrisiko-Systeme, August 2027 vollständige Anwendbarkeit. Unternehmen, die ihre KI-Prozesse jetzt sauber strukturieren, sind auf die neuen Anforderungen deutlich besser vorbereitet.

Die 5 häufigsten Fehler

  • Kundendaten in kostenlose Tools kopieren
  • Kein AVV mit Dienstleistern abschließen
  • Keine Dokumentation von Datenflüssen und Zuständigkeiten
  • Mitarbeitende wählen Tools ohne klare Vorgaben
  • Sensible Daten werden ungeprüft automatisiert verarbeitet

So stelle ich DSGVO-orientierte Automationen sicher

  • AVV mit Flinra vor Projektstart
  • Dokumentierter Datenfluss für jede Automation
  • Klare Rollenverteilung (Verantwortlicher / Auftragsverarbeiter)
  • Transparente Liste der eingesetzten Sub-Dienstleister
  • Standard: EU-Hosting oder EU-konforme Anbieter
  • Ausnahmefälle: US-APIs nur mit AVV, SCC und dokumentierter Risikoabwägung
  • Keine Nutzung von Kundendaten für KI-Training bei API-Nutzung
  • TOM-Übersicht als Grundlage für euer VVT
  • Abstimmung mit eurem Datenschutzbeauftragten auf Wunsch

FAQ

Nicht pauschal. Entscheidend sind Tarif, AVV, Serverstandort, Trainingsnutzung und euer konkreter Anwendungsfall.
In vielen Fällen ja. Welche Informationspflichten gelten, sollte mit eurem Datenschutzbeauftragten geprüft werden.
Das hängt von Unternehmensgröße und Verarbeitung ab. Für viele Firmen ist externe Begleitung die pragmatischste Lösung.
Dann entstehen schnell unkontrollierte Datenflüsse. Eine klare interne KI-Richtlinie und Freigabeprozesse sind deshalb Pflicht.
Nein. Das ist Rechtsberatung. Ich liefere die technischen und organisatorischen Grundlagen für eure DSGVO-Dokumentation.
Das wird je Projekt transparent dokumentiert. Wo möglich setze ich auf EU-Server oder EU-hosted Varianten.
Unternehmen brauchen mehr Dokumentation, Schulung und klare Verantwortlichkeiten. Wer heute sauber aufsetzt, ist deutlich besser vorbereitet.
Das hängt vom Risiko-Level, Datenumfang und Integrationen ab. Im Erstgespräch kläre ich Aufwand, Maßnahmen und Priorität.

Glossar

Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert, welche personenbezogenen Daten wie und warum verarbeitet werden.
Der Auftragsverarbeitungsvertrag regelt die datenschutzkonforme Zusammenarbeit mit Dienstleistern.
Technische und organisatorische Maßnahmen schützen Daten vor unbefugtem Zugriff und Verlust.
Eine Datenschutzfolgenabschätzung prüft Risiken bei besonders sensiblen oder umfangreichen Verarbeitungen.
Der Datenschutzbeauftragte begleitet Unternehmen bei rechtskonformer Umsetzung und Bewertung.
Informationspflicht gegenüber betroffenen Personen über Zwecke, Rechtsgrundlagen und Empfänger der Datenverarbeitung.
Die KI-Verordnung der EU schafft zusätzliche Transparenz-, Dokumentations- und Governance-Pflichten.

Ergebnis für euer Unternehmen

Ihr bekommt eine klare Entscheidungsgrundlage, ob und wie ihr KI- Automationen im Unternehmen DSGVO-orientiert einsetzen könnt:

  • Klar dokumentierte Datenflüsse und Verantwortlichkeiten
  • Transparenter Einsatz von KI-Systemen
  • DSGVO-orientierte Automationen, die nachvollziehbar und prüfbar sind

Dieser Leitfaden dient der Orientierung und ersetzt keine Rechtsberatung. Für rechtsverbindliche Prüfungen wendet euch an einen Datenschutzbeauftragten oder Fachanwalt.

DSGVO-konformes Setup besprechen