Nicht pauschal. Entscheidend sind Tarif, AVV, Serverstandort, Trainingsnutzung und euer konkreter Anwendungsfall.
DSGVO & KI-Automatisierung
Strukturierte und DSGVO-orientierte KI-Nutzung
Wie ich Automatisierungen für Planungsbüros baue, damit ihr sie mit Blick auf die DSGVO einsetzen könnt. Ein praktischer Leitfaden für die Umsetzung im Alltag - transparent, realistisch und ohne leere Versprechen.
Klare Datenschutz-Zusagen
AVV inklusive
Kein Training mit Kundendaten
Transparente Sub-Dienstleister
Die DSGVO blockiert KI nicht - sie gibt Struktur.
Wer Datenflüsse sauber aufsetzt, Zuständigkeiten klar regelt und technische Schutzmaßnahmen konsequent umsetzt, kann KI und Automatisierung wirtschaftlich nutzen. Dieser Leitfaden ist eine praxisnahe Orientierung und ersetzt keine Rechtsberatung.
Unsere Datenschutz-Grundsätze
- Personenbezogene Daten werden nur verarbeitet, wenn sie für den jeweiligen Zweck erforderlich sind.
- Externe KI-APIs werden nur mit AVV, deaktivierter Trainingsnutzung und dokumentierten technischen Schutzmaßnahmen eingesetzt.
- Datenübertragungen erfolgen verschlüsselt und nachvollziehbar.
- Alle eingesetzten Sub-Dienstleister werden vollständig dokumentiert.
- Datenverarbeitung erfolgt standardmäßig in der EU oder bei EU-konformen Anbietern; Ausnahmen nur mit AVV, SCC und dokumentierter Risikoabwägung.
Grundprinzip 1
Wissen, welche Daten verarbeitet werden.
Grundprinzip 2
Zweck der Verarbeitung klar definieren.
Grundprinzip 3
Daten mit passenden TOMs schützen.
Wo Datenschutz im Planungsbüro-Alltag relevant wird
- Angebots- und Leistungsverzeichnis-Erstellung
- E-Mail-Automation mit Kunden, Behörden und Nachunternehmern
- Ausschreibungen und Vergabeunterlagen
- Protokolle und Besprechungsnotizen
- Rechnungs- und Projektdaten
Der 4-Fragen-Tool-Check
Bevor ein KI-Tool produktiv genutzt wird, sollten diese Fragen beantwortet und intern dokumentiert sein.
- Wo stehen die Server?
- Wie lange werden Daten gespeichert?
- Gibt es einen AV-Vertrag?
- Werden Daten für Modelltraining genutzt?
Tool-Kategorien statt Tool-Hype
- Enterprise- oder Team-Tarife mit AVV
Für Kundendaten geeignet, wenn Vertrag und technische Schutzmaßnahmen sauber umgesetzt sind.
- Self-hosted oder EU-Modelle
Sinnvoll bei besonders sensiblen Daten und erhöhten Compliance-Anforderungen.
- Free-Tarife ohne AVV
Nur für interne Aufgaben ohne personenbezogene Daten.
So fließen eure Daten
Der Datenfluss wird je Automation vorab definiert, dokumentiert und technisch begrenzt.
- 1. Eingang
Daten kommen aus definierten Quellen wie E-Mail, Formular oder Dokumenten-Upload.
- 2. Vorverarbeitung
Filter, Prüfung und bei Bedarf Pseudonymisierung vor der KI-Verarbeitung.
- 3. Verarbeitung
Verarbeitung nur in freigegebenen Systemen und APIs mit klaren Berechtigungen.
- 4. Rückgabe
Ergebnisse werden kontrolliert ins Zielsystem übertragen, z. B. CRM, E-Mail oder Dokument.
- 5. Speicherung
Speicherung und Löschung erfolgen nach definierten Fristen und dokumentierten Verantwortlichkeiten.
Einsatz von KI-Systemen
KI kommt nur kontrolliert in klaren Prozessschritten zum Einsatz, nicht als unkontrollierte Blackbox.
- KI wird nur für klar definierte Zwecke eingesetzt, z. B. Zusammenfassungen, Klassifikation oder Entwurfsunterstützung.
- Es erfolgt keine unkontrollierte Weitergabe kompletter Rohdaten an externe KI-Systeme.
- Sensible Daten werden vor der Verarbeitung geprüft, reduziert oder pseudonymisiert.
- API-Nutzung erfolgt nur mit deaktivierter Trainingsnutzung und dokumentiertem Verarbeitungszweck.
Datenminimierung in der Praxis
- Für Tests nur Pseudodaten oder anonymisierte Daten verwenden.
- Personenbezogene Informationen entfernen, wenn sie nicht erforderlich sind.
- Keine kompletten Rohdatensätze ungeprüft in KI-Tools einspielen.
Technische Maßnahmen (TOMs)
So setze ich Datenschutz auf Systemebene praktisch um.
- Verschlüsselte Verbindungen (TLS)
- Zugriffsbeschränkung nach Least-Privilege-Prinzip
- API-Keys im Secret-Store, nie im Klartext
- Logging und Monitoring der Automationen
- Regelmäßige Review der Datenflüsse und Berechtigungen
Stufe 1 - Low Risk
Interne Recherche und Reports ohne personenbezogene Daten.
Stufe 2 - Mittleres Risiko
Kundenkommunikation ohne sensible Daten, mit klaren Freigaben.
Stufe 3 - Höheres Risiko
Automationen mit Kundendaten nur mit AVV, DSB-Abstimmung und Dokumentation.
Was ihr als Unternehmen braucht
Diese Dokumente sind eure Compliance-Basis. Ich liefere dafür die technischen Angaben, die rechtliche Bewertung erfolgt über euren DSB oder Anwalt.
- VVT: Verzeichnis von Verarbeitungstätigkeiten mit Zweck, Datenkategorien und Speicherdauer.
- AVV: Auftragsverarbeitungsverträge mit allen relevanten Dienstleistern.
- TOMs: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO.
- Interne KI-Richtlinie: Klare Regeln, welche Tools Mitarbeitende wofür nutzen dürfen.
Prompt Injection: unterschätztes Risiko
Agenten können auf Dateien und Abläufe zugreifen. Deshalb braucht es klare Schutzmechanismen, damit Inhalte nicht unkontrolliert weitergegeben werden.
- Eingaben validieren und riskante Inhalte filtern
- Tool-Rechte für Agents strikt begrenzen
- Keine automatische Datei- oder Mailfreigabe bei offenen Agent-Läufen
- Review-Schritt bei sensiblen Ergebnissen
EU AI Act ab August 2026
Mit dem EU AI Act steigen Dokumentations-, Transparenz- und Schulungspflichten. Unternehmen, die ihre KI-Prozesse jetzt sauber strukturieren, sind auf die neuen Anforderungen deutlich besser vorbereitet.
Die 5 häufigsten Fehler
- Kundendaten in kostenlose Tools kopieren
- Kein AVV mit Dienstleistern abschließen
- Keine Dokumentation von Datenflüssen und Zuständigkeiten
- Mitarbeitende wählen Tools ohne klare Vorgaben
- Sensible Daten werden ungeprüft automatisiert verarbeitet
So arbeite ich mit euch
- AVV mit Flinra vor Projektstart
- Transparente Liste der eingesetzten Sub-Dienstleister
- Standard: EU-Hosting oder EU-konforme Anbieter
- Ausnahmefälle: US-APIs nur mit AVV, SCC und dokumentierter Risikoabwägung
- Training mit Kundendaten bei API-Nutzung deaktiviert
- TOM-Übersicht als Grundlage für euer VVT
- Abstimmung mit eurem Datenschutzbeauftragten auf Wunsch
- Dokumentation von Datenfluss, Zweck und Speicherdauer je Automation
FAQ
In vielen Fällen ja. Welche Informationspflichten gelten, sollte mit eurem Datenschutzbeauftragten geprüft werden.
Das hängt von Unternehmensgröße und Verarbeitung ab. Für viele Firmen ist externe Begleitung die pragmatischste Lösung.
Dann entstehen schnell unkontrollierte Datenflüsse. Eine klare interne KI-Richtlinie und Freigabeprozesse sind deshalb Pflicht.
Nein. Das ist Rechtsberatung. Ich liefere die technischen Informationen für euren DSB oder Anwalt.
Das wird je Projekt transparent dokumentiert. Wo möglich setze ich auf EU-Server oder EU-hosted Varianten.
Unternehmen brauchen mehr Dokumentation, Schulung und klare Verantwortlichkeiten. Wer heute sauber aufsetzt, ist deutlich besser vorbereitet.
Das hängt vom Risiko-Level, Datenumfang und Integrationen ab. Im Erstgespräch kläre ich Aufwand, Maßnahmen und Priorität.
Glossar
Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert, welche personenbezogenen Daten wie und warum verarbeitet werden.
Der Auftragsverarbeitungsvertrag regelt die datenschutzkonforme Zusammenarbeit mit Dienstleistern.
Technische und organisatorische Maßnahmen schützen Daten vor unbefugtem Zugriff und Verlust.
Eine Datenschutzfolgenabschätzung prüft Risiken bei besonders sensiblen oder umfangreichen Verarbeitungen.
Der Datenschutzbeauftragte begleitet Unternehmen bei rechtskonformer Umsetzung und Bewertung.
Informationspflicht gegenüber betroffenen Personen über Zwecke, Rechtsgrundlagen und Empfänger der Datenverarbeitung.
Die KI-Verordnung der EU schafft zusätzliche Transparenz-, Dokumentations- und Governance-Pflichten.
DSGVO-orientierte Automatisierung gemeinsam umsetzen
Wenn ihr KI-Prozesse sauber aufsetzen wollt, schaue ich gemeinsam auf Datenflüsse, Risiko-Level und realistische Maßnahmen für euer Team. Dieser Leitfaden dient der Orientierung und ersetzt keine Rechtsberatung. Für rechtsverbindliche Prüfungen wendet euch an einen Datenschutzbeauftragten oder Fachanwalt.