Die am haeufigsten gestellte Frage bei jedem Automatisierungsprojekt: "Ist das DSGVO-konform?" Die kurze Antwort: Ja, wenn Sie es richtig aufsetzen. Die lange Antwort folgt hier.
Worum es geht
Die DSGVO verbietet den Einsatz von KI nicht. Das Gesetz verlangt, dass Sie eine rechtmaessige Grundlage fuer die Verarbeitung personenbezogener Daten haben, dass Sie transparent darueber sind, was Sie tun, und dass Sie angemessene Sicherheitsmassnahmen ergreifen. Das gilt unabhaengig davon, ob Sie manuell oder mit KI arbeiten.
Der Unterschied bei KI: Der Massstab ist groesser und die Verarbeitung ist weniger sichtbar. Ein Mitarbeiter, der Rechnungen liest, merkt sich die Namen nicht. Ein KI-Modell, das Rechnungen verarbeitet, sendet diese Daten potenziell an einen externen Server. Dort muss die Aufmerksamkeit liegen.
Hinzu kommt die EU-KI-Verordnung (AI Act), die ab 2025 schrittweise in Kraft tritt. Diese reguliert KI-Systeme nach Risikostufen. Die meisten Geschaeftsautomatisierungen fallen in die Kategorie "minimales Risiko", aber wenn Sie KI fuer Entscheidungen einsetzen, die wesentliche Auswirkungen auf Personen haben -- etwa Kreditwuerdigkeitspruefungen oder Bewerbungs-Screenings -- gelten strengere Anforderungen.
Drei konkrete Entscheidungen, die wir treffen
Erstens: Wir verarbeiten Daten innerhalb der EU. Alle n8n-Instanzen laufen auf europaeischen Servern -- in der Regel in Frankfurt oder Amsterdam. Kein Datentransfer in Drittlaender, keine Standardvertragsklauseln notwendig.
Zweitens: Wir waehlen OpenAIs Enterprise-Stufe oder Azure OpenAI, wobei Microsoft garantiert, dass Ihre Daten nicht fuer Modelltraining verwendet werden. Der Unterschied zur kostenlosen ChatGPT-Version ist fundamental: Bei der Enterprise-Version gibt es eine Auftragsverarbeitungsvereinbarung (AVV), die klar regelt, was mit den Daten geschieht. Bei der kostenlosen Version gibt es das nicht -- und genau da liegt das Risiko.
Drittens: Wir minimieren die Daten, die wir an das KI-Modell senden. Wenn wir nur einen Rechnungsbetrag brauchen, senden wir nicht das gesamte Dokument. Dieses Prinzip der Datenminimierung ist nicht nur eine DSGVO-Anforderung, sondern spart auch API-Kosten. Weniger Tokens bedeuten weniger Kosten.
DSFA: Wann und wie
Bei grossangelegter oder systematischer Verarbeitung personenbezogener Daten mit KI ist eine Datenschutz-Folgenabschaetzung (DSFA) verpflichtend. In der Praxis bedeutet das: Wenn Sie strukturell Kundendaten durch ein KI-Modell verarbeiten lassen, muessen Sie dokumentieren, was Sie tun, warum, welche Risiken bestehen und welche Massnahmen Sie ergreifen.
Wir liefern bei jedem Projekt ein DSFA-Template mit, das spezifisch auf die von uns gebaute Loesung zugeschnitten ist. Kein generisches 50-Seiten-Dokument, sondern ein praktisches 3-4-Seiten-Uebersicht, die Ihr Datenschutzbeauftragter bewerten kann. Es umfasst: Beschreibung der Verarbeitung, Rechtsgrundlage, technische und organisatorische Massnahmen, Risikobewertung und Massnahmenplan.
Ein Tipp: Fuehren Sie die DSFA zu Beginn des Projekts durch, nicht am Ende. Sie beeinflusst Architekturentscheidungen -- etwa ob Sie Daten lokal oder in der Cloud verarbeiten, welchen KI-Anbieter Sie waehlen und welche Daten Sie ueberhaupt an das Modell senden.
Die Falle: kostenlose Tools
Das groesste Risiko liegt nicht bei professionellen Implementierungen, sondern bei Mitarbeitern, die selbst ChatGPT verwenden, um Kundendaten zu verarbeiten. Diese Daten gehen an Server in den USA, koennen fuer Training verwendet werden, und es gibt keine Auftragsverarbeitungsvereinbarung. Laut einer Studie von Cyberhaven nutzen 11% der Mitarbeiter ChatGPT fuer arbeitsbezogene Aufgaben -- oft ohne Wissen der IT-Abteilung.
Ein klares KI-Regelwerk fuer Ihre Organisation ist wichtiger als die technische DSGVO-Compliance eines einzelnen Projekts. Dieses Regelwerk sollte definieren: Welche Tools sind erlaubt, welche Daten duerfen verarbeitet werden, und wer ist verantwortlich. Wir empfehlen eine einfache Ampelregel: Gruen fuer allgemeine Fragen ohne Personenbezug, Gelb fuer anonymisierte Daten, Rot fuer personenbezogene Daten ohne genehmigte Infrastruktur.
Praktische Checkliste
Fuer jedes KI-Automatisierungsprojekt pruefen wir: Werden personenbezogene Daten verarbeitet? Wenn ja: Gibt es eine Rechtsgrundlage? Werden die Daten innerhalb der EU verarbeitet? Gibt es eine AVV mit dem KI-Anbieter? Ist eine DSFA erforderlich? Sind die Mitarbeiter informiert? Gibt es ein Verfahren fuer Betroffenenrechte (Auskunft, Loeschung)? Wenn Sie diese sieben Fragen mit Ja beantworten koennen, sind Sie auf einem sehr guten Weg.
