karlsCORE KI-Gemeinschaft KI-Wissen Systemisch Denken Erstgespräch Anmelden

Regeln einhalten, ohne den Betrieb lahmzulegen

Du bekommst Post vom Datenschutzbeauftragten: "Bitte dokumentieren Sie, wie Ihr KI-System personenbezogene Daten verarbeitet." Du schaust auf Dein System und merkst: Du weißt es nicht genau. Die Kundenmails gehen rein, die Antworten kommen raus, aber was dazwischen passiert und wo die Daten landen, hast Du nie aufgeschrieben. Jetzt musst Du es unter Zeitdruck nachholen.

Warum Regelkonformität kein nachträglicher Aufwand sein sollte

Die meisten kleinen Unternehmen kümmern sich um Regelkonformität erst, wenn jemand danach fragt. Ein Kunde will wissen, was mit seinen Daten passiert. Eine Behörde schickt einen Fragebogen. Ein neuer Geschäftspartner verlangt Nachweise. In diesem Moment beginnt die hektische Suche nach Dokumenten die nie erstellt wurden.

Dabei ist der Aufwand gering, wenn Du ihn von Anfang an einplanst. Es geht nicht um hundert Seiten Richtlinien. Es geht um drei Dinge: Wissen was Du tust, aufschreiben dass Du es tust, und nachweisen können dass Du es richtig tust.

WissenWas tun wir mit Daten?
DokumentierenAufschreiben dass wir es tun
NachweisenZeigen dass es richtig ist
Regelkonformohne Hektik bei Anfragen

Was Du für Dein KI-System dokumentieren musst

Welche Daten fließen hinein. Kundennamen, E-Mail-Adressen, Bestellungen, Gesprächsverläufe? Erstelle eine einfache Liste. Für jede Datenart: Woher kommt sie, wofür wird sie genutzt, wie lange wird sie gespeichert?

Wo die Daten verarbeitet werden. Auf Deinem eigenen Rechner? Bei einem Anbieter in Deutschland? In den USA? Der Ort bestimmt, welche Gesetze gelten. Daten die Europa nicht verlassen, sind rechtlich einfacher zu handhaben als Daten die an amerikanische Server geschickt werden.

Wer Zugriff hat. Du allein? Dein Team? Der KI-Anbieter? Für jeden mit Zugriff brauchst Du eine Begründung warum, und eine Regelung was er tun darf und was nicht.

Noch mehr intensive KI-Impulse »

Steuerung: Wer entscheidet was erlaubt ist

In einem kleinen Unternehmen entscheidet oft eine Person über alles. Das funktioniert, solange die Person weiß was sie tut. Bei KI-Systemen entstehen aber Fragen die mehrere Bereiche betreffen: Darf unser System Kundendaten für Trainingszwecke verwenden? Dürfen wir KI-generierte Texte ohne Prüfung an Kunden schicken? Wer haftet, wenn das System eine falsche Auskunft gibt?

Diese Fragen brauchen klare Antworten. Nicht in einem Regelwerk das niemand liest, sondern in einfachen Aussagen die jeder im Team kennt: "Kundendaten gehen nicht an externe Dienste." "Jede KI-Antwort an Kunden wird von einem Menschen geprüft." "Bei rechtlichen Fragen antwortet das System nicht, sondern verweist an den zuständigen Mitarbeiter."

Datenschutz-Grundverordnung: Was für Dein KI-System gilt

Die Datenschutz-Grundverordnung verlangt drei Dinge, wenn Du personenbezogene Daten mit einem KI-System verarbeitest:

Eine Rechtsgrundlage. Du brauchst einen Grund, warum Du die Daten verarbeiten darfst. Bei Kundenmails ist das meistens die Vertragserfüllung. Bei Marketinganalysen brauchst Du eine Einwilligung oder ein berechtigtes Interesse.

Transparenz. Der Kunde muss wissen, dass seine Daten von einem KI-System verarbeitet werden. Nicht versteckt im Kleingedruckten, sondern verständlich und zugänglich.

Das Recht auf Löschung. Wenn ein Kunde verlangt, dass seine Daten gelöscht werden, musst Du das tun können. Auch aus dem KI-System. Auch aus dem Zwischenspeicher. Auch aus der Vektordatenbank. Prüfe vorher, ob Dein System das technisch ermöglicht.

Für alle, die wirklich mehr wissen und umsetzen möchten ...

Zur KI-Gemeinschaft »

Eine Stunde die Dir Monate erspart

Nimm Dir eine Stunde und erstelle drei Dokumente:

Datenverarbeitungsverzeichnis: Eine Tabelle mit allen Datenarten die Dein KI-System verarbeitet. Spalten: Datenart, Herkunft, Zweck, Speicherort, Speicherdauer, Zugriff. Eine Seite reicht.

Nutzungsregeln: Fünf bis zehn Sätze die beschreiben, was Dein Team mit dem KI-System tun darf und was nicht. Kurz, klar, ohne Juristendeutsch.

Ansprechpartner: Wer ist zuständig, wenn ein Kunde fragt was mit seinen Daten passiert? Wer entscheidet, wenn unklar ist ob eine Nutzung erlaubt ist? Ein Name, nicht eine Abteilung.

Diese drei Dokumente decken neunzig Prozent dessen ab, was bei einer Prüfung gefragt wird. Nicht weil sie perfekt sind, sondern weil sie zeigen, dass Du Dich mit dem Thema beschäftigt hast.