KI als Arbeitshilfe für den Datenschutzbeauftragten
Der Alltag eines Datenschutzbeauftragten ist voll. Neue Verarbeitungstätigkeiten müssen bewertet werden, Fragen aus den Fachabteilungen trudeln herein, eine Datenpanne kündigt sich nicht an – und irgendwo auf dem Schreibtisch wartet noch die Schulungsunterlage, die schon längst aktualisiert werden sollte. Wer in dieser Situation auf künstliche Intelligenz als Hilfsmittel setzt, kann echte Zeit gewinnen. Vorausgesetzt, er weiß, was KI kann, was sie nicht kann – und wo die Grenzen seiner eigenen Rolle liegen.
Zunächst eine wichtige Klarstellung
Vieles, womit Datenschutzbeauftragte täglich zu tun haben, ist rechtlich gesehen gar nicht ihre Aufgabe. Das Verzeichnis der Verarbeitungstätigkeiten zu führen, Datenschutzinformationen zu erstellen, auf Betroffenenanfragen zu antworten – all das ist Pflicht des Verantwortlichen, also des Unternehmens selbst. In der Praxis erledigt das häufig der DSB, weil er das nötige Fachwissen mitbringt. Aber zuständig und verantwortlich bleibt der Verantwortliche. Er entscheidet, er zeichnet ab – nicht der DSB.
Dieser Unterschied ist wichtig, gerade wenn KI ins Spiel kommt. Denn KI-Werkzeuge können bei diesen Aufgaben unterstützen. Aber die inhaltliche Verantwortung für das Ergebnis liegt beim Verantwortlichen – und die fachliche Qualität der Beratung, die der DSB dazu beisteuert, liegt beim DSB.
(KI generiertes Bild)
Wo KI den Datenschutzbeauftragten wirklich entlastet
Textentwürfe für Routineaufgaben
Ein erheblicher Teil der Arbeit besteht aus Texten: Einträge ins Verzeichnis der Verarbeitungstätigkeiten, Datenschutzinformationen für neue Prozesse, Antworten auf Betroffenenanfragen, interne Hinweise an Abteilungsleiter. Hier kann KI gut helfen. Man beschreibt dem System, worum es geht – und bekommt innerhalb von Sekunden einen Erstentwurf, den man fachlich prüfen und weiterentwickeln kann. Was früher eine halbe Stunde dauerte, ist jetzt in fünf Minuten auf dem Tisch. Die verbleibende Zeit steckt in der inhaltlichen Prüfung – und die bleibt unverzichtbar.
Recherche und Überblick behalten
Neue DSK-Orientierungshilfen, Urteile des Europäischen Gerichtshofs, Änderungen im BDSG, der EU AI Act – der Datenschutzbeauftragte muss den Überblick behalten, um seinen Beratungsauftrag erfüllen zu können. KI kann dabei helfen, umfangreiche Dokumente zusammenzufassen, Unterschiede zwischen zwei Fassungen eines Textes herauszuarbeiten oder schnell zu sichten, welche Aspekte eines neuen Regelwerks für das betreute Unternehmen überhaupt relevant sein könnten. Als erste Orientierung ist das sehr nützlich. Als abschließende Einschätzung taugt es nicht – dafür ist die fachliche Überprüfung zu wichtig.
Schulungsunterlagen vorbereiten
Schulungen sind formell Aufgabe des Verantwortlichen, aber der DSB gestaltet sie inhaltlich mit. Wenn ein neues Thema aufkommt oder eine bestehende Unterlage aktualisiert werden muss, kann KI schnell einen Entwurf liefern – und diesen auf verschiedene Zielgruppen zuschneiden, etwa für die Buchhaltung anders als für den Außendienst. Das spart besonders dann Zeit, wenn Aktualisierungen kurzfristig gebraucht werden.
Formulierungshilfe bei der Kommunikation
Manchmal ist das Problem nicht das Fachwissen, sondern das Formulieren. Eine Antwort auf eine schwierige Betroffenenanfrage, ein internes Hinweisschreiben an die Geschäftsführung, ein Beratungsvermerk zu einem neuen Verfahren – KI kann helfen, den richtigen Ton zu treffen und Gedanken in eine klare Struktur zu bringen. Die inhaltliche Substanz kommt vom DSB. Die KI hilft dabei, sie verständlich zu machen.
Was dabei unbedingt beachtet werden muss
KI erfindet Dinge
Das klingt drastisch, ist aber technische Realität. KI-Systeme können Gesetzestexte zitieren, die es nicht gibt, Fristen nennen, die falsch sind, oder auf Urteile verweisen, die nie gesprochen wurden. Dieses Phänomen nennt sich Halluzination – und es trifft auch gute, ausgereifte Systeme. Wer KI-Ergebnisse ungeprüft übernimmt, übernimmt damit auch die Fehler. Für den DSB bedeutet das: Jeder KI-generierte Text, der in eine Beratungsempfehlung einfließt, muss fachkundig geprüft werden. Das ist keine Empfehlung, das ist eine Selbstverständlichkeit.
Personenbezogene Daten gehören nicht einfach in KI-Systeme
Wer Namen, Adressen, Mitarbeiterdaten oder andere personenbezogene Informationen in ein externes KI-System eingibt, übermittelt diese Daten an einen Dritten. Das ist eine Datenverarbeitung, die einer Rechtsgrundlage bedarf. Zusätzlich ist in aller Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter erforderlich – und zwar bevor das System erstmals produktiv genutzt wird.
Wer mit KI-Systemen amerikanischer Anbieter arbeitet, sollte außerdem die besondere Rechtslage im Blick behalten. Der US Cloud Act ermöglicht amerikanischen Behörden unter bestimmten Voraussetzungen den Zugriff auf Daten, auch wenn diese auf europäischen Servern liegen. Das Data Privacy Framework schafft dafür einen rechtlichen Rahmen, löst aber nicht alle Fragen. Gerade bei sensiblen Informationen lohnt es sich, diese Punkte bewusst zu klären – und die Klärung zu dokumentieren.
Ein einfacher und sicherer Weg: Für die Arbeit mit KI-Systemen konsequent mit fiktiven Beispieldaten oder vollständig anonymisierten Inhalten arbeiten. Pseudonymisierung – also nur das Entfernen des Namens – reicht dafür oft nicht aus. Wer im Text gleichzeitig Alter, Abteilung, Berufsbezeichnung und ein konkretes Ereignisdatum nennt, hat unter Umständen mehr Personenbezug im Text als gedacht.
Entscheidungen bleiben beim Menschen
KI strukturiert, formuliert, schlägt vor. Aber ob eine Datenpanne gemeldet werden muss, ob eine Datenschutz-Folgenabschätzung erforderlich wird, ob ein geplantes Verfahren datenschutzrechtlich tragbar ist – das sind fachliche Einschätzungen, die der DSB als Beratungsgrundlage liefert. Die Entscheidung selbst trifft der Verantwortliche. Keine dieser Rollen lässt sich an ein KI-System delegieren.
Der DSB als erster Ansprechpartner auch beim KI-Einsatz
Wenn das betreute Unternehmen selbst KI-Systeme einführen oder nutzen möchte, ist der DSB gefragt – nicht als Entscheider, sondern als Berater. Er weist den Verantwortlichen auf die datenschutzrechtlichen Anforderungen hin, klärt, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO in Betracht kommt, und sorgt dafür, dass der Einsatz auf einem soliden Fundament steht. Was das Unternehmen daraus macht, entscheidet der Verantwortliche.
Diese Beratungsrolle gilt übrigens auch für den eigenen KI-Einsatz des DSB. Wer im Unternehmen für die Einhaltung des Datenschutzes wirbt, sollte bei der eigenen Nutzung von KI-Werkzeugen mit gutem Beispiel vorangehen – und den Einsatz dokumentieren.
Fazit
KI ist ein nützliches Hilfsmittel für den Datenschutzbeauftragten – sie nimmt Arbeit ab, aber keine Verantwortung, und sie ersetzt weder das Fachwissen des DSB noch die Entscheidungspflicht des Verantwortlichen.
Weiterhin sollte man auch als DSB seine eigenen Grenzen und die Grenzen der KI kennen. Bei umfassenden rechtlichen Fragestellungen, sollte man einen auf Datenschutzrecht spezialisierten Anwalt hinzuziehen.
Werbung in eigener Sache:
Zum Thema „KI für Datenschutzbeauftragte“ habe ich ein praxisnahes Buch geschrieben. Die Idee dahinter: Datenschutzbeauftragten den Arbeitsalltag ein Stück leichter zu machen, Prozesse zu vereinfachen und im besten Fall jede Menge Zeit zu sparen.
Wenn KI schon überall mitmischt, kann sie wenigstens auch mal etwas Sinnvolles tun.
