KI für den Datenschutzbeauftragten: Was wirklich funktioniert…

KI als Arbeitshilfe für den Datenschutzbeauftragten

Der Alltag eines Datenschutzbeauftragten ist voll. Neue Verarbeitungstätigkeiten müssen bewertet werden, Fragen aus den Fachabteilungen trudeln herein, eine Datenpanne kündigt sich nicht an – und irgendwo auf dem Schreibtisch wartet noch die Schulungsunterlage, die schon längst aktualisiert werden sollte. Wer in dieser Situation auf künstliche Intelligenz als Hilfsmittel setzt, kann echte Zeit gewinnen. Vorausgesetzt, er weiß, was KI kann, was sie nicht kann – und wo die Grenzen seiner eigenen Rolle liegen.

Zunächst eine wichtige Klarstellung

Vieles, womit Datenschutzbeauftragte täglich zu tun haben, ist rechtlich gesehen gar nicht ihre Aufgabe. Das Verzeichnis der Verarbeitungstätigkeiten zu führen, Datenschutzinformationen zu erstellen, auf Betroffenenanfragen zu antworten – all das ist Pflicht des Verantwortlichen, also des Unternehmens selbst. In der Praxis erledigt das häufig der DSB, weil er das nötige Fachwissen mitbringt. Aber zuständig und verantwortlich bleibt der Verantwortliche. Er entscheidet, er zeichnet ab – nicht der DSB.

Dieser Unterschied ist wichtig, gerade wenn KI ins Spiel kommt. Denn KI-Werkzeuge können bei diesen Aufgaben unterstützen. Aber die inhaltliche Verantwortung für das Ergebnis liegt beim Verantwortlichen – und die fachliche Qualität der Beratung, die der DSB dazu beisteuert, liegt beim DSB.

KI für Datenschutzbeauftragte

(KI generiertes Bild)

 

Wo KI den Datenschutzbeauftragten wirklich entlastet

Textentwürfe für Routineaufgaben

Ein erheblicher Teil der Arbeit besteht aus Texten: Einträge ins Verzeichnis der Verarbeitungstätigkeiten, Datenschutzinformationen für neue Prozesse, Antworten auf Betroffenenanfragen, interne Hinweise an Abteilungsleiter. Hier kann KI gut helfen. Man beschreibt dem System, worum es geht – und bekommt innerhalb von Sekunden einen Erstentwurf, den man fachlich prüfen und weiterentwickeln kann. Was früher eine halbe Stunde dauerte, ist jetzt in fünf Minuten auf dem Tisch. Die verbleibende Zeit steckt in der inhaltlichen Prüfung – und die bleibt unverzichtbar.

Recherche und Überblick behalten

Neue DSK-Orientierungshilfen, Urteile des Europäischen Gerichtshofs, Änderungen im BDSG, der EU AI Act – der Datenschutzbeauftragte muss den Überblick behalten, um seinen Beratungsauftrag erfüllen zu können. KI kann dabei helfen, umfangreiche Dokumente zusammenzufassen, Unterschiede zwischen zwei Fassungen eines Textes herauszuarbeiten oder schnell zu sichten, welche Aspekte eines neuen Regelwerks für das betreute Unternehmen überhaupt relevant sein könnten. Als erste Orientierung ist das sehr nützlich. Als abschließende Einschätzung taugt es nicht – dafür ist die fachliche Überprüfung zu wichtig.

Schulungsunterlagen vorbereiten

Schulungen sind formell Aufgabe des Verantwortlichen, aber der DSB gestaltet sie inhaltlich mit. Wenn ein neues Thema aufkommt oder eine bestehende Unterlage aktualisiert werden muss, kann KI schnell einen Entwurf liefern – und diesen auf verschiedene Zielgruppen zuschneiden, etwa für die Buchhaltung anders als für den Außendienst. Das spart besonders dann Zeit, wenn Aktualisierungen kurzfristig gebraucht werden.

Formulierungshilfe bei der Kommunikation

Manchmal ist das Problem nicht das Fachwissen, sondern das Formulieren. Eine Antwort auf eine schwierige Betroffenenanfrage, ein internes Hinweisschreiben an die Geschäftsführung, ein Beratungsvermerk zu einem neuen Verfahren – KI kann helfen, den richtigen Ton zu treffen und Gedanken in eine klare Struktur zu bringen. Die inhaltliche Substanz kommt vom DSB. Die KI hilft dabei, sie verständlich zu machen.

Was dabei unbedingt beachtet werden muss

KI erfindet Dinge

Das klingt drastisch, ist aber technische Realität. KI-Systeme können Gesetzestexte zitieren, die es nicht gibt, Fristen nennen, die falsch sind, oder auf Urteile verweisen, die nie gesprochen wurden. Dieses Phänomen nennt sich Halluzination – und es trifft auch gute, ausgereifte Systeme. Wer KI-Ergebnisse ungeprüft übernimmt, übernimmt damit auch die Fehler. Für den DSB bedeutet das: Jeder KI-generierte Text, der in eine Beratungsempfehlung einfließt, muss fachkundig geprüft werden. Das ist keine Empfehlung, das ist eine Selbstverständlichkeit.

Personenbezogene Daten gehören nicht einfach in KI-Systeme

Wer Namen, Adressen, Mitarbeiterdaten oder andere personenbezogene Informationen in ein externes KI-System eingibt, übermittelt diese Daten an einen Dritten. Das ist eine Datenverarbeitung, die einer Rechtsgrundlage bedarf. Zusätzlich ist in aller Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter erforderlich – und zwar bevor das System erstmals produktiv genutzt wird.

Wer mit KI-Systemen amerikanischer Anbieter arbeitet, sollte außerdem die besondere Rechtslage im Blick behalten. Der US Cloud Act ermöglicht amerikanischen Behörden unter bestimmten Voraussetzungen den Zugriff auf Daten, auch wenn diese auf europäischen Servern liegen. Das Data Privacy Framework schafft dafür einen rechtlichen Rahmen, löst aber nicht alle Fragen. Gerade bei sensiblen Informationen lohnt es sich, diese Punkte bewusst zu klären – und die Klärung zu dokumentieren.

Ein einfacher und sicherer Weg: Für die Arbeit mit KI-Systemen konsequent mit fiktiven Beispieldaten oder vollständig anonymisierten Inhalten arbeiten. Pseudonymisierung – also nur das Entfernen des Namens – reicht dafür oft nicht aus. Wer im Text gleichzeitig Alter, Abteilung, Berufsbezeichnung und ein konkretes Ereignisdatum nennt, hat unter Umständen mehr Personenbezug im Text als gedacht.

Entscheidungen bleiben beim Menschen

KI strukturiert, formuliert, schlägt vor. Aber ob eine Datenpanne gemeldet werden muss, ob eine Datenschutz-Folgenabschätzung erforderlich wird, ob ein geplantes Verfahren datenschutzrechtlich tragbar ist – das sind fachliche Einschätzungen, die der DSB als Beratungsgrundlage liefert. Die Entscheidung selbst trifft der Verantwortliche. Keine dieser Rollen lässt sich an ein KI-System delegieren.

Der DSB als erster Ansprechpartner auch beim KI-Einsatz

Wenn das betreute Unternehmen selbst KI-Systeme einführen oder nutzen möchte, ist der DSB gefragt – nicht als Entscheider, sondern als Berater. Er weist den Verantwortlichen auf die datenschutzrechtlichen Anforderungen hin, klärt, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO in Betracht kommt, und sorgt dafür, dass der Einsatz auf einem soliden Fundament steht. Was das Unternehmen daraus macht, entscheidet der Verantwortliche.

Diese Beratungsrolle gilt übrigens auch für den eigenen KI-Einsatz des DSB. Wer im Unternehmen für die Einhaltung des Datenschutzes wirbt, sollte bei der eigenen Nutzung von KI-Werkzeugen mit gutem Beispiel vorangehen – und den Einsatz dokumentieren.

Fazit

KI ist ein nützliches Hilfsmittel für den Datenschutzbeauftragten – sie nimmt Arbeit ab, aber keine Verantwortung, und sie ersetzt weder das Fachwissen des DSB noch die Entscheidungspflicht des Verantwortlichen.

Weiterhin sollte man auch als DSB seine eigenen Grenzen und die Grenzen der KI kennen. Bei umfassenden rechtlichen Fragestellungen, sollte man einen auf Datenschutzrecht spezialisierten Anwalt hinzuziehen.

 


Werbung in eigener Sache:

Zum Thema „KI für Datenschutzbeauftragte“ habe ich ein praxisnahes Buch geschrieben. Die Idee dahinter: Datenschutzbeauftragten den Arbeitsalltag ein Stück leichter zu machen, Prozesse zu vereinfachen und im besten Fall jede Menge Zeit zu sparen.

Wenn KI schon überall mitmischt, kann sie wenigstens auch mal etwas Sinnvolles tun.

KI-fuer-DSB (Link zu Amazon.de)

Externer Datenschutzbeauftragter

Externer-DSB

Vorteile eines externen Datenschutzbeauftragten

In der heutigen datengetriebenen Geschäftswelt ist der Schutz personenbezogener Daten nicht nur eine rechtliche Anforderung, sondern auch ein entscheidendes Element des Kundenvertrauens und der Unternehmensreputation. Die Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen vor die Herausforderung, ihre Datenschutzpraktiken ständig zu überprüfen und anzupassen. Hierbei kann die Entscheidung, einen externen Datenschutzbeauftragten (DSB) zu beauftragen, nicht nur die Einhaltung der DSGVO sicherstellen, sondern auch erhebliche Kostenvorteile bieten. Lassen Sie uns diese Vorteile genauer betrachten:

Kosteneffizienz durch externe Expertise

Reduzierung direkter Kosten: Die Einstellung eines internen Datenschutzbeauftragten kann mit erheblichen direkten Kosten verbunden sein, darunter Gehalt, Sozialleistungen und Weiterbildungskosten. Ein externer DSB hingegen wird als Dienstleister bezahlt, was bedeutet, dass Sie nur für die tatsächlich benötigten Services zahlen. Dies ermöglicht es Ihrem Unternehmen, von hochqualifizierter Expertise zu profitieren, ohne die finanzielle Belastung eines Vollzeitgehalts tragen zu müssen. Vermeidung von Schulungs- und Weiterbildungskosten: Die Datenschutzgesetzgebung und -praktiken entwickeln sich ständig weiter. Ein interner DSB muss regelmäßig geschult und auf dem neuesten Stand gehalten werden, was zusätzliche Kosten verursacht. Ein externer DSB hält sein Fachwissen auf eigene Kosten aktuell, wodurch Ihr Unternehmen diese Ausgaben spart. Flexibilität und Skalierbarkeit: Externe Datenschutzbeauftragte bieten eine flexible Dienstleistung, die an die spezifischen Bedürfnisse und die Größe Ihres Unternehmens angepasst werden kann. Dies bedeutet, dass Sie mehr oder weniger Unterstützung in Anspruch nehmen können, je nachdem, wie sich Ihre Datenschutzanforderungen ändern, ohne sich um die Kapazitätsplanung oder langfristige Verpflichtungen gegenüber einem Mitarbeiter sorgen zu müssen.

Risikominimierung und Compliance

Vermeidung von Compliance-Risiken: Fehler in der Datenschutzpraxis können zu erheblichen Bußgeldern führen. Ein externer DSB bringt umfangreiche Erfahrungen mit unterschiedlichen Datenschutzumgebungen mit und kann daher effektiv dabei helfen, potenzielle Risiken zu identifizieren und zu mitigieren, bevor sie zu Problemen werden. Objektivität und Unabhängigkeit: Ein externer DSB kann eine objektive Sicht auf die Datenschutzpraktiken Ihres Unternehmens bieten, frei von internen Einflüssen oder Interessenkonflikten. Diese Unabhängigkeit ist entscheidend, um sicherzustellen, dass Datenschutzrisiken objektiv bewertet und angegangen werden.

Aufbau von Vertrauen und Reputation

Demonstration von Verantwortung:   Die Zusammenarbeit mit einem renommierten externen Datenschutzbeauftragten signalisiert Stakeholdern, Kunden und Aufsichtsbehörden, dass Ihr Unternehmen den Datenschutz ernst nimmt. Dies kann das Vertrauen in Ihre Marke stärken und Sie von Wettbewerbern abheben.

Fazit

Die Beauftragung eines externen Datenschutzbeauftragten bietet nicht nur eine effektive Möglichkeit, die Compliance mit der DSGVO und anderen Datenschutzvorschriften zu gewährleisten, sondern auch signifikante Kostenvorteile. Durch die Reduzierung direkter und indirekter Kosten, die Bereitstellung flexibler und skalierbarer Dienstleistungen und die Minimierung von Datenschutzrisiken kann ein externer DSB Ihrem Unternehmen helfen, sowohl finanziell als auch in Bezug auf das Kundenvertrauen optimal zu agieren. In einer Welt, in der Datenschutz und Datensicherheit immer mehr im Mittelpunkt stehen, ist die Entscheidung für einen externen Datenschutzbeauftragten ein wichtiger Schritt in die richtige Richtung.

Berechtigtes Interesse

Das berechtigte Interesse

 

Eine wichtige Rechtsgrundlage zur Verarbeitung personenbezogener Daten ist das „berechtigte Interesse“, welches in Art. 6 Abs. 1 lit. f DSGVO geregelt ist.

Die Datenschutz-Grundverordnung (DSGVO) enthält eine Reihe von Regelungen, die Unternehmen und Organisationen im Umgang mit personenbezogenen Daten beachten müssen. Ein wichtiger Grundsatz der DSGVO ist das Prinzip der Rechtmäßigkeit, das besagt, dass die Verarbeitung personenbezogener Daten nur auf einer rechtmäßigen Grundlage erfolgen darf.

Eine solche rechtmäßige Grundlage ist das berechtigte Interesse. Das berechtigte Interesse ist eine Rechtsgrundlage, die es einem Unternehmen erlaubt, personenbezogene Daten zu verarbeiten, ohne dass eine Einwilligung der betroffenen Person erforderlich ist. Allerdings müssen bestimmte Bedingungen erfüllt sein, um das berechtigte Interesse als Rechtsgrundlage nutzen zu können.

Das Unternehmen muss zunächst ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten haben. Ein berechtigtes Interesse kann beispielsweise dann vorliegen, wenn die Verarbeitung der personenbezogenen Daten zur Wahrung der berechtigten Interessen des Unternehmens erforderlich ist, z.B. um ein legitimes Geschäftsinteresse zu verfolgen.

Darüber hinaus muss das Unternehmen sicherstellen, dass das berechtigte Interesse der betroffenen Person nicht überwiegt. Wenn das berechtigte Interesse des Unternehmens das Interesse oder die Grundrechte und Freiheiten der betroffenen Person überwiegt, kann das Unternehmen die personenbezogenen Daten unter Umständen verarbeiten, ohne dass eine Einwilligung erforderlich ist.
Die Interessenabwägung ist auf jeden Fall zu dokumentieren, da diese ggf. auch einer Aufsichtsbehörde vorgelegt werden muss. Hier muss eine sachgerechte Abwägung der unterschiedlichen Interessen ersichtlich sein.

Es ist jedoch wichtig zu betonen, dass das berechtigte Interesse kein Freifahrtschein für Unternehmen ist, um personenbezogene Daten beliebig zu verarbeiten. Unternehmen müssen sicherstellen, dass sie nur diejenigen personenbezogenen Daten verarbeiten, die für die Zwecke, für die sie benötigt werden, angemessen, relevant und begrenzt sind.

Ein kompetenter Datenschutzbeauftragter kann hier wertvolle Dienste leisten.

Weiterhin ist hier zu beachten, dass diese Rechtsgrundlage für den öffentlichen Bereich NICHT anwendbar ist (vgl. Art. 6 Abs.1 Satz 2 DSGVO).

Datenschutz Mogelpackung für kleine und mittlere Unternehmen (KMU)

Datenschutz Mogelpackung für Unternehmen

 

Der Bundestag hat am 28.06.2019 ein Gesetz zur Änderung verschiedener Vorschriften beschlossen. Darunter auch die Änderung des § 38 Bundesdatenschutzgesetz (BDSG). Hier wurde die Grenze zur verpflichtenden Benennung eines Datenschutzbeauftragten (DSB) von 10 auf 20 Personen heraufgesetzt, welche mit der Verarbeitung personenbezogener Daten beschäftigt sind. Begründet wurde dies mit einer Entlastung der KMU’s.

Hier wird aber voraussichtlich das genaue Gegenteil der Fall sein. Es wurde nämlich nicht erwähnt, dass die datenschutzrechtlichen Vorschriften (DSGVO, BDSG…) selbstverständlich weiterhin für diese Unternehmen in vollem Umfang gelten und genauso wie bisher umzusetzen sind. Dies hat zur Folge, dass kein geschulter DSB mehr vorhanden ist, aber die Vorschriften vom Unternehmen trotzdem eingehalten werden müssen.

 
Datenschutz-Mogelpackung für KMU
 

Datenschutz-Aufsichtsbehörden werden verstärkt prüfen

 

Die deutschen Datenschutzaufsichtsbehörden haben sich im Vorfeld gegen diese Gesetzesänderung ausgesprochen. Daher ist davon auszugehen, dass die Prüfungen verstärkt werden, da auch hier die oben genannte Problematik gesehen wird. Es ist leider anzunehmen, dass auch die Anzahl der verhängten Bußgelder hierdurch steigen wird.

Die ersten Datenschutz-Aufsichtsbehörden haben schon eine Stellungnahme abgegeben:

Berlin:

https://www.datenschutz.de/datenschutz-anpassungsgesetz-vermeintlicher-buerokratieabbau-ist-eine-milchmaedchenrechnung/

Niedersachsen:

https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/thiel-datenschutz-nicht-weiter-aushoehlen-178251.html

 

Datenschutz Bußgelder

 

Das Haftungsrisiko steigt

 
Bei einem Bußgeldrisiko von bis zu 20 Millionen Euro wird es sich kein Unternehmen leisten können, den Datenschutz zukünftig außer Acht zu lassen. Daher müssen die eigenen Mitarbeiter in der Thematik geschult werden.

Auch die Haftung der Vorstände bzw. Geschäftsführer (siehe Aktiengesetz, GmbH-Gesetz) kann hier meiner Ansicht nach betroffen sein, wenn intern kein geeignetes Risikomanagement organisiert wird, welches das Bußgeldrisiko minimieren soll.
Der Aufwand für die Firmen wird damit steigen. Von einer Entlastung kann absolut keine Rede sein.

Selbstverständlich könnte ein Unternehmen entscheiden, dass der Datenschutz zukünftig nur noch eine untergeordnete Rolle einnehmen soll. Dies kann aber spätestens dann zu einer kostspieligen Entscheidung werden, wenn bei einer Aufsichtsbehörde eine Beschwerde eines Kunden oder Mitarbeiters vorliegt, welche eine entsprechende Prüfung nach sich zieht.

 

Fazit

 

Einige Unternehmen haben die genannten Probleme jedoch bereits erkannt und werden zukünftig auf eine freiwillige Benennung eines Datenschutzbeauftragten zurückgreifen. Dies wird bereits von vielen Unternehmen öffentlichkeitswirksam dargestellt und sich in Zukunft als Wettbewerbsvorteil herausstellen.

 

Anwendungsbereich des BDSG

Der Anwendungsbereich des BDSG

 

Das Bundesdatenschutzgesetz (BDSG) kommt oft neben der DSGVO zur Anwendung. Nämlich immer dann, wenn die DSGVO eine sog. Öffnungsklausel für den nationalen Gesetzgeber vorsieht. Das neue BDSG trat mit der DSGVO in Kraft. Das BDSG besteht aus 4 Teilen:

  • Teil 1: §§ 1 – 21
  • Teil 2: §§ 22 – 44
  • Teil 3: §§ 45 – 84
  • Teil 4: § 85

Datenschutz Informationen BDSG
 

Bei § 44 BDSG ist Schluss

 

Nun sieht man jedoch ziemlich oft, dass in Datenschutzerklärungen o.ä. auf §§ des 3.Teils (ab § 45 BDSG) verwiesen wird. Dies ist jedoch nur möglich, wenn es sich hier um eine Stelle handelt, welche für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständig ist. Dies sind beispielsweise Gerichte, Polizei, Staatsanwaltschaften usw.

Um dies festzustellen, ist kein Jurastudium notwendig. Hier reicht es vollkommen aus, wenn man sich den Anwendungsbereich für den 3.Teil (§ 45 BDSG) durchliest oder aktuelle Fortbildungen zum Thema Datenschutz besucht.

Der 3.Teil des BDSG (§§ 45 – 84 ) ist somit nicht für Unternehmen anwendbar!

Alle §§ von 45 bis 84 können somit nicht von Unternehmen herangezogen werden. Sollte also ein „Datenschutzberater“ diese Paragraphen verwenden, wäre diesem eine aktuelle Fortbildung zu empfehlen.