Erstgespräch kostenfrei — 20 Minuten, unverbindlich, ohne Vorbereitung.

Gespräch vereinbaren
Kontakt

Michael Höner Solutions

Kategorie: Compliance

  • DSVGO-konforme KI ist kein Häkchen. Sondern Architektur.

    DSVGO-konforme KI ist kein Häkchen. Sondern Architektur.

    DSGVO-konforme KI heißt nicht: ein Häkchen im Tool setzen und fertig. Sie heißt: KI so in Ihre Prozesse einbauen, dass Rechte von Menschen, Geschäftsrisiken und regulatorische Pflichten sauber zusammenspielen – von der Datenerfassung bis zur Auswertung.

    Was bedeutet DSGVO-Konformität bei KI konkret?

    Sobald eine KI personenbezogene Daten verarbeitet – Namen, E-Mails, Logdaten, Nutzungsprofile, Chat-Inhalte – gilt die DSGVO mit allen Grundsätzen und Pflichten. KI ist kein Sonderrecht, sondern ein weiterer Verarbeitungsvorgang, der auf eine Rechtsgrundlage gestützt sein muss, etwa Vertragserfüllung, rechtliche Pflicht, Einwilligung oder berechtigtes Interesse nach Art. 6 DSGVO.

    Unternehmen bleiben Verantwortliche, auch wenn sie externe KI-Anbieter nutzen oder Cloudmodelle einbinden. Sie müssen also nachweisen können, dass sie Datenschutzgrundsätze einhalten, Betroffenenrechte ermöglichen und geeignete technische und organisatorische Maßnahmen getroffen haben.

    Wird KI für Profiling oder automatisierte Entscheidungen mit erheblichen Auswirkungen eingesetzt – etwa Scoring, Risikobewertungen oder Personaleinsatzplanung – kommen zusätzliche Anforderungen wie Informationspflichten zur Logik und zu den Auswirkungen der Entscheidungen dazu.

    Zentrale Datenschutzgrundsätze für KI

    Die DSGVO liefert kein eigenes KI-Kapitel, aber ihre Grundprinzipien passen sehr gut auf KI-Systeme.

    • Rechtmäßigkeit und Zweckbindung
      Vor jedem KI-Einsatz braucht es einen klar definierten Zweck: Wofür genau sollen die Daten genutzt werden (z. B. Support-Automatisierung, Fraud Detection, Wartungsprognosen)? Daraus leiten Sie die Rechtsgrundlage ab und begrenzen die Verarbeitung auf diesen Zweck.

    • Datensparsamkeit und Speicherbegrenzung
      KI „lebt“ von Daten, aber DSGVO-konform heißt: nur so viele Daten wie nötig und nur so lange wie nötig. Für Trainingsdaten, Logs und Prompt-Historien braucht es klare Löschkonzepte und Pseudonymisierung, wo immer möglich.

    • Transparenz und Fairness
      Betroffene müssen verstehen können, dass und wie KI eingesetzt wird, welche Daten verwendet werden und welche Folgen das hat. Gerade bei automatisierten Entscheidungen sind Aussagen zur involvierten Logik und zu möglichen Auswirkungen Pflicht.

    • Integrität, Vertraulichkeit und Sicherheit
      KI-Systeme müssen gegen unbefugten Zugriff, Datenlecks und Manipulation geschützt sein. Das umfasst Verschlüsselung, Zugriffskonzepte, Monitoring und regelmäßig geprüfte technische und organisatorische Maßnahmen.

    • Privacy by Design und by Default
      Datenschutz muss ins Modell und in die Architektur eingebaut werden, nicht im Nachhinein daraufgeklebt werden. Voreinstellungen sollten datenschutzfreundlich sein: minimale Datensammlung, deaktivierte unnötige Trackingfunktionen, strenge Rollen- und Berechtigungsmodelle.

    Typische Herausforderungen für Unternehmen

    In der Praxis scheitert DSGVO-konforme KI selten an der Theorie, sondern an Strukturen und Verantwortung.

    • Intransparente „Black-Box“-Modelle
      Viele Unternehmen wissen nicht genau, welche Daten der Anbieter wofür verarbeitet, wo sie gespeichert werden und ob sie zu Trainingszwecken weiterverwendet werden. Ohne diese Infos wird jede Datenschutz-Folgenabschätzung zur Glaskugelübung.

    • Unklare Rollen: Verantwortlicher vs. Auftragsverarbeiter
      Je nach KI-Szenario ist der Hersteller reiner Auftragsverarbeiter oder teilweise eigener Verantwortlicher. Das muss vertraglich sauber geklärt sein, inklusive Auftragsverarbeitungsvertrag und Unterauftragsnehmern.

    • Datenminimierung vs. Modellqualität
      Technische Teams möchten viele Daten, um Modelle zu verbessern. Datenschutz verlangt Beschränkung und klare Löschregeln. Dieser Zielkonflikt braucht Governance: jemand entscheidet bewusst, welche Daten wirklich nötig sind.

    • DSFA-Pflicht und fehlende Informationen
      Bei vielen KI-Anwendungen ist eine Datenschutz-Folgenabschätzung (DSFA) zwingend, etwa bei umfangreicher Profilbildung oder Bewertung persönlicher Aspekte. Die Aufsichtsbehörden betonen, dass Verantwortliche dafür auf fundierte Informationen der Anbieter angewiesen sind – die oft nicht vollständig vorliegen.

    • Umgang mit Betroffenenrechten
      Auskunft, Löschung oder Widerspruch in komplexen KI-Architekturen technisch sauber umzusetzen, ist anspruchsvoll, vor allem wenn Trainingsdaten, Logs und Backups im Spiel sind.

    EU AI Act als ergänzender Rechtsrahmen

    Der EU AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der AI Act Risiken von KI insgesamt: Sicherheit, Diskriminierung, Transparenz und menschliche Aufsicht.

    Unternehmen müssen KI-Systeme nach Risikokategorien einordnen: von verbotenen Praktiken bis hin zu Hochrisiko-KI mit strengen Pflichten, etwa Dokumentation, Risikoanalysen, Qualität des Trainingsdatensatzes, Human Oversight und Konformitätsbewertung. Für viele Organisationen bedeutet das: Inventarisierung aller KI-Systeme, Risikoanalyse und regelmäßige Überprüfung werden Pflicht.

    Datenschutz und AI Act greifen ineinander: Hochrisiko-KI muss nicht nur DSGVO-konform sein, sondern auch AI-Act-Anforderungen wie Transparenzberichte, CE-Kennzeichnung und technische Dokumentation erfüllen. Für Sie als Verantwortlichen ergibt sich daraus ein gemeinsamer Governance-Rahmen statt zwei getrennte Baustellen.

    Konkrete Handlungsempfehlungen für Unternehmen

    Statt über „KI-Strategie“ abstrakt zu diskutieren, hilft eine nüchterne Architekturperspektive. Ein mögliches Vorgehen:

    1. KI-Landkarte erstellen
      Erfassen Sie alle KI-Anwendungen im Unternehmen: eingesetzte Tools, Schnittstellen, Datentypen, Zwecke und beteiligte Dienstleister. Diese Transparenz ist Basis für jede Risikobewertung.

    2. Zwecke und Rechtsgrundlagen pro Use Case festlegen
      Für jede Anwendung klar definieren: Zweck, betroffene Personengruppen, Datenarten, Rechtsgrundlage und geplante Speicherdauer. Alles, was sich nicht sauber begründen lässt, wird entweder angepasst oder gestrichen.

    3. Datenschutz-Folgenabschätzung dort, wo das Risiko hoch ist
      Prüfen Sie systematisch, ob für einen Use Case eine DSFA erforderlich ist – bei Profiling, Scoring oder sensiblen Daten ist das oft der Fall. Grundlage sind strukturierte Infos vom Anbieter zur Funktionsweise und zu den Risiken des Systems.

    4. Verträge und TOM mit Anbietern aktualisieren
      Schließen oder aktualisieren Sie Auftragsverarbeitungsverträge, klären Sie Unterauftragsverarbeiter, Datenübermittlungen in Drittländer und dokumentieren Sie technische und organisatorische Maßnahmen. Prüfen Sie, ob der Anbieter Optionen für Privacy by Design und by Default bietet.

    5. Technische Architektur auf Datenschutz ausrichten

      • Pseudonymisierung und Anonymisierung, wo immer möglich

      • Strenge Rollen- und Rechtekonzepte für KI-Tools

      • Trennung von Produktivdaten und Trainingsdaten, definierte Löschpfade

      • Logging und Monitoring, um Zugriffe und Anomalien nachhalten zu können

    6. Transparenz- und Informationskonzepte bauen
      Passen Sie Datenschutzhinweise, interne Richtlinien und Informationsblätter an, damit Betroffene verstehen, welche KI eingesetzt wird und welche Auswirkungen das hat. Stellen Sie intern Vorlagen bereit, wie automatisierte Entscheidungen erklärt werden können.

    7. Kompetenz im Unternehmen aufbauen
      KI- und Datenschutzkompetenz lassen sich nicht vollständig outsourcen. Der AI Act verlangt, dass Mitarbeitende, die mit KI-Systemen arbeiten, angemessen geschult sind. Dazu gehören Grundlagen zu DSGVO, zu Risiken von KI sowie zur praktischen Nutzung der eingesetzten Systeme.

    8. Governance etablieren statt Einzelfallreaktion
      Richten Sie ein kleines, verbindliches Gremium ein (IT, Fachbereich, Datenschutz, ggf. Legal), das neue KI-Use-Cases prüft, Risiken bewertet und Freigaben dokumentiert. So entsteht ein wiederholbares Muster statt Einzellösungen.

  • NIS‑2 im Mittelstand: Ehrlicher Betroffenheits‑Check in 10 Minuten

    NIS‑2 im Mittelstand: Ehrlicher Betroffenheits‑Check in 10 Minuten

    „NIS‑2? Das betrifft doch die Großen, nicht uns.“
    Diesen Satz höre ich gerade oft. In der Praxis zeigt sich etwas anderes: Es trifft Zulieferer, verarbeitende Betriebe und IT‑Dienstleister – also genau den Mittelstand.

    Die NIS‑2‑Richtlinie und das deutsche Umsetzungsgesetz (NIS2UmsuCG) weiten den Kreis deutlich aus. Mehr Sektoren, strengere Anforderungen und ein klarer Fokus auf die Lieferkette. Spürbar wird das nicht im Gesetzestext, sondern im Alltag: in neuen Verträgen, Security‑Fragebögen und Nachweispflichten.

    Wenn du die Grundlagen und mögliche Umsetzungswege kompakt sehen möchtest, findest du auf der Seite NIS‑2 für Unternehmen einen Überblick über Ansatz, Leistungen und typische Projektformen.

    Schwellen, Sektoren und was das für dein Unternehmen bedeutet

    Formal unterscheidet NIS‑2 zwischen „wesentlichen“ und „wichtigen“ Einrichtungen.

    • Wesentliche Einrichtungen: zum Beispiel Energie, Verkehr, Gesundheit, öffentliche Verwaltung.

    • Wichtige Einrichtungen: unter anderem verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft, digitale Dienste.

    Ab etwa 50 Mitarbeitenden oder 10 Mio. Euro Umsatz/Bilanzsumme solltest du genauer hinsehen. Je nach Branche kann es auch früher relevant werden. Entscheidender ist deine Rolle: Wenn deine Kunden NIS‑2‑pflichtig sind, nehmen sie dich automatisch in die Verantwortung.

    Was ich bei mittelständischen Unternehmen häufig sehe:

    • Maschinenbau und Zulieferer: landen schneller im NIS‑2‑Radar, als ihnen bewusst ist.

    • IT‑Dienstleister und Systemhäuser: häufig nicht direkt reguliert, aber sicherheitskritischer Teil der Infrastruktur ihrer Kunden.

    Nicht der Gesetzestext entscheidet, ob du liefern musst, sondern die Anforderungen deiner wichtigsten Kunden.

    Wenn dir an dieser Stelle schon klar wird, dass IT‑Sicherheit mehr ist als „Firewall und Antivirus“, findest du in IT‑Security im Alltag einen kompakten Überblick, wie ein stabiles Sicherheitsfundament für KMU aussieht.

    Die Zulieferer‑Falle: Zwei Szenen aus dem Alltag

    Maschinenbau im Schatten kritischer Infrastruktur

    Ein Maschinenbauer mit rund 150 Mitarbeitenden liefert seit Jahren Komponenten an Netzbetreiber. Lange war das Thema NIS‑2 dort kein Gespräch. Mit einem neuen Rahmenvertrag ändert sich das.

    Plötzlich stehen dort Anforderungen wie:

    • MFA für alle Remote‑Zugriffe

    • ein dokumentiertes Backup‑ und Recovery‑Konzept

    • definierte Reaktionszeiten und Meldewege bei Sicherheitsvorfällen

    • regelmäßige Nachweise zur Informationssicherheit

    Im Vertrag steht nicht „Du musst NIS‑2 erfüllen“. Faktisch ist aber klar: Ohne ein bestimmtes Sicherheitsniveau wird der Auftrag schwierig zu halten. Auf dem Papier mag der Betrieb „nur“ als wichtig oder indirekt betroffen gelten. In der Realität entscheidet die Sicherheit mit über die Lieferbeziehung.

    IT‑Dienstleister als verlängerte Angriffsfläche

    Ein IT‑Dienstleister mit 20 bis 30 Mitarbeitenden betreut unter anderem ein Unternehmen aus der Entsorgungsbranche und einen Lebensmittelhersteller. Beide bewegen sich klar im NIS‑2‑Umfeld.

    Die Folge sind neue vertragliche Regelungen:

    • verbindliche Patch‑Zyklen

    • definierte Reaktionszeiten bei Incidents

    • Protokollierung und Nachweis von Admin‑Zugriffen

    • MFA als Standard für kritische Konten

    Der Dienstleister steht nicht direkt im Fokus der Aufsicht, ist aber für Angreifer ein attraktiver Einstiegspunkt. Entsprechend verlangen die Kunden, dass seine eigenen Prozesse das geforderte Sicherheitsniveau abbilden. Nicht als Zusatz, sondern als Voraussetzung.

    Warum das keine reine Technikfrage ist, sondern eine Führungsfrage, vertiefe ich im Beitrag IT‑Security ist Chefsache.

    Die 10 Mindestanforderungen im Klartext

    Du musst keine Norm im Detail kennen. Entscheidend ist, die zentralen Bausteine sauber zu bearbeiten.

    1. Risikomanagement

    Klarheit, welche Systeme und Prozesse kritisch sind, welche Ausfälle weh tun und wo du zuerst handeln musst.

    2. Incident Response

    Ein einfacher, nachvollziehbarer Ablaufplan für Sicherheitsvorfälle: wer informiert wird, wer entscheidet und wie dokumentiert wird.

    3. Backups und Wiederherstellung

    Getrennte, geschützte Backups und regelmäßige Wiederherstellungstests. Nicht nur sichern, sondern nachweislich zurückspielen können.

    4. Sicherheit in der Lieferkette

    Kriterien für Cloud‑Dienste, Hoster, Wartungsfirmen und IT‑Partner. Nicht jeder Dienstleister passt zu jeder Kritikalität.

    5. Schulung und Sensibilisierung

    Regelmäßige, pragmatische Schulungen zu Phishing, Passwörtern und Meldewegen. Einmal im Jahr ist ein realistischer Anfang.

    6. Verschlüsselung

    Schutz für mobile Geräte, Datenträger, Backups und Datenübertragungen. Ziel ist, dass verlorene Geräte nicht automatisch ein Vorfall sind.

    7. Zugriffskontrolle

    Rollen, Rechte und saubere Austrittsprozesse. Ehemalige Mitarbeitende sollten keine aktiven Zugänge haben.

    8. Kryptografie‑Management

    Schlüssel, Zertifikate und Passwörter werden zentral und strukturiert verwaltet, nicht verstreut über Dateien und Köpfe.

    9. Multi‑Factor‑Authentication (MFA)

    MFA für Admin‑Konten, Remote‑Zugriffe und kritische Anwendungen ist heute Standard. Ohne diesen Schritt wirkt Informationssicherheit schnell lückenhaft.

    10. Sichere Kommunikation

    Absicherung von Remote‑Zugängen, Admin‑Schnittstellen und sensibler Kommunikation, zum Beispiel über VPN und geeignete Protokolle.

    Wer diese Punkte strukturiert angeht, liegt fachlich nah an gängigen Standards wie ISO 27001 und ist deutlich stabiler gegenüber Prüfungen und Anfragen.

    IT‑Sicherheit im Alltag aufräumen
    In IT‑Security im Alltag zeige ich dir, wie wir diese zehn Punkte Schritt für Schritt so aufsetzen, dass sie zum Betrieb passen – ohne Normen‑Overkill.

    Geschäftsführerhaftung: Warum Wegschauen riskant ist

    NIS‑2 macht Informationssicherheit ausdrücklich zur Aufgabe der Unternehmensleitung. Es reicht nicht, das Thema „bei der IT aufzuhängen“.

    Für die Geschäftsführung bedeutet das:

    • Sie muss ein angemessenes Sicherheitsniveau einführen und überwachen – und zwar nachvollziehbar.

    • Sie braucht regelmäßige, verständliche Informationen zum Sicherheitsstand, nicht nur einzelne Projektberichte.

    • Bleiben offensichtliche Mindeststandards wie Backups, MFA oder grundlegende Prozesse dauerhaft unberücksichtigt und es kommt zu einem Vorfall, kann das auch persönlich relevant werden.

    Es geht nicht um Perfektion. Es geht um eine erkennbare, strukturierte Verantwortung.

    Warum das keine Angstbotschaft ist, sondern eine Frage guter Führung, erkläre ich ausführlicher im Artikel IT‑Security ist Chefsache.

    Drei Fragen für den Schnell‑Check

    Diese drei Fragen geben dir in wenigen Minuten ein erstes Bild:

    1. Sektor und Rolle

    Arbeitest du in einem der NIS‑2‑Sektoren oder lieferst du dorthin, zum Beispiel in Energie, Verkehr, Gesundheit, Abfall, Lebensmittel, verarbeitende Industrie, öffentliche Hand oder digitale Dienste?

    2. Größe und Bedeutung

    Liegt dein Unternehmen über 50 Mitarbeitenden oder über 10 Mio. Euro Umsatz/Bilanzsumme – oder bist du in deiner Nische ein typischer „Hidden Champion“?

    3. Kundendruck

    Hast du in den letzten 12 Monaten Security‑Fragebögen, zusätzliche Sicherheitsklauseln oder explizite Nachfragen zu IT‑Sicherheit und Zertifikaten von Kunden erhalten?

    Wenn du zwei dieser Fragen mit „Ja“ beantwortest, lohnt es sich, NIS‑2 nicht als Randthema zu behandeln.

    Nächster Schritt: Klarheit statt Bauchgefühl

    Für viele Unternehmen ist der sinnvollste erste Schritt ein strukturierter Selbstcheck.
    Genau hier setzt der Kurzcheck „NIS‑2: Sind Sie betroffen?“ an: 15 Fragen, drei Seiten, etwa zehn Minuten Zeitaufwand. Danach ist klarer, ob du eher entspannt bleiben kannst, ob du indirekt liefern musst oder ob NIS‑2 dein Unternehmen direkt betrifft.

    NIS‑2 Selbstcheck herunterladen
    15 Fragen, 3 Seiten, 10 Minuten: Du siehst, ob und wie NIS‑2 dein Unternehmen betrifft – inklusive einer kurzen Empfehlung, was in den nächsten 90 Tagen sinnvoll ist.