KI im Unternehmen ermöglichen: ein Leitfaden für Datenschutzbeauftragte

Datenschutzbeauftragte können KI im Unternehmen ermöglichen statt verbieten, indem personenbezogene Daten lokal entfernt werden, bevor Mitarbeitende sie in ein KI-Tool eingeben.

Aktualisiert am

Datenschutzbeauftragte können KI im Unternehmen ermöglichen, statt sie zu verbieten, indem personenbezogene Daten lokal entfernt werden, bevor Mitarbeitende sie in ein KI-Tool eingeben. So bleibt der Produktivitätsgewinn erhalten, ohne dass Daten an den KI-Anbieter übertragen werden.

Das Dilemma: verbieten oder Kontrolle verlieren

Mitarbeitende nutzen KI ohnehin. Laut einer Analyse von Cyberhaven (2023) enthalten rund 11 % der Inhalte, die in ChatGPT eingefügt werden, vertrauliche Informationen. Ein pauschales Verbot führt selten zu weniger Nutzung, sondern nur zu unkontrollierter Nutzung über private Konten, an der IT und Datenschutz vorbei.

Als Datenschutzbeauftragte stehen Sie damit vor einer schlechten Wahl: KI verbieten und den Produktivitätsvorteil verlieren, oder KI dulden und die Kontrolle über personenbezogene Daten aufgeben.

Der dritte Weg: Datenminimierung an der Quelle

Die DSGVO fordert Datenminimierung (Art. 5) und geeignete technische Maßnahmen (Art. 32). Eine lokale Anonymisierung setzt genau dort an: Personenbezogene Daten werden auf dem Gerät der Mitarbeitenden entfernt, bevor überhaupt etwas an ein KI-Tool geht. Was den Rechner verlässt, enthält keine Klarnamen, Adressen oder Kontonummern mehr.

Weil die Verarbeitung lokal geschieht, entsteht keine neue Übermittlung an einen weiteren Auftragsverarbeiter. Das ist der entscheidende Unterschied zu cloudbasierten Anonymisierungsdiensten, die die Daten trotzdem an einen fremden Server senden.

Warum kontextsensitive Erkennung die Fehlerquote senkt

Eine reine Namenserkennung markiert jeden Namen gleich, auch öffentliche Stellen, Gerichte oder Städte, und übersieht zugleich personenbezogene Daten, die kein klassischer Eigenname sind. Das erzeugt Fehlalarme und Lücken. Stript prüft für jede Fundstelle den Kontext und entscheidet, ob es sich tatsächlich um ein personenbezogenes Datum handelt. Die Mitarbeitenden bestätigen die Vorschläge, bevor anonymisiert wird.

Was Sie als Datenschutzbeauftragte damit erreichen

  • Eine freigebbare, dokumentierbare Lösung statt eines Schatten-KI-Problems.
  • Keine neue Auftragsverarbeitung für die Anonymisierung selbst, da lokal.
  • Ein prüfbares Verfahren: Der Netzwerkverkehr zeigt, dass keine Inhalte hochgeladen werden.
  • Nachvollziehbarkeit, weil die Zuordnung lokal und verschlüsselt gespeichert wird.

Häufige Fragen

Ist das eine datenschutzrechtliche Freigabe? Nein. Stript ist ein technisches Werkzeug zur Datenminimierung. Die Bewertung und Freigabe für Ihr Unternehmen bleibt Ihre Aufgabe; das Tool unterstützt sie.

Kann ich den Einsatz unternehmensweit ausrollen? Ja. Stript läuft als lokale Desktop-Anwendung pro Arbeitsplatz. Für Teams und zentrale Verwaltung sind Team- und Business-Varianten vorgesehen.


Ermöglichen Sie KI im Unternehmen, ohne die Kontrolle über personenbezogene Daten abzugeben. Stript kostenlos herunterladen →