KI erst, wenn der Datenfluss klar ist.

Wir bauen KI-Systeme nur dort, wo Datenfluss, Zweck, Zugriff und Verantwortung sauber geklärt sind.

Datenfluss prüfen lassen Ablauf mit sensiblen Daten prüfen

Vor KI-Einsatz

Was wir vor KI-Einsatz klären

Sinnvolle KI im Unternehmen beginnt nicht beim Modell. Sie beginnt bei Zweck, Datenfluss, Zugriff, Hosting, Verträgen, Rollen, Protokollierung und Löschung.

  1. 01

    Daten

    Welche personenbezogenen, vertraulichen oder sensiblen Daten sollen verarbeitet werden?

  2. 02

    Zweck

    Wofür wird KI eingesetzt, welche Ausgabe ist erlaubt und wo endet der Einsatz?

  3. 03

    Zugriff

    Wer darf Eingaben machen, Ergebnisse sehen, Logs prüfen oder Regeln ändern?

  4. 04

    Speicherort

    Wo liegen Eingaben, Zwischenergebnisse, Anhänge, Vektordatenbanken und Protokolle?

  5. 05

    Modell und Anbieter

    Welches Modell oder welcher Dienst passt zu Schutzbedarf, Qualität, Kosten und Betrieb?

  6. 06

    Verträge

    Welche AVV, Anbieterbedingungen, Rollen oder internen Vereinbarungen müssen geprüft werden?

  7. 07

    Protokollierung

    Was wird für Betrieb und Fehlersuche geloggt, und welche Inhalte gehören nicht ins Log?

  8. 08

    Löschung

    Wann werden Testdaten, Prompts, Uploads, Ergebnisse und Protokolle gelöscht?

Website-Assistent

Auch der eigene Assistent braucht klare Grenzen

Ein Website-Assistent ist selbst ein KI-System im Kleinen: Er verarbeitet Nutzereingaben, Quellenkontext, Antworten und technische Metadaten. Deshalb muss auch die Demo sauber beschrieben und begrenzt werden.

Beim Tertia Assistenten werden Fragen der Websitebesucher, der aktuelle Seitenkontext, passende freigegebene Quellen und die erzeugte Antwort verarbeitet. Die Vektordatenbank ist dabei nicht die Quelle der Wahrheit, sondern ein abgeleiteter Index aus freigegebenen Website- und Wissensinhalten.

Wenn externe KI-API-Dienste eingesetzt werden, müssen Anbieterrolle, Auftragsverarbeitung, Drittlandtransfer, Speicherfristen, Protokollierung und Trainingsnutzung geklärt sein. Für OpenAI-API-Dienste gilt nach Anbieterangaben, dass API-Eingaben und API-Ausgaben nicht zum Training verwendet werden, sofern dies nicht ausdrücklich aktiviert wird. Trotzdem können Anbieter Daten für Sicherheit, Betrieb und Missbrauchserkennung zeitlich begrenzt verarbeiten.

Praktisch heißt das: keine sensiblen oder vertraulichen Daten in frei zugängliche Website-Chats, kurze Logfristen, klare Quellenfreigabe, keine automatisierten Entscheidungen und transparente Hinweise in der Datenschutzerklärung.

AVV

KI-API ist kein rechtsfreier Raum.

Sobald personenbezogene Daten verarbeitet werden können, gehören AVV, Anbieterrolle, Speicherort, Löschung und Unterauftragsverarbeiter in die Prüfung.

Risiken

Typische Datenschutzrisiken

Die meisten Risiken entstehen durch unklare Nutzung, nicht durch ein einzelnes Schlagwort. Wir benennen sie konkret, damit sie im Systemdesign gelöst werden können.

Toolwahl

Sensible Daten landen in falschen Tools

Mitarbeitende kopieren Kundendaten, Mandatsdaten oder Gesundheitsdaten in Dienste, deren Rolle, Speicherort oder Trainingsnutzung nicht geklärt ist.

Anbieter

Modellanbieter bleiben unklar

Ein KI-Feature kann mehrere Dienste, APIs oder Unterauftragsverarbeiter berühren. Ohne Übersicht bleibt unklar, wer Daten verarbeitet.

Löschung

Löschkonzepte fehlen

Prompts, Uploads, Zwischenspeicher und Logs bleiben länger erhalten als fachlich nötig.

Rechte

Zugriffsrechte sind zu breit

Zu viele Personen sehen Eingaben, Ergebnisse oder Protokolle. Gerade bei sensiblen Abläufen braucht Zugriff klare Grenzen.

Verantwortung

Verantwortlichkeiten sind offen

Wenn niemand für Freigaben, Fehlerfälle oder Pflege zuständig ist, wandert Risiko in den Alltag.

Betrieb

Test- und Echtdaten vermischen sich

Prototypen mit echten Daten erzeugen unnötige Spuren. Testdaten, Produktivdaten und Freigaben müssen getrennt bleiben.

Logging

Logging wird unkontrolliert

Logs helfen beim Betrieb, können aber selbst personenbezogene Inhalte enthalten. Umfang, Zugriff und Löschung gehören früh festgelegt.

Prüfrahmen

Wie Tertia praktisch vorgeht

Wir übersetzen Datenschutzfragen in konkrete technische und organisatorische Entscheidungen. Das Ergebnis ist kein Rechtsgutachten, sondern ein nachvollziehbarer Umsetzungsrahmen.

  1. 01

    Datenfluss verstehen

    Wir zeichnen nach, wo Daten entstehen, wohin sie gehen, welche Systeme beteiligt sind und welche Ausgaben entstehen.

  2. 02

    Minimal nötige Daten bestimmen

    Wir reduzieren Kontext, schwärzen wo möglich und trennen Daten, die für die Aufgabe nicht gebraucht werden.

  3. 03

    Rollen und Zugriffe klären

    Wir legen fest, wer Eingaben macht, wer Ergebnisse freigibt, wer Logs sieht und wer Einstellungen ändern darf.

  4. 04

    Hosting und Anbieter prüfen

    Wir vergleichen lokale, europäische und externe Optionen nach Schutzbedarf, Qualität, Kosten und Betrieb.

  5. 05

    Stopps und Freigaben definieren

    Wir planen menschliche Prüfung, Eskalation und manuelle Fallbacks für Fehler, Ausnahmen und sensible Fälle.

  6. 06

    Dokumentation vorbereiten

    Zur Übergabe gehören Datenflüsse, Anbieter, Annahmen, Grenzen, Löschlogik und offene Punkte für Datenschutz oder Rechtsberatung.

KMU-Checkliste

Fragen vor dem ersten KI-Ablauf

  1. 01

    Personenbezug

    Gibt es personenbezogene Daten in Eingaben, Dokumenten, Ergebnissen oder Logs?

  2. 02

    Sensible Daten

    Sind Gesundheitsdaten, Mandatsdaten, Steuerdaten, Beschäftigtendaten oder andere besonders schutzbedürftige Inhalte betroffen?

  3. 03

    Zweckbindung

    Ist klar, wofür KI genutzt wird und wofür ausdrücklich nicht?

  4. 04

    Speicherung

    Müssen Daten gespeichert werden, oder reicht Verarbeitung ohne dauerhafte Ablage?

  5. 05

    Sichtbarkeit

    Wer darf Ergebnisse sehen, exportieren, weiterleiten oder in andere Systeme übernehmen?

  6. 06

    Fehlerfälle

    Was passiert bei falscher Zuordnung, unsicherem Ergebnis, fehlender Quelle oder technischer Störung?

EU AI Act

Sachlich einordnen

Die DSGVO und der EU AI Act beantworten unterschiedliche Fragen. Die DSGVO betrachtet personenbezogene Daten, Zweckbindung, Datensparsamkeit, Sicherheit und Rechte betroffener Personen. Der AI Act betrachtet zusätzlich Rolle, Einsatzart, Transparenz und mögliche Risikoklassen eines KI-Systems.

Für viele KMU-Anwendungen ist zunächst wichtig, ob das System intern vorbereitet, extern kommuniziert, Entscheidungen beeinflusst oder in einem sensiblen Kontext eingesetzt wird. Je näher ein System an Entscheidung, Bewertung oder Schutzrechten arbeitet, desto enger muss der Rahmen geprüft werden.

Tertia gibt dazu keine verbindliche Rechtsbewertung ab. Wir markieren technische und organisatorische Punkte, die mit Datenschutzbeauftragten oder Rechtsberatung geklärt werden sollten. Offizielle Informationen bietet die Europäische Kommission zum AI Act.

Einordnung

AI Act nicht als pauschales Siegel behandeln.

Ob und welche Pflichten greifen, hängt von Rolle, Einsatzart und Risiko ab. Diese Prüfung braucht Kontext.

Abgrenzung

Keine Rechtsberatung

Tertia ersetzt keine Rechtsberatung, keine Datenschutzbeauftragten und keine verbindliche Compliance-Prüfung. Wir helfen bei der technischen und organisatorischen Klärung: Datenfluss, Zugriff, Hosting, Modellwahl, Protokollierung, Löschung, Freigaben und Dokumentation.

Bei verbindlichen Rechtsfragen, sensiblen Daten oder kritischen Einsatzbereichen sollten Datenschutzbeauftragte oder Rechtsberatung früh einbezogen werden. Offene Punkte halten wir sichtbar fest, statt rechtliche Sicherheit zu versprechen.

Technischer Rahmen, keine Rechtszusage.

Unser Beitrag ist saubere Vorbereitung und nachvollziehbare Umsetzung. Rechtliche Bewertung bleibt bei den dafür zuständigen Stellen.

FAQ

Häufige Fragen zu Datenschutz und KI

Nein. Entscheidend sind Zweck, Datenminimierung, Zugriff, Anbieterrolle, Schutzmaßnahmen und Freigabe. Diese Punkte müssen vor dem Einsatz geklärt werden.

Wir klären technische und organisatorische Punkte und markieren offene Rechtsfragen. Verbindliche rechtliche Bewertung bleibt bei Datenschutzbeauftragten oder Rechtsberatung.

Nicht pauschal. Wir prüfen Datenarten, Anbieter, Speicherort, Verträge und Schutzbedarf. Bei sensiblen Daten bevorzugen wir DE- oder EU-Optionen, wenn sie fachlich passen.

Vor der Umsetzung klären wir, was gespeichert wird, wer Zugriff bekommt, welche Protokolle nötig sind und wann Daten gelöscht werden sollen.

Das muss pro Anbieter und Vertragsstand geprüft werden. Bei OpenAI-API-Diensten gilt nach Anbieterangaben: API-Eingaben und API-Ausgaben werden nicht zum Training verwendet, sofern dies nicht ausdrücklich aktiviert wird.

Wir prüfen Rollen, Einsatzart, Transparenz- und Dokumentationspunkte auf technischer Ebene. Eine verbindliche AI-Act-Compliance-Bewertung leisten wir nicht.

Nächster Schritt

Datenfluss prüfen lassen

Der beste Start ist ein konkreter Ablauf: eine Anfrage, ein Dokument, ein Postfach, ein Formular oder eine Übergabe, bei der KI helfen soll. In der Bestandsaufnahme prüfen wir, welche Daten beteiligt sind, welche Grenzen gelten und ob ein erster sicherer Schritt sinnvoll ist.

Sie möchten einen Ablauf mit sensiblen Daten prüfen?

Erst Datenfluss, Zweck und Zugriff klären. Dann entscheiden, ob KI sinnvoll ist.

Bestandsaufnahme anfragen

Weiterlesen

Verwandte Seiten

Starten

Bestandsaufnahme

Zwei Stunden Analyse, danach eine schriftliche Einschätzung mit nächsten Schritten.

Vertiefen

Automatisierung

Für Abläufe, die heute noch manuell durch E-Mails, Listen und Tools wandern.

Vertiefen

Lösungen

Konkrete Engpässe im Alltag: Wissensassistent, Telefondienst, Dokumente und Prozesse.