CHRISTIAN OHLE

DSGVO · lokale KI · Praxisnotizen

KI nutzen, ohne sensible Daten blind in die Cloud zu kippen.

Diese Seite ist ein neutraler Einstieg in KI-Datenschutz: Welche Daten sind unkritisch, wann braucht es Anonymisierung, und wann ist lokale KI mit Ollama oder Self-Hosting der bessere erste Lernpfad?

Grundlagen lesen → Lokale Tools ansehen
  • Datenminimierung
  • lokale Modelle
  • Self-Hosting
  • menschliche Freigabe

Warum dieser Pillar

Viele KI-Fragen sind eigentlich Datenfluss-Fragen.

Die praktische Frage lautet selten „Welches Modell ist am besten?“. Häufiger geht es darum, welche Daten in einem Ablauf auftauchen, wohin sie übertragen werden, wer sie sieht, wie lange sie gespeichert werden und ob ein Mensch das Ergebnis prüft. Genau dort entsteht Vertrauen — nicht durch Tool-Hype.

Risikomatrix

Drei einfache Datenzonen vor dem ersten KI-Test

Keine Rechtsberatung, sondern eine praktische Orientierung für eigene Experimente und Lernläufe.

Grün

Öffentliche oder künstliche Beispieldaten

Gut für erste Tests: Dummy-Daten, öffentliche Texte, selbst geschriebene Beispiele, grobe Strukturentwürfe und Prompts ohne Personenbezug.

Gelb

Interne Informationen ohne Personenbezug

Nur mit Vorsicht: interne Prozesse, Zahlen, Produktdetails oder Rohnotizen. Hier zählen Tool-Freigabe, Zugriff und Speicherort.

Rot

Personenbezogene oder vertrauliche Daten

Vorher klären: Einwilligung, Rechtsgrundlage, AVV, Datenminimierung, Speicherfristen und menschliche Freigabe. Lokale Verarbeitung ist oft der sicherere Lernpfad.

Lokale KI statt Reflex-Cloud

Vier Muster, die ich für sensible Workflows zuerst prüfen würde

Lokales LLM

Ollama oder ein ähnliches Setup verarbeitet Texte auf eigener Hardware. Gut für sensible Entwürfe, aber mit Qualitäts- und Wartungsaufwand.

Self-hosted Workflow

n8n selbst betrieben reduziert Datenwege und macht Freigaben sichtbarer. Entscheidend sind Updates, Zugriffsschutz und Protokollierung.

Hybrid mit Platzhaltern

Cloud-Modelle können mit anonymisierten Platzhaltern arbeiten, während Identitäten und Rohdaten lokal bleiben.

Menschliche Freigabe

Kein sensibler Workflow sollte direkt veröffentlichen, versenden oder entscheiden. Review ist Teil der Architektur, nicht Nacharbeit.

Passende Workflows

Abläufe, bei denen Datenschutz früh mitgedacht werden sollte

operations Meeting-Notizen automatisieren Meeting-Aufnahmen und Transkripte nur mit Einwilligung, Speicherfrist und klarer Zugriffskontrolle verarbeiten. support FAQ aus Supporttickets erstellen Tickets vor Analyse anonymisieren; Namen, Bestellnummern und sensible Daten entfernen oder pseudonymisieren. support Kundenfeedback mit KI auswerten Feedback vor Analyse anonymisieren und sensible Kundendaten entfernen; besonders bei Beschwerden und Gesundheits-/Finanzdaten vorsichtig sein. sales CRM-Notizen zusammenfassen CRM-Daten enthalten personenbezogene und geschäftskritische Informationen; nur freigegebene Tools und Zugriffskontrollen nutzen. hr Bewerbungen mit KI vorsortieren Bewerbungsdaten sind besonders sensibel. Rechtsgrundlage, Transparenz, Löschfristen, Bias-Prüfung und menschliche Entscheidung sind Pflicht. operations Rechnungen mit KI vorbereiten Rechnungsdaten sind sensibel. Verarbeitung nur in freigegebenen Systemen, mit Zugriffskontrolle und finaler menschlicher Prüfung.

Tool-Schicht

Tools nach Datenweg prüfen

Die Tool-Frage kommt nach der Datenfrage: lokal, self-hosted, teilweise geeignet oder kritisch für sensible Rohdaten.

Ollama eher geeignet n8n eher geeignet ComfyUI eher geeignet Claude abhängig vom Setup ChatGPT abhängig vom Setup NotebookLM vorsichtig prüfen

Rollen-Schicht

Wo Datenschutz besonders schnell relevant wird

Einige Rollen arbeiten fast automatisch mit sensiblen Inputs. Dort sollte der erste Test besonders klein sein.

KI für Projektmanager: Meetings, Protokolle und Statusberichte Meeting-Transkripte enthalten oft personenbezogene Daten und vertrauliche Informationen; Einwilligung, Aufbewahrung und Anbieter-Vertrag müssen geklärt sein. KI für Assistenz & Office Management: E-Mail, Termine und Dokumente Office-Arbeit enthält häufig personenbezogene Daten; vor KI-Nutzung sollten Namen, Vertragsdetails und interne Kennzahlen minimiert oder anonymisiert werden. KI für Customer Support: FAQs, Tickets und Antwortentwürfe Support-Tickets enthalten personenbezogene Daten und Vertragsinformationen; für KI-Auswertung sind Datenminimierung, AVV und Rollenrechte zentral. KI für HR Manager & Recruiter: Screening, Fragen und Onboarding Bewerbungsunterlagen sind besonders schutzwürdig. KI-Einsatz braucht klare Rechtsgrundlage, Datenminimierung, Zugriffskontrolle und transparente Prozesse. KI für Unternehmensberater: Analyse, Workshops und Deliverables Kundenunterlagen enthalten oft vertrauliche Geschäfts- und Personendaten; vor KI-Nutzung sind NDA, AVV, Datenminimierung und Freigaben zu prüfen.

Sicherer erster Test

So startet ein KI-Workflow, ohne zu früh echte Daten zu nutzen

01

Datenart bestimmen

Notiere, ob im Ablauf Namen, Kontaktdaten, Gesundheitsdaten, Bewerbungen, Finanzdaten, Verträge oder vertrauliche Inhalte vorkommen.

02

Minimalen Testfall bauen

Nutze zuerst Dummy-Daten oder anonymisierte Ausschnitte. Prüfe nur, ob der Ablauf grundsätzlich hilft.

03

Tool-Weg festlegen

Entscheide zwischen lokal, self-hosted, EU-/Enterprise-Setup oder Cloud mit Platzhaltern. Die Datenart entscheidet, nicht die Tool-Vorliebe.

04

Freigabe und Löschung klären

Dokumentiere, wer Ergebnisse prüft, wie lange Daten liegen bleiben und welche Inputs gar nicht in das System dürfen.

05

Erst danach skalieren

Wenn Qualität, Risiko und Nutzen sichtbar sind, kann der Workflow stärker automatisiert oder mit bestehenden Tools verbunden werden.

Weiterlesen

Bestehende Notizen, die diesen Pillar stützen

DSGVO und KI: was du wissen musst Grundlagenartikel zur Einordnung von Datenschutz und KI-Nutzung. Lokales LLM mit Ollama installieren Technischer Einstieg in lokale Modelle auf eigener Hardware. KI-PC für Agent-Development Hardware-Notizen für lokale KI-Workloads und Agent-Experimente.

FAQ

Häufige Fragen zu KI, DSGVO und lokaler Verarbeitung

Ist ChatGPT oder Claude automatisch DSGVO-widrig?

Nein, pauschal lässt sich das nicht sagen. Entscheidend sind Datenart, Anbieterbedingungen, Speicherort, Vertrag, Zweck und ob personenbezogene oder vertrauliche Informationen verarbeitet werden.

Wann ist lokale KI sinnvoll?

Lokale KI ist besonders sinnvoll, wenn Rohdaten den Rechner nicht verlassen sollen: Meeting-Notizen, Bewerbungsunterlagen, interne Dokumente, vertrauliche Entwürfe oder sensible Transkripte.

Reicht Anonymisierung vor der Cloud-Nutzung?

Oft hilft sie, aber sie muss wirklich sauber sein. Namen ersetzen reicht nicht immer, wenn Kontext, Rollen, IDs oder seltene Ereignisse Personen wieder erkennbar machen.

Was ist ein sicherer erster KI-Test?

Ein kleiner Test mit Dummy-Daten, klarer Fragestellung, sichtbarem Qualitätscheck und ohne automatische Außenwirkung. Erst danach wird über echte Daten und Automatisierung entschieden.