EXPERT:IN

Christian Jaksch
Klaus Alpmann
Mar 24, 2026

TOPICS

Finance, Legal & Tax

EVENTS

PriSec - ­Privacy & Security GERMANY

Automatisierte und KI-unterstützte Datenschutz-Compliance. Erfahrung aus der Automobilindustrie. Interview mit Klaus Alpmann und Christian Jaksch

Klaus Alpmann und Christian Jaksch sind bei CARIAD SE, einem Unternehmen der Volkswagen Gruppe. Wir sprechen über mehr Transparenz, mehr Dokumentation – aber auch mehr Komplexität in der Industrie und inwiefern die DSGVO ihr Ziel erreicht hat.

BC: Sehr geehrter Herr Alpmann, sehr geehrter Herr Dr. Jaksch, zehn Jahre DSGVO – eine Benchmark, wie Sie selbst im aktuellen Sammelband (Schwartmann/Jansen/Köhler (Hrsg), Casebook European Data Law)  welcher Ende Mai erscheinen wird, betonen. Aber mit Blick auf die Praxis: Ist Datenschutz heute besser umgesetzt – oder nur besser dokumentiert?

Klaus Alpmann / Christian Jaksch: Die DSGVO hat die Awarness für Datenschutz stark gesteigert und die Motivation zur Dokumentation von Verarbeitungstätigkeiten in den Unternehmen stark erhöht. Die Dokumentation von Verarbeitungstätigkeiten ist der Kern der Transparenz über die Verarbeitung personenbezogener Daten. Insofern wissen Unternehmen heute mehr über ihre internen Verarbeitungen Bescheid und somit auch über die damit verbundenen Risiken. Das ist der stark positive Aspekt. Insofern ist die Bedeutung von Datenschutz gesellschaftlich gestiegen und die Gewährleistung einer transparenten, sicheren und zweckgebundenen Verarbeitung personenbezogenen Daten wurde stark verbessert.

Es gibt durch die DSGVO aber auch einen negativen Aspekt, weil DSGVO zu einer sehr starken Verrechtlichung des Datenschutzes führte.  Früher wurden Datenschutzthemen zwar von Juristen rechtlich beraten, es war aber häufig so, dass von Juristen beratene Informatiker, ITler, oder Physiker mit IT-Schwerpunkt letztlich operativ den Datenschutz betrieben womit Prozesse vielfach sehr praxisnahe und operativ blieben. Aufgrund der seither massiv gestiegenen rechtlichen Risiken besteht aber häufig ein Schwerpunkt der Konzentration in rechtlichen Texten / rechtlichen Dokumenten / Verträgen / rechtlichen Erklärungen, welche aber zum faktischen bzw. technisch-organisatorischen Schutz personenbezogener Daten wenig beitragen, sondern letztlich von Juristen/innen für Juristen/innen verfasst werden.  

BC: Im Automotive-Bereich entstehen rund um vernetzte Fahrzeuge hochkomplexe Datenökosysteme. Ist die DSGVO dafür das passende Instrument – oder hinkt die Regulatorik wie häufig der Technologie hinterher?

Alpmann / Jaksch: In der Softwareentwicklung wird die operative Herausforderung des Datenschutzes sehr deutlich, weil die DSGVO ihre Rechte und Pflichten an den Verantwortlichen adressiert (und davon quasi abgeleitet an den Auftragsverarbeiter), nicht jedoch an die Softwareentwickler. Daraus ergibt sich eine besondere Herausforderung, weil der Softwareentwickler zwar die Perspektive des Verantwortlichen iSd. DSGVO einnehmen muss, aber die tatsächliche Verantwortung gegenüber betroffenen Personen und Behörden liegt jedoch aber weiterhin immer bei dem die fertige Software einsetzenden Verantwortlichen (also z.B. in der VW Group die jeweilige Marke) – und damit bei unterschiedlichen Aufsichtsbehörden, Rechtsauslegungen und Datenschutzkulturen je Land. Dies führt zu umfangreichen konzerninternen Übergabeprozessen sowie hohen Dokumentationsanforderungen in der gemeinsamen Zusammenarbeit und bringt letztlich erhebliche bürokratische Belastungen in Entwicklungsprozessen mit sich.

Herausforderung Datenschutz in komplexen Dienstleistungsketten

BC: Ein aktuelles und vollständiges Verzeichnis der Verarbeitungstätigkeiten („VVT“) setzt eine enge Vernetzung, bzw. Zusammenarbeit zwischen den Fachabteilungen auf der einen und Legal/Datenschutz/Compliance auf der anderen Seite voraus. Ist diese Erwartung realistisch und wo entstehen typischerweise die Reibungspunkte?

Alpmann / Jaksch: Der Fachbereich (also das Unternehmen) muss genau wissen und in Erfahrung bringen, welche Daten, für welche Zwecke gebraucht werden und warum sie für die konkrete Verarbeitung erforderlich sind. Ohne dieses Wissen, kann der Datenschutzbeauftragte keine Beratung durchführen. In komplexen Dienstleistungsketten sind diese wichtigen Informationen teilweise nicht so einfach in der Kette zu erfassen bzw. beizubringen.

BC: Das VVT nach Art. 30 DSGVO gilt als zentrales Instrument. Wie müsste es in der Praxis genutzt werden, um mehr zu sein als reine Dokumentationspflicht oder „Compliance-Register“?

Alpmann / Jaksch: Über ein voll ausgebautes und weit über den Gesetzeswortlaut des Art 30 DSGVO hinausgehendes Verzeichnis der Verarbeitungstätigkeiten lassen sich viele weitere DSGVO-Pflichten zentral und bürokratiereduzierend umsetzen. Die Deutsche Datenschutzkonferenz hat dies sehr gut zusammengefasst, für was sich alles ein umfassendes Verzeichnis der Verarbeitungstätigkeit als zentrales Dokumentationstool allein aus der Perspektive der DSGVO bereits eignet:

• für die Festlegung der Verarbeitungszwecke (Art. 5 Abs. 1 lit. b DSGVO):

• für Zwecke der Rechenschafts- und Dokumentationspflicht (Art. 5 Abs. 2, Art. 24 DSGVO):

   o als Nachweis der Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a DSGVO,

    o als Nachweis der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO,

    o als Nachweis der Richtigkeit und Aktualität der Daten nach Art. 5 Abs. 1 lit. d DSGVO

• als geeignete Maßnahme zur Erfüllung der Betroffenenrechte (Art. 12 Abs. 1 DSGVO);

• zur Schaffung und als Nachweis geeigneter technischer und organisatorischer Maßnahmen (Art. 24 Abs. 1 und Art. 32 DSGVO);

• zur Prüfung, ob eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO erfolgen muss;

• als Basis für die Aufgabenerfüllung des Datenschutzbeauftragten (Art. 39 DSGVO).

Vgl. https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf

BC: Welche zusätzlichen Anforderungen – etwa aus der KI-Verordnung lassen sich über ein IT-gestütztes VVT sinnvoll abbilden? Und wo liegt darin der Mehrwert für Unternehmen?

Alpmann / Jaksch: Die KIVO verfolgt als originäres Produktsicherheitsrecht grundsätzlich einen anderen Zugang als die DSGVO. Allerdings verwirklichen sich die vom Europäischen Gesetzgeber in der KIVO erfassten Risiken im Regelfall erst, wenn diese KI-Systeme bzw. KI-Modelle personenbezogene Daten verarbeiten/verarbeiten sollen (vgl. dazu Anhang III KIVO). In der Folge besteht über die vom Europäischen Gesetzgeber definierten kritischen KI-Zwecke sowie auch die tlw. Synchronisation von Dokumentationsanforderungen zwischen DSGVO und KIVO (z.B. Art 26 Abs 9 KIVO) eine starke Nähe. Diesen Zusammenhang haben auch zwei deutsche Aufsichtsbehörden erkannt (HmbBfDI und ULD Schleswig-Holstein), die – sehr stark zusammengefasst – vorschlagen, dass die KIVO im Hinblick auf KI Systeme und KI Modelle die abstrakten Prinzipien der DSGVO präzisiert. Hat man also ein KI System, welches vollständig mit der KI VO compliant ist (iSv. legitime Einsatzzwecke iSd. KIVO, Umsetzung der in der KIVO geforderten TOMs, ordentliche Dokumentation), dann kann man das KI-System auch grundsätzlich DSGVO konform einsetzen, weil alle nach KIVO zu treffende Maßnahmen letztlich die abstrakten DSGVO-Vorgaben bzgl. KI-Systeme, die personenbezogene Daten verarbeiten, konkretisieren. Im Detail ist es natürlich komplexer (insb. aufgrund der abweichend definierten Rollen zwischen DSGVO – KIVO), aber der grundsätzliche Zugang der beiden deutschen Aufsichtsbehörden, der stimmt aus unserer Sicht vollständig und ist begrüßenswert. Ein zentrales Dokumentationssystem, wo die DSGVO-Dokumentation auf die ebenso dort vorliegende KIVO Dokumentation als Begründung der Sicherstellung der abstrakten Datenschutz-Prinzipen zurückgreift, kann hier die mögliche Lösung sein, um Bürokratiekosten zu sparen und für maximale innerbetriebliche Transparenz zu sorgen.

Näheres zu diesem aufsichtsbehördlichen Vorschlag, dass die abstrakten DSGVO-Prinzipien hinsichtlich KI-Systeme von der KI VO präzisiert werden: https://anwaltsblatt.anwaltverein.de/de/themen/recht-gesetz/bridge-blueprint  und https://background.tagesspiegel.de/digitalisierung-und-ki/briefing/neues-papier-ist-brueckenschlag-fuer-die-praxis

BC: Abschließend: Wir durften Sie letztes Jahr schon bei der österreichischen Ausgabe der PriSec begrüßen. Möchten Sie Ihren Eindruck von dieser Konferenz mit uns teilen?

Alpmann / Jaksch: Wir waren das erste Mal bei der österreichischen PriSec 2025 als Vortragende, es hat uns sehr gefallen und wir freuen uns auf die deutsche PriSec 2026 in Frankfurt.

BC: Sehr geehrter Herr Alpmann, sehr geehrter Herr Dr. Jaksch, Vielen Dank für dieses differenzierte Gespräch – und für die klare Einordnung, wo Datenschutz heute tatsächlich steht. Wir freuen uns auf Ihren Auftritt bei der PriSec, um mehr darüber zu erfahren, wie Datenschutz sich nicht in Papieren misst, sondern in funktionierenden Prozessen.

Weiterführende Links:

Anhang III KIVO

Art 26 Abs 9 KIVO

Veranstaltungsgalerie

No items found.

UNSERE EXPERT:INNEN

Christian Jaksch

CARIAD SE

Compliance & Legal Lead

Dr. Christian Jaksch, LL.M. arbeitet als Compliance & Legal Lead bei der CARIAD SE im Bereich Integrität, Compliance & Datenschutz und berät derzeit die markenübergreifende Bündelung der Softwareentwicklung im Volkswagen Konzern. Er beschäftigt sich insbesondere mit Fragestellungen im Zusammenhang mit der Fahrzeugdatenverarbeitung, der Umsetzung des Datenschutzes im Rahmen der Softwareentwicklung, dem Beschäftigtendatenschutz sowie mit EU-rechtlichen Schnittstellenthemen zwischen DSGVO / ePrivacy-RL und Data Act VO, KI VO,NIS-2.0-RL, CRA-VO, Digitale-Inhalte-RL. Vor seinem Eintritt in die CARIAD SE war Dr. Christian Jaksch für den Konzerndatenschutzbeauftragten der Volkswagen AG tätig.

Klaus Alpmann

CARIAD SE

Global Head of Group Data Protection

Klaus Alpmann ist Jurist mit umfangreicher Expertise im Bereich Datenschutz und Informationssicherheit. Als Global Head of Group Data Protection und Vice President bei CARIAD SE, einem Unternehmen der Volkswagen Gruppe. Er leitet erfolgreich globale Datenschutzstrategien und implementiert innovative Lösungen für das Datenschutzmanagement. In seiner Karriere hat er unter anderem bei MAN, Munich Re und der WEKA Media Verlagsgruppe wegweisende Datenschutz- und Compliance-Systeme entwickelt, die in Audits höchste Bewertungen erhielten.

Browse our upcoming Conferences

All Conferences
Konferenzen

Kapitalmarktrecht

24
.
March
2026
24. März 2026
Nächster Termin folgt in Kürze
Konferenzen

Circular Economy Stream

26
.
March
2026
26. / 27. März 2026
Nächster Termin folgt in Kürze
Konferenzen

6. Austrian Sustainability Summit

26
.
March
2026
26. / 27. März 2026
Nächster Termin folgt in Kürze

Other articles

26.3.26
Compliance als Werttreiber Interview mit Andreas Marbeiter
Finance, Legal & Tax
20.3.26
Regulatory Monitoring - vom Gesetzesentwurf bis zur Umsetzung im Betrieb
Finance, Legal & Tax
19.3.26
FMA-Fokus auf KI und Finanzsanktionen
Finance, Legal & Tax
Strategy & Industries
Text Link
Finance, Legal & Tax
Text Link
Datenschutz