Datenschutz im Arbeitsalltag verständlich, greifbar und positiv besetzen: Ein Gespräch mit Karolina Stepka

Business Circle: Sehr geehrte Frau Stepka, aus Ihrer Perspektive als zertifizierte Datenschutzbeauftragte – wie verändert der AI-Act aus Ihrer Sicht die Anforderungen an ein modernes Datenschutzmanagementsystem (DSMS)?

Karolina Stepka: Der AI-Act wird das Datenschutzmanagement künftig noch stärker in Richtung integriertes Risikomanagement lenken. Während der Fokus bisher auf der Einhaltung der DSGVO lag, fordert der AI-Act ein noch breiteres Verständnis von Datenverarbeitung – inklusive Transparenz, Nachvollziehbarkeit und ethischer Verantwortung im Umgang mit KI-Systemen.
Für ein modernes DSMS bedeutet das: Es muss künftig nicht nur Datenschutz, sondern auch KI-spezifische Risiken abbilden können – etwa bei Trainingsdaten, automatisierten Entscheidungen oder Bias. Dabei beschreibt "Bias", dass mögliche Verzerrungen in KI-Ergebnissen entstehen können, wenn Trainingsdaten unausgewogen oder fehlerhaft sind - und dadurch unbeabsichtigte Diskriminierungen begünstigen können. Systeme, die diese neuen Anforderungen automatisiert dokumentieren, bewerten und reporten können, werden zum entscheidenden Erfolgsfaktor.

BC:  Eine Frage, die viele bewegt: Wohin gehen die Daten eigentlich, die beim Prompting in KI-Systeme eingegeben werden? Welche Risiken entstehen dabei – insbesondere, wenn es um unternehmenskritische oder HR-Daten geht?

Stepka: Das ist tatsächlich eine der spannendsten Fragen rund um den Einsatz von KI-Systemen. Denn was viele unterschätzen: Alles, was wir in ein KI-System eingeben, wird verarbeitet, analysiert – und unter Umständen gespeichert oder weiterverwendet.
Gerade bei öffentlichen, cloudbasierten Modellen – etwa Chatbots oder Textgeneratoren – ist oft unklar, wo die Daten landen und zu welchem Zweck sie weiterverarbeitet werden.
Sie können in Trainingsprozesse einfließen, in Rechenzentren außerhalb der EU gespeichert oder mit anderen Datensätzen verknüpft werden. Das birgt vor allem bei unternehmenskritischen Informationen oder HR-Daten ein erhebliches Risiko: Vertrauliche Inhalte könnten unbeabsichtigt offengelegt oder im schlimmsten Fall für Dritte zugänglich werden.
Deshalb gilt: Unternehmen sollten genau prüfen, welche KI-Lösungen sie einsetzen und unter welchen Datenschutzbedingungen, und sensible Daten niemals unkontrolliert in generative KI-Systeme eingeben. Ein professionelles DSMS kann hier helfen, Richtlinien und Schutzmaßnahmen zu definieren, die den sicheren Umgang mit KI im Alltag regeln.     

BC: Daran anschließend: Gibt es aus Ihrer Sicht DSGVO-konforme Wege, wie Unternehmen KI-Tools nutzen können, ohne ein Datenschutzproblem zu riskieren?

Stepka: Ja, es gibt durchaus DSGVO-konforme Wege, KI-Tools sicher zu nutzen – entscheidend ist der richtige Rahmen. Unternehmen sollten zunächst prüfen, welche Datenarten überhaupt verarbeitet werden und ob dabei personenbezogene Informationen ins Spiel kommen. Wenn das der Fall ist, müssen Transparenz, Zweckbindung und Datensparsamkeit gewährleistet sein.

Ein sicherer Ansatz ist der Einsatz von KI-Systemen, die lokal oder in einer datenschutzkonformen Cloud betrieben werden, also mit klaren Verträgen zur Auftragsverarbeitung (Art. 28 DSGVO) und Datenverarbeitung innerhalb der EU. Auch Richtlinien für Mitarbeitende sind zentral: Wer darf welche Tools nutzen, mit welchen Daten und unter welchen Bedingungen?

Langfristig werden Unternehmen kaum darum herumkommen, KI in ihre Prozesse zu integrieren – aber sie können das bewusst und kontrolliert tun. Ein gut aufgesetztes Datenschutzmanagementsystem (DSMS) hilft dabei, die Nutzung von KI transparent zu steuern, Risiken zu dokumentieren und Compliance dauerhaft sicherzustellen.     

BC: Welche Kriterien sollten zur Einschätzung herangezogen werden, ob ein KI-Einsatz im Unternehmen datenschutzrechtlich vertretbar (und wünschenswert) ist?

Stepka: Ob der Einsatz von KI datenschutzrechtlich vertretbar ist, hängt im Wesentlichen von drei Faktoren ab: Transparenz, Zweck und Risiko. Unternehmen sollten sich fragen:

• Ist nachvollziehbar, wie und auf welcher Datenbasis die KI Entscheidungen trifft?
• Dient der Einsatz einem klar definierten, legitimen Zweck, der mit den Grundsätzen der DSGVO vereinbar ist?
• Sind die Risiken für die betroffenen Personen – etwa durch Fehlentscheidungen, Profiling oder Diskriminierung – angemessen bewertet und minimiert?

Darüber hinaus ist entscheidend, ob geeignete technische und organisatorische Maßnahmen (TOMs) implementiert sind, um Daten zu schützen, und ob Mitarbeitende im Umgang mit KI sensibilisiert werden.
Kurz gesagt: Datenschutzkonforme KI bedeutet nicht, Innovation zu bremsen – sondern sie bewusst, nachvollziehbar und verantwortungsvoll einzusetzen.

Eine Regelwerk allein hilft nicht, wenn es nicht gelebt wird.    

BC: Ein häufig unterschätzter Faktor ist die sogenannte „menschliche Firewall“ – also Mitarbeiter, die KI nutzen, ohne die datenschutzrechtlichen Anforderungen zu kennen. Wie geht man mit dieser Herausforderung um?

Stepka: Die „menschliche Firewall“ ist tatsächlich einer der kritischsten – und gleichzeitig am meisten unterschätzten – Faktoren im Umgang mit KI. Selbst das beste Datenschutzmanagementsystem nützt wenig, wenn Mitarbeitende nicht wissen, welche Daten sie in ein KI-Tool eingeben dürfen – und welche auf keinen Fall.
Hier hilft kein reines Regelwerk, sondern Aufklärung und Bewusstsein. Unternehmen sollten Schulungen anbieten, die KI nicht als Risiko, sondern als Werkzeug erklären – verbunden mit klaren Leitlinien: Was darf ins System, was nicht? Welche Tools sind freigegeben? Wie erkenne ich eine potenzielle Datenschutzfalle?
Entscheidend ist, dass Datenschutz im Arbeitsalltag verständlich, greifbar und positiv besetzt wird. Denn die menschliche Firewall funktioniert nur dann zuverlässig, wenn Mitarbeitende nicht aus Angst, sondern aus Überzeugung datenschutzkonform handeln.     

BC: Was sind andere typische Schwachstellen, die Sie in der Praxis immer wieder beobachten – und wie lassen sie sich vermeiden?

Stepka: Typische Schwachstellen sind unklare Verantwortlichkeiten, lückenhafte oder veraltete Dokumentation, mangelhafte Zugriffskontrollen, fehlendes Monitoring und Nachhalten von Änderungen sowie unzureichende Lieferanten /Drittanbieter Kontrollen. Vermeiden lassen sich diese Probleme durch klare Rollen  und Verantwortungszuweisung (z. B. RACI), laufende Pflege und Versionierung relevanter Dokumente, das Prinzip „least privilege“ kombiniert mit Logging und automatischen Alerts sowie regelmäßige Audits, Patch Zyklen und verpflichtende Schulungen für Mitarbeitende.

Beispiel: Wenn niemand für die Freigabe von Zugriffsrechten zuständig ist, entstehen Over Privilegien — eine einfache Gegenmaßnahme ist ein genehmigungspflichtiger Workflow mit monatlicher Bereinigung (automatischer Review) und dokumentierter Freigabe.     

BC: Abschließend: Das wird Ihre erste Konferenz bei uns, Glückwunsch dazu! Was möchten Sie bei Ihrem Publikum erreichen und was möchten Sie selbst mitnehmen um zu sagen „Das hat sich gelohnt“?

Stepka: Bei meinem Publikum möchte ich vor allem Verständnis und konkrete Handlungsimpulse erzeugen – dass sie nach der Konferenz nicht nur informiert sind, sondern auch wissen, wie sie die Inhalte praktisch umsetzen können. Für mich selbst ist entscheidend, neue Perspektiven zu gewinnen, den Austausch mit Expert:innen zu nutzen und Impulse mitzunehmen, die meine eigenen Strategien und Prozesse verbessern. Wenn ich am Ende sagen kann: „Die Teilnehmenden gehen inspiriert und handlungsfähig nach Hause, und ich habe wertvolle Anregungen für meine Arbeit bekommen“, dann hat sich die Konferenz gelohnt.

BC: Sehr geehrte Frau Stepka, vielen Dank für dieses inspirierende Gespräch. Wir freuen uns schon sehr, auf der PriSec live noch mehr von Ihnen zu hören!

‍