Warum das Thema gerade jetzt wichtig ist
Ob Intranet-Chatbot, Support-Assistent oder Wissenssuche über Dokumente: Viele Unternehmen setzen aktuell auf KI-Lösungen, die Inhalte aus internen Quellen abrufen und Antworten generieren. Häufig steckt dahinter ein RAG-Ansatz: Die KI greift auf eine Wissensbasis zu und formuliert daraus Antworten. Genau das macht Lösungen produktiv – und datenschutzrechtlich relevant. Denn sobald Dokumente, Tickets, E-Mails, HR-Unterlagen oder CRM-Daten in einer Wissensbasis landen, stellt sich die Frage: Welche Daten dürfen verarbeitet werden, wer ist verantwortlich und wie bleiben Betroffenenrechte umsetzbar?
Was ist RAG in einem Satz?
Retrieval-Augmented Generation bedeutet: Die KI sucht passende Inhalte aus einer Wissensquelle (Retrieval) und generiert daraus eine Antwort (Generation). Entscheidend ist nicht nur das KI-Modell, sondern auch die Datenquelle und der gesamte Prozess.
Die 7 Punkte, die Sie vor dem Go-live prüfen sollten
1. Datenhygiene: Was darf in die Wissensbasis?
Starten Sie nicht mit „alles hinein“. Legen Sie fest, welche Datenklassen ausgeschlossen sind, zum Beispiel Personalakten, Gesundheitsdaten oder vertrauliche Kundendaten. Häufig ist es sinnvoll, mit freigegebenen Richtlinien, Handbüchern, Produktinformationen oder anonymisierten Tickets zu beginnen.
2. Zweck und Rechtsgrundlage sauber definieren
Wozu genau wird der Chatbot eingesetzt? Wissenssuche intern, Support-Entlastung, Onboarding? Je klarer der Zweck, desto besser sind Dokumentation, Information und spätere Kontrolle.
3. Rollen klären: Verantwortlicher, Auftragsverarbeiter, Subdienstleiste
Wenn ein externer Anbieter die Lösung betreibt oder Daten verarbeitet, benötigen Sie in der Regel einen AV-Vertrag plus eine transparente Subdienstleister-Kette. Intern sollte klar sein, wer fachlich verantwortet und wer technisch betreibt.
4. Logging: Welche Protokolle gibt es wirklich?
Viele Systeme speichern Prompts, Antworten, Quellen oder Nutzungsstatistiken. Entscheiden Sie bewusst, welche Logs Sie benötigen. Je weniger personenbezogene Daten in Logs landen, desto einfacher wird es bei Auskunft, Löschung und Risiko.
5. Zugriff & Berechtigungen
Ein häufiger Fehler ist, dass der Chatbot „zu viel“ sehen kann. Stellen Sie sicher, dass Zugriffe auf Quellen nach Rollen gesteuert sind. Ein HR-Ordner gehört beispielsweise nicht in die Reichweite aller Mitarbeitenden.
6. Löschkonzept & Datenlebenszyklus
RAG ist nicht nur „Upload“. Fragen Sie: Wie werden Inhalte aktualisiert, gelöscht, versioniert? Was passiert mit Vektordaten, Indizes und Backups? Ohne klares Löschkonzept wird es später unnötig kompliziert.
7. Risiko-Check: Braucht es eine DSFA?
Wenn sensible Daten, umfangreiche Auswertungen oder hohe Risiken für Betroffene im Spiel sind, kann eine Datenschutz-Folgenabschätzung sinnvoll oder erforderlich sein. Das lässt sich früh prüfen, bevor die Lösung produktiv ist.
So starten Sie sicher
Beginnen Sie mit einem klar abgegrenzten Pilot. Nutzen Sie nur freigegebene Dokumente, reduzieren Sie Logs, begrenzen Sie Nutzergruppen und dokumentieren Sie Zweck sowie Verantwortlichkeiten. Erst wenn das sauber steht, erweitern Sie die Datenquellen.
So unterstützt MProtect365
Wir prüfen KI-Setups pragmatisch: Datenquellen, AV-Verträge, TOMs, Berechtigungen, Löschlogik und Dokumentation. Sie erhalten eine klare Prioritätenliste und auf Wunsch Begleitung bei der Umsetzung, damit die Lösung im Alltag funktioniert und nicht nur auf dem Papier.
FAQ
Dürfen Mitarbeitende personenbezogene Daten in Prompts eingeben?
Das sollten Sie regeln. In vielen Fällen ist es sinnvoll, klare Vorgaben zu definieren: welche Daten nie, welche nur in Ausnahmefällen und wie mit vertraulichen Informationen umzugehen ist.
Reicht ein AV-Vertrag mit dem KI-Anbieter aus?
Oft ja, entscheidend ist jedoch die tatsächliche Verarbeitung. Wichtig sind Subdienstleister, Speicherorte, Logging und die Frage, ob Daten zum Training genutzt werden oder vertraglich ausgeschlossen sind.
Wie sieht eine „saubere“ Dokumentation aus?
Mindestens: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger/Anbieter, Löschfristen, Berechtigungen, technische Maßnahmen sowie Prozesse für Auskunft und Löschung.
