Über 20 Jahre digitale Projekte, 400+ Projekte, und seit einigen Jahren mittendrin in der vielleicht größten Transformation, die unsere Branche je erlebt hat: Künstliche Intelligenz. Dieser Artikel ist ein persönlicher Rückblick – und der Auftakt zu einer neuen Rubrik hier auf datenschutz-ersthilfe.de.
Wie ich KI erlebe – und warum das kein Hype ist
Ich erinnere mich noch gut an das erste Mal, als ich ernsthaft mit einem Large Language Model gearbeitet habe. Nicht als Spielerei, sondern als Werkzeug mitten in einem laufenden Projekt. Der Gedanke war: Mal sehen, ob das wirklich etwas taugt. Die Antwort war eindeutig – und hat meine Arbeitsweise seither nachhaltig verändert.
Heute nutze ich KI täglich. In der Datenschutzberatung, um komplexe Sachverhalte schnell zu strukturieren, Vertragsklauseln zu analysieren oder Dokumentationspakete effizient zu erstellen. In der Projektarbeit mit meiner Firma Code Connection, wo wir KI-gestützte Lösungen für Kunden entwickeln und betreiben – von RAG-Architekturen auf privater Infrastruktur bis hin zu spezialisierten Assistenzsystemen im Gesundheitswesen.
Was mich dabei von Beginn an beschäftigt hat, ist nicht die Frage „Kann KI das?“, sondern: „Darf KI das – und unter welchen Bedingungen?“
Der blinde Fleck der meisten KI-Einführungen
Wenn Unternehmen heute KI-Tools einführen – ob für Marketing, Kundenservice, interne Prozesse oder Rechtsdokumentation – passiert das erschreckend oft ohne eine strukturierte datenschutzrechtliche Prüfung. ChatGPT im Browser, Copilot mit dem Microsoft-365-Account, ein Cloud-Dienst aus den USA – und die DSGVO bleibt Nebensache.
Das ist kein Vorwurf. Es ist ein Systemfehler. Die Tools sind schnell, intuitiv, überzeugend. Die Compliance ist komplex, zeitaufwändig und fühlt sich nach Bremse an. Aber: Die Bremse ist auch das, was verhindert, dass man die Kontrolle verliert.
Als externer Datenschutzbeauftragter erlebe ich diese Spannung in jedem Mandat. Und genau deshalb ist dieses Thema inzwischen ein Kernstück meiner Beratungsarbeit: Nicht KI verhindern – sondern KI möglich machen, ohne die Rechte der Betroffenen zu opfern.
Was ich gelernt habe über KI
Ein paar Erkenntnisse, die sich in den letzten Jahren verfestigt haben:
- Datensparsamkeit ist kein Gegner von KI-Qualität. Gute Modelle brauchen nicht zwingend personenbezogene Daten. Wer von Anfang an anonymisiert, pseudonymisiert und lokal verarbeitet, schafft robustere Systeme – nicht schlechtere.
- Der Vertrag entscheidet. Die technische Lösung eines Anbieters ist erst halb der Weg. Was im AVV steht – Speicherdauer, Subauftragsverarbeiter, Drittlandtransfer, Haftungsregelungen – das ist die eigentliche Risikoebene. Hier trennt sich seriöse Compliance von Checkbox-Datenschutz.
- KI-Beauftragter und Datenschutzbeauftragter werden zunehmend zur gleichen Rolle. Wer heute KI-Projekte verantwortet, muss DSGVO, ISO 42001 und die Anforderungen des EU AI Acts gleichzeitig im Blick haben. Das ist kein Zufall – und kein schlechtes Timing für meine Zertifizierungen.
Eine neue Rubrik: DSGVO-konforme KI-Tools, die wirklich funktionieren
Aus dieser Erfahrung heraus starte ich hier auf datenschutz-ersthilfe.de eine neue Rubrik: DSGVO-konforme KI – Tools, Services und LLMs, die ich kenne, geprüft habe oder aktiv empfehle.
Kein Sponsored Content. Keine Affiliate-Links. Nur Einschätzungen aus der Praxis eines Datenschutz- und KI-Beraters, der diese Dienste im Kontext echter Mandatsarbeit bewertet.
Den Anfang machen drei Anbieter, die exemplarisch zeigen, was DSGVO-konforme KI in der Praxis bedeuten kann:
U-Know.AI – RAG-Architektur auf privater Infrastruktur
U-Know ist für mich ein Referenzpartner, wenn es um KI-Architekturen geht, bei denen Datensouveränität keine Verhandlungssache ist. Der Ansatz: Retrieval-Augmented Generation (RAG) auf on-premise- oder private-cloud-Infrastruktur, ohne dass Unternehmensdaten die eigene Umgebung verlassen. Für Kunden in regulierten Branchen – Gesundheit, Medien, Finanzdienstleistungen – ist das kein Nice-to-have, sondern Grundvoraussetzung. Ich setze U-Know im Rahmen konkreter Kundenprojekte ein und schätze besonders die technische Tiefe und die datenschutzrechtliche Verlässlichkeit der Architekturentscheidungen.
logicc – Compliance-Intelligenz im deutschsprachigen Raum
logicc adressiert einen Bereich, der in vielen Unternehmen unterversorgt ist: die strukturierte Verarbeitung von Compliance-relevanten Inhalten mit KI-Unterstützung. Der Ansatz ist auf den deutschsprachigen Rechtsraum zugeschnitten – und damit auf die konkreten Anforderungen von DSGVO, AVV und behördlichen Vorgaben. Für Datenschutzbeauftragte und Compliance-Verantwortliche ist das eine andere Ausgangsbasis als generische US-amerikanische LLM-Dienste.
Fonio – österreichischer KI-Service im Rechenzentrum Hetzner Nürnberg
Fonio aus Österreich hat mich aus einem bestimmten Grund auf den Radar: Der Dienst betreibt seine KI-Infrastruktur im Rechenzentrum von Hetzner in Nürnberg – in Deutschland, innerhalb der EU, ohne Drittlandtransfer. Das ist datenschutzrechtlich nicht trivial. Wer Art. 46 DSGVO, Standardvertragsklauseln und Drittlandrisiken kennt, weiß: Ein Anbieter, der von Anfang an auf EU-Infrastruktur setzt, löst eine ganze Klasse von Problemen bevor sie entstehen. Das ist – neben der Qualität der eigentlichen KI-Dienstleistung – ein echtes Differenzierungsmerkmal.
Was diese Rubrik leisten soll
KI-Entscheidungen sind Infrastrukturentscheidungen. Sie betreffen Daten, Prozesse, Verträge und Haftung auf Jahre hinaus. Wer heute die falschen Weichen stellt, hat morgen ein Problem – nicht nur technisch, sondern rechtlich.
Diese Rubrik soll Orientierung geben: Welche Dienste sind seriös geprüft? Welche Architekturentscheidungen schützen Unternehmen vor Drittlandrisiken? Welche Vertragsklauseln sind Standard – und welche sind Ausreißer, die Verhandlungsbedarf signalisieren?
Wenn Sie als Unternehmen, als IT-Verantwortlicher oder als Datenschutzbeauftragter einen konkreten KI-Dienst einschätzen lassen möchten – melden Sie sich. Genau dafür bin ich da.
Philip Essinger
Externer Datenschutzbeauftragter, KI-Beauftragter (ISO 42001), Digitalberater
Essinger Consulting (München)