top of page
  • LinkedIn
  • Youtube
Suche

«Datenschutz» als Killerargument: Warum er KI selten wirklich blockiert

  • Autorenbild: David Schneeberger
    David Schneeberger
  • 13. Apr.
  • 3 Min. Lesezeit

«Das geht nicht, Datenschutz.» Dieser Satz ist in Organisationen weit verbreitet, wenn KI-Vorhaben auf den Tisch kommen. Er klingt nach rechtlichem Befund. Meistens ist er Ausdruck von Unsicherheit, fehlender Analyse oder bequemer Entscheidungsvermeidung. Das Muster ist nicht neu. Es existiert seit den ersten Cloud-Diskussionen und seit jeder Digitalisierungswelle der letzten zwanzig Jahre. Was neu ist: KI macht das Muster sichtbarer und dringlicher.


Das Muster: Datenschutz als Gesprächsabschluss

Ein Fachbereich erkennt Nutzen durch KI. Jemand bringt Datenschutz ins Spiel. Das Projekt stoppt. Alle sind erleichtert, weil niemand entscheiden muss. Datenschutz wird zur Abkürzung für Unsicherheit, die sich niemand leisten will zu benennen.

Die implizite Annahme hinter diesem Muster lautet: Wenn Personendaten betroffen sind, ist KI unzulässig. Das ist falsch. Personendaten werden täglich bearbeitet, in Kanzleien, Behörden, Spitälern, Unternehmen, auch ohne KI und auch ohne besondere Rechtsprobleme. Datenschutz verbietet keine Technologie. Er verlangt Zweckbindung, Transparenz, Verhältnismässigkeit, Kontrolle und ein angemessenes Schutzniveau. Diese Anforderungen sind erfüllbar, wenn man die richtigen Fragen stellt.


Was Datenschutz bei KI tatsächlich fordert

Das DSG stellt nicht die Frage «KI ja oder nein», sondern: Welche Personendaten werden bearbeitet? Zu welchem Zweck? Wer ist verantwortlich? Welche Risiken entstehen für Betroffene? Welche Massnahmen reduzieren diese Risiken? Wer diese Fragen sauber beantwortet, verliert das Killerargument seine Kraft. Datenschutz wird operativ handhabbar, nicht als Hindernis, sondern als Prüfrahmen, der zum Ergebnis führt.

Das ist keine Verharmlosung. Datenschutz kann durchaus zur realen Einschränkung führen: wenn besonders schützenswerte Daten ohne ausreichende Grundlage verarbeitet werden sollen, wenn Amts- oder Berufsgeheimnisse mit ungeeigneten Providern geteilt werden, oder wenn keine tragfähige Rechtsgrundlage besteht. Diese Situationen sind real. Aber sie sind die Ausnahme, nicht die Regel.


Die drei echten Ursachen hinter dem Killerargument

Unklare Datenflüsse: Wenn niemand weiss, welche Daten in ein Tool gelangen, wo sie verarbeitet werden und wer darauf zugreift, ist ein vorläufiger Stopp konsequent. Das Problem ist aber nicht der Datenschutz, es ist die fehlende Analyse. Sobald die Datenflüsse kartiert sind, ist die Blockade meistens auflösbar.

Fehlendes Schutzkonzept: Ohne definierte Zonen (was ist erlaubt, was ist verboten, was braucht Freigabe) bleibt nur das pauschale Nein. Wer ein Ampelmodell mit Grün, Gelb und Rot entwickelt, gibt der Organisation eine Grundlage für differenzierte Entscheide statt Totalblockaden.

Versteckte Risiken ohne Datenschutzbezug: Unter «Datenschutz» werden in der Praxis häufig ganz andere Bedenken versteckt: Reputationsrisiken, Führungsverantwortung, die niemand übernehmen will, Sorge vor öffentlicher Kritik. Das sind legitime Fragen, aber keine Datenschutzfragen. Wer sie nicht sauber trennt, kann sie nicht lösen.


Das Gegenmodell: Scope, Datenminimierung, Prozess

Datenschutz wird handhabbar mit drei Elementen.

  • Erstens ein klarer Scope: Welche Use Cases sind Standard (grün), welche benötigen Freigabe (gelb), welche sind ausgeschlossen (rot)? Diese drei Zonen ersetzen das pauschale Nein durch differenzierte Entscheidungsgrundlagen.

  • Zweitens Datenminimierung: Nur die Daten verwenden, die notwendig sind. Personenbezüge entfernen oder abstrahieren, wo das den Use Case nicht beeinträchtigt. Vieles, was als unmöglich gilt, wird durch konsequente Datenminimierung möglich.

  • Drittens Prozess statt Tool-Fokus: Ein klarer Ablauf, wer gibt Input, was passiert in der KI, wer kontrolliert den Output, wer eskaliert bei Grenzfällen, macht Datenschutz operativ steuerbar. Die grösste Lücke in der Praxis ist nicht das fehlende Recht, sondern der fehlende Prozess.


Datenschutz als Enabler

Die angestrebte Haltung ist die des Enablers: Wie können wir diesen Use Case so gestalten, dass er datenschutzkonform ist? Nicht: geht nicht. Sondern: wie geht es? Das erfordert eine Verschiebung in der Fragestellung. Weg von «Ist KI datenschutzrechtlich zulässig?», hin zu «Unter welchen Bedingungen ist dieser konkrete Use Case zulässig, und wie schaffen wir diese Bedingungen?»

Organisationen, die diese Verschiebung vollziehen, schützen sich besser, nicht schlechter. Denn sie entwickeln tatsächliche Schutzkonzepte statt symbolischer Verbote. Und sie nutzen KI dort, wo sie Nutzen stiftet, statt sie pauschal auszusperren.

«Datenschutz» als Killerargument ist fast immer ein Symptom für unklare Datenflüsse, fehlende Prozesse oder die Scheu, Entscheidungsverantwortung zu übernehmen. Das eigentliche Problem liegt selten im Recht.

Selbsttest

Ist klar, welche Personendaten konkret in den KI-Use-Case fliessen?

Die häufigste Ursache für das Killerargument ist Unklarheit. Sobald klar ist, welche Daten betroffen sind, lässt sich das Risiko einordnen und die Lösung finden.

Gibt es No-go-Zonen und Freigaberegeln (Grün/Gelb/Rot-Modell)?

Ohne Scope-Definition bleibt nur das pauschale Nein. Ein Ampelmodell gibt Mitarbeitenden und Führung eine Entscheidungsgrundlage für differenzierte Urteile.

Wer entscheidet bei Grenzfällen?

Datenschutz als Killerargument gedeiht dort, wo niemand Entscheidungsverantwortung trägt. Eine klar benannte Eskalationsinstanz löst dieses Vakuum.

 

Weiterführende Beratung & Kurse

Sie möchten KI rechtssicher in Ihrer Organisation einführen und nutzen? Dr. David Schneeberger begleitet Kanzleien, Behörden und Rechtsdienste mit Workshops, KI-Rechtsberatung und dem Kurs «Rechtssicher mit KI».

bottom of page