Kursbeschreibung
Du willst KI im Unternehmen erlauben, aber nicht „auf Zuruf“, sondern mit nachvollziehbaren Regeln, die Audits standhalten und trotzdem produktiv sind. Dieses Seminar führt dich Schritt für Schritt zu einem praxistauglichen Rahmen für den datenschutzkonformen Einsatz von KI-Tools. Du klärst zuerst die entscheidenden Grundlagen: Welche DSGVO-Prinzipien sind bei Prompts und KI-Outputs besonders kritisch? Wie definierst du Zweckbindung und Datenminimierung in einer Welt, in der Mitarbeitende schnell Inhalte teilen? Wie ordnest du Use-Cases im Kontext des EU AI Act ein, und welche Dokumentation ist realistisch nötig? Danach gehst du in die Umsetzung: Du lernst, typische KI-Workflows zu modellieren und die Datenflüsse sichtbar zu machen. Daraus leitest du konkrete Maßnahmen ab, etwa Pseudonymisierung, Redaktionsschritte, Freigaben, Logging und Rollenmodelle. Ein weiterer Schwerpunkt ist der Anbieter- und Vertragscheck: Du prüfst AVV/DPA, Subunternehmer, Lösch- und Aufbewahrungsregeln, technische und organisatorische Maßnahmen sowie mögliche Drittlandtransfers. Du bekommst Kriterien an die Hand, wann Cloud-KI ausreicht und wann ein abgeschotteter Ansatz sinnvoller ist. Zum Abschluss baust du ein Governance-Set, das im Alltag funktioniert: KI-Richtlinie mit Do’s und Don’ts, Use-Case-Canvas, DSFA-Trigger, Go-live-Checkliste und ein Incident-Playbook für den Fall von Datenpannen. Damit kannst du KI-Nutzung ermöglichen, Risiken reduzieren und Entscheidungen transparent dokumentieren.
Zielgruppe
- Datenschutzbeauftragte und Datenschutzkoordination
- IT-Security, IT-Governance und Compliance
- Fachbereichsverantwortliche, die KI einführen
- Einkauf und Vendor Management für SaaS/KI
- Für alle, die KI-Tools produktiv nutzen wollen, ohne Datenschutz, Geheimnisschutz und Prüfpfade zu gefährden.
Voraussetzung für die Schulung
- Grundverständnis von DSGVO-Begriffen (z. B. personenbezogene Daten, Auftragsverarbeitung).
- Erste Berührung mit KI-Tools oder KI-Use-Cases im Arbeitskontext ist hilfreich.
Kursinhalte
- Rechtsrahmen, der wirklich zählt
- DSGVO-Grundlagen für KI-Nutzung: Rollen, Zwecke, Rechtsgrundlagen
- EU AI Act: Einordnung typischer KI-Use-Cases und Pflichten
- Urheberrecht und Geschäftsgeheimnisse bei Prompts und Outputs
- Risiken erkennen, bevor es teuer wird
- Personenbezogene Daten in Prompts: typische Leaks und Schatten-IT
- Halluzinationen, Bias, Datenabfluss: was Datenschutz und Compliance betrifft
- Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit: Abgrenzung in der Praxis
- Tool-Auswahl und Vertragscheck
- Cloud-KI vs. On-Prem vs. Private Tenant: Entscheidungskriterien
- AVV/DPA lesen und bewerten: Subunternehmer, Löschkonzepte, TOMs
- Datentransfers und Drittlandrisiken: pragmatische Bewertung
- Datenschutzkonforme Prompt- und Datenstrategie
- Prompt-Regeln: Datenminimierung, Pseudonymisierung, Redaktionsschritte
- Freigabeprozesse für sensible Inhalte und Dokumente
- RAG-Grundprinzip: interne Wissensquellen ohne Datenabfluss
- Governance, die im Alltag funktioniert
- KI-Richtlinie: Do’s/Don’ts, Rollen, Eskalation, Logging
- Schulungs- und Awareness-Design für Fachbereiche
- Kontrollen: Stichproben, Prompt-Audits, Incident-Playbook
- Umsetzung: vom Use-Case zur Freigabe
- Use-Case-Canvas: Zweck, Datenkategorien, Risiko, Maßnahmen
- DPIA/DSFA-Trigger erkennen und sauber dokumentieren
- Go-Live-Checkliste: technisch, organisatorisch, rechtlich
