Datenschutz & Compliance
Alle AutomateHaus-Automatisierungen werden von Anfang an datenschutzkonform konzipiert — EU-Datenspeicherung, AVV-Abschluss, AI Act Einstufung und transparente Subverarbeiterdokumentation inklusive.
Kurz gesagt
DSGVO-konforme KI-Automatisierung bedeutet: personenbezogene Daten verlassen die EU nicht ohne Rechtsgrundlage, mit jedem Auftraggeber wird vor Projektstart ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen, und alle eingesetzten KI-Modelle und Subverarbeiter sind dokumentiert und im AVV aufgeführt.
Datenschutz-Prinzipien
Nicht als Checkbox-Übung — sondern als Teil des Designs jeder Automatisierung, von der ersten Konzeption an.
Alle verarbeiteten Daten bleiben in der EU. Wo US-Dienste (wie Anthropic Claude) verwendet werden, erfolgt dies auf Basis von EU-Standardvertragsklauseln (SCCs) mit dokumentiertem Transfer-Impact-Assessment. Auf Wunsch bauen wir vollständig EU-lokale Stacks.
Ein Auftragsverarbeitungsvertrag ist standardmäßig Teil jedes Projekts — kein Aufpreis, kein Nachverhandeln. Der AVV regelt Zweck, Verarbeitungsumfang, technische und organisatorische Maßnahmen sowie Meldepflichten bei Datenpannen.
Für jedes Projekt dokumentieren wir die Risikokategorie nach EU AI Act. Die meisten Mittelstands-Automatisierungen fallen unter „minimales Risiko". Hochrisiko-Anwendungen (z. B. HR-Screening, Kreditbewertung) werden explizit ausgewiesen und mit zusätzlichen Maßnahmen abgesichert.
Alle im Projekt eingesetzten Drittdienste (KI-Modelle, Automatisierungsplattformen, Cloud-Dienste) werden im AVV als Subverarbeiter aufgeführt — mit Zweck, Datenkategorie, Speicherort und Rechtsgrundlage für eventuelle Drittlandtransfers.
Datenschutz wird nicht nachträglich ergänzt — er ist Bestandteil der Konzeption. Welche Daten werden wirklich benötigt? Können wir mit anonymisierten Daten dasselbe Ergebnis erzielen? Welche Zugriffe sind notwendig, welche überflüssig?
Automatisierungen greifen nur auf die Daten zu, die für den jeweiligen Zweck erforderlich sind. Keine unnötige Datenspeicherung, definierte Löschfristen, keine Logs mit personenbezogenen Inhalten soweit funktional verzichtbar.
Ablauf
Datenschutz ist in jeden Projektschritt integriert — nicht als separates Dokument am Ende.
Im Erstgespräch klären wir: Welche Datenkategorien werden verarbeitet? Gibt es besonders schützenswerte Daten (Gesundheit, Finanzen, Mitarbeiterdaten)? Welche Systeme sind beteiligt? Das bestimmt die Datenschutz-Anforderungen des Projekts.
Bevor auch nur eine Zeile Workflow konfiguriert wird, schließen wir den AVV ab. Das ist nicht Bürokratie — das ist die rechtliche Grundlage dafür, dass wir personenbezogene Daten überhaupt verarbeiten dürfen.
Datenspeicherorte, Transferwege, Zugriffsrechte — alles wird so designt, dass es den Anforderungen entspricht. Keine nachträglichen Patches, keine „Wir schauen später drauf"-Kompromisse.
Für jeden im Projekt eingesetzten Dienst (Anthropic, Make.com, Google, n8n u. a.) erstellen wir eine Subverarbeiterliste mit Zweck, Datenkategorien, Speicherort und Rechtsgrundlage. Diese ist Teil der Projektdokumentation, die Sie von uns erhalten.
Wir dokumentieren für jeden Anwendungsfall die Risikokategorie nach EU AI Act. Bei Hochrisiko-Anwendungen (Art. 6 AI Act) weisen wir explizit auf zusätzliche Anforderungen hin — Konformitätsbewertung, Registrierung, technische Dokumentation.
Häufige Fragen
Nein, ohne Rechtsgrundlage. Alle Automatisierungen werden so konzipiert, dass personenbezogene Daten die EU nicht verlassen. Wo US-Dienste verwendet werden (z. B. Anthropic Claude API), erfolgt dies auf Basis von EU-Standardvertragsklauseln (SCCs) mit dokumentiertem Transfer-Impact-Assessment. Auf Wunsch bauen wir vollständig EU-lokale Stacks — mit selbst-gehostetem KI-Modell auf EU-VPS.
Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO verpflichtend, sobald ein Dienstleister im Auftrag personenbezogene Daten verarbeitet. AutomateHaus schließt mit jedem Kunden vor Projektstart einen AVV ab. Dieser regelt: welche Daten verarbeitet werden, zu welchem Zweck, welche technischen und organisatorischen Maßnahmen (TOMs) bestehen, und wie Datenpannen gehandhabt werden. Der AVV ist standardmäßig ohne Aufpreis enthalten.
Der EU AI Act (August 2024, gestaffelte Anwendung) klassifiziert KI-Systeme nach Risikoniveau. Die meisten Mittelstands-Automatisierungen fallen unter „minimales Risiko" — keine Sonderpflichten. Systeme mit „begrenztem Risiko" (z. B. Chatbots) erfordern eine Transparenzpflicht gegenüber Nutzern. Hochrisiko-Anwendungen (z. B. automatisiertes CV-Screening, Kreditbewertung) erfordern Konformitätsbewertung und Registrierung — wir weisen explizit darauf hin, wenn ein Projekt in diese Kategorie fällt.
Nein. Anthropic schließt in seinen API-Nutzungsbedingungen Training auf über die API übermittelte Daten standardmäßig aus. Wir verwenden ausschließlich die API — keine Consumer-Anwendungen, bei denen andere Bedingungen gelten. Bei besonders sensiblen Daten empfehlen wir selbst-gehostete Open-Source-Modelle, bei denen keine Daten das eigene System verlassen.
Ja. Kein Vendor-Lock-in ist ein Grundprinzip. Alle Workflows laufen auf Make.com oder n8n — beides Plattformen mit vollständiger Blueprint-Exportmöglichkeit. Ihr Team kann die Workflows weiterführen, anpassen oder einen anderen Dienstleister beauftragen. Alles, was wir bauen, gehört Ihnen.
Verwandte Seiten
Kostenloses 30-Minuten-Gespräch. Wir besprechen Ihren Anwendungsfall, klären die DSGVO-Anforderungen und zeigen, wie eine konforme Automatisierung in 1–4 Wochen live gehen kann.
Kostenloses Erstgespräch buchen →