Personenbezogene Daten erkennen
Lerne, personenbezogene Daten zuverlässig zu erkennen — die häufigste Fehlerquelle im KI-Alltag.
🔄 Recall: Tools konfiguriert — aber welche Daten sind kritisch?
In Lektion 3 hast du gelernt, KI-Tools richtig einzurichten. Aber selbst mit dem besten Enterprise-Abo und AVV gilt: Personenbezogene Daten sind besonders geschützt. Die häufigste Fehlerquelle im KI-Alltag ist, sie nicht als solche zu erkennen.
Was sind personenbezogene Daten?
Definition (Art. 4 DSGVO): Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Übersetzt: Alles, womit du eine bestimmte Person erkennen, finden oder zuordnen kannst.
Die offensichtlichen — und die versteckten
| Kategorie | Offensichtlich | Leicht übersehen |
|---|---|---|
| Identifikation | Name, Adresse, Geburtsdatum | Personalausweisnummer, Steuernummer |
| Kontakt | E-Mail, Telefon | Firmen-E-Mail (enthält oft den Namen) |
| Online | E-Mail-Adresse | IP-Adresse, Cookie-ID, Geräte-ID |
| Beruf | Arbeitgeber, Position | Mitarbeiternummer, Dienstwagen-Kennzeichen |
| Finanzen | Kontonummer, IBAN | Gehaltsstufe, Steuerklasse |
| Gesundheit | Diagnosen, Medikamente | Kranktage, Arztbesuche, BEM-Gespräche |
| Biometrisch | Fingerabdruck, Gesichtserkennung | Stimmprofil, Tippverhalten |
Besonders geschützte Daten (Art. 9 DSGVO):
- Gesundheitsdaten
- Religionszugehörigkeit
- Politische Meinungen
- Gewerkschaftszugehörigkeit
- Biometrische Daten
- Sexuelle Orientierung
Diese Daten dürfen grundsätzlich NICHT verarbeitet werden — auch nicht in KI-Tools.
✅ Quick Check: Du willst ein Meeting-Protokoll in Claude einfügen, um eine Zusammenfassung zu erstellen. Im Protokoll steht: „Herr Müller aus der Buchhaltung war krank, Frau Schmidt übernimmt seine Aufgaben bis nächste Woche." Ist das problematisch?
(Antwort: Ja — „Herr Müller war krank" kombiniert einen Namen mit einer Gesundheitsinformation. Beides zusammen = besonders geschützter personenbezogener Datensatz. Lösung: „Ein Kollege aus der Buchhaltung ist diese Woche abwesend" — anonymisiert, gleicher Informationsgehalt für die Zusammenfassung.)
Anonymisierung vs. Pseudonymisierung
Anonymisierung
Was: Alle Identifikatoren so entfernen, dass die Person NICHT mehr bestimmbar ist. Auch nicht durch Kombination der verbleibenden Daten.
Beispiel:
- Vorher: „Max Müller, 42 Jahre, aus Köln, Softwareentwickler, 75.000 € Gehalt"
- Nachher: „Softwareentwickler in einer westdeutschen Großstadt, Gehaltsklasse 70-80k"
Rechtliche Folge: Anonymisierte Daten fallen NICHT unter die DSGVO. Du kannst sie in KI-Tools eingeben.
Pseudonymisierung
Was: Identifikatoren durch Platzhalter ersetzen. Der Personenbezug kann mit einer Zuordnungstabelle wiederhergestellt werden.
Beispiel:
- Vorher: „Max Müller, Kundennr. 12345"
- Nachher: „Kunde A, ID: XYZ-7"
Rechtliche Folge: Pseudonymisierte Daten fallen WEITERHIN unter die DSGVO. Aber sie reduzieren das Risiko bei einem Datenleck erheblich.
Praktische Anonymisierung für den KI-Alltag
Technik 1: Generalisierung Konkrete Werte durch Bereiche ersetzen:
- „42 Jahre" → „40-50 Jahre"
- „Köln" → „westdeutsche Großstadt"
- „75.000 €" → „70-80k Gehaltsklasse"
Technik 2: Platzhalter Personennamen durch Rollen ersetzen:
- „Herr Müller" → „der Abteilungsleiter"
- „Frau Schmidt" → „die Kundenbetreuerin"
Technik 3: Aggregation Einzeldaten zu Gruppendaten zusammenfassen:
- „5 Mitarbeiter waren krank" statt individueller Krankmeldungen
Prompt:
Hier ist ein Text mit personenbezogenen Daten.
Anonymisiere ihn so, dass der Informationsgehalt erhalten bleibt,
aber keine Person mehr identifizierbar ist:
[Text einfügen]
Ersetze:
- Namen durch Rollen oder [NAME]
- Orte durch Regionen
- Genaue Zahlen durch Bereiche
- Alles, was eine Person identifizierbar macht
Der Kombinations-Test
Einzelne Datenpunkte sind oft harmlos. Aber in Kombination identifizierbar:
- „42 Jahre" — nicht identifizierbar
- „Abteilungsleiter Entwicklung" — nicht identifizierbar
- „42 Jahre, Abteilungsleiter Entwicklung, Standort Hamburg" — wahrscheinlich identifizierbar
Faustregel: Je mehr Datenpunkte du kombinierst, desto eher wird es personenbezogen. Im Zweifel: Weiter anonymisieren.
Wichtigste Erkenntnisse
- Personenbezogene Daten = alles, womit du eine Person identifizieren kannst
- Versteckte personenbezogene Daten übersehen die meisten — IP-Adressen, Mitarbeiternummern, Firmen-E-Mails
- Besonders geschützte Daten (Gesundheit, Religion etc.) gehören NIE in KI-Tools
- Anonymisierung (keine Rückverfolgung möglich) macht Daten DSGVO-frei
- Pseudonymisierung (Platzhalter mit Zuordnungstabelle) reduziert Risiko, aber DSGVO gilt weiter
- Kombinations-Test: Einzeln harmlos, zusammen identifizierbar
Nächste Lektion
Lektion 5 zeigt dir konkrete Szenarien aus dem Büroalltag — welche KI-Nutzungen gehen, welche nicht, und wie du die Grenze erkennst.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!