Lektion 4 12 Min.

Personenbezogene Daten erkennen

Lerne, personenbezogene Daten zuverlässig zu erkennen — die häufigste Fehlerquelle im KI-Alltag.

🔄 Recall: Tools konfiguriert — aber welche Daten sind kritisch?

In Lektion 3 hast du gelernt, KI-Tools richtig einzurichten. Aber selbst mit dem besten Enterprise-Abo und AVV gilt: Personenbezogene Daten sind besonders geschützt. Die häufigste Fehlerquelle im KI-Alltag ist, sie nicht als solche zu erkennen.

Was sind personenbezogene Daten?

Definition (Art. 4 DSGVO): Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Übersetzt: Alles, womit du eine bestimmte Person erkennen, finden oder zuordnen kannst.

Die offensichtlichen — und die versteckten

KategorieOffensichtlichLeicht übersehen
IdentifikationName, Adresse, GeburtsdatumPersonalausweisnummer, Steuernummer
KontaktE-Mail, TelefonFirmen-E-Mail (enthält oft den Namen)
OnlineE-Mail-AdresseIP-Adresse, Cookie-ID, Geräte-ID
BerufArbeitgeber, PositionMitarbeiternummer, Dienstwagen-Kennzeichen
FinanzenKontonummer, IBANGehaltsstufe, Steuerklasse
GesundheitDiagnosen, MedikamenteKranktage, Arztbesuche, BEM-Gespräche
BiometrischFingerabdruck, GesichtserkennungStimmprofil, Tippverhalten

Besonders geschützte Daten (Art. 9 DSGVO):

  • Gesundheitsdaten
  • Religionszugehörigkeit
  • Politische Meinungen
  • Gewerkschaftszugehörigkeit
  • Biometrische Daten
  • Sexuelle Orientierung

Diese Daten dürfen grundsätzlich NICHT verarbeitet werden — auch nicht in KI-Tools.

Quick Check: Du willst ein Meeting-Protokoll in Claude einfügen, um eine Zusammenfassung zu erstellen. Im Protokoll steht: „Herr Müller aus der Buchhaltung war krank, Frau Schmidt übernimmt seine Aufgaben bis nächste Woche." Ist das problematisch?

(Antwort: Ja — „Herr Müller war krank" kombiniert einen Namen mit einer Gesundheitsinformation. Beides zusammen = besonders geschützter personenbezogener Datensatz. Lösung: „Ein Kollege aus der Buchhaltung ist diese Woche abwesend" — anonymisiert, gleicher Informationsgehalt für die Zusammenfassung.)

Anonymisierung vs. Pseudonymisierung

Anonymisierung

Was: Alle Identifikatoren so entfernen, dass die Person NICHT mehr bestimmbar ist. Auch nicht durch Kombination der verbleibenden Daten.

Beispiel:

  • Vorher: „Max Müller, 42 Jahre, aus Köln, Softwareentwickler, 75.000 € Gehalt"
  • Nachher: „Softwareentwickler in einer westdeutschen Großstadt, Gehaltsklasse 70-80k"

Rechtliche Folge: Anonymisierte Daten fallen NICHT unter die DSGVO. Du kannst sie in KI-Tools eingeben.

Pseudonymisierung

Was: Identifikatoren durch Platzhalter ersetzen. Der Personenbezug kann mit einer Zuordnungstabelle wiederhergestellt werden.

Beispiel:

  • Vorher: „Max Müller, Kundennr. 12345"
  • Nachher: „Kunde A, ID: XYZ-7"

Rechtliche Folge: Pseudonymisierte Daten fallen WEITERHIN unter die DSGVO. Aber sie reduzieren das Risiko bei einem Datenleck erheblich.

Praktische Anonymisierung für den KI-Alltag

Technik 1: Generalisierung Konkrete Werte durch Bereiche ersetzen:

  • „42 Jahre" → „40-50 Jahre"
  • „Köln" → „westdeutsche Großstadt"
  • „75.000 €" → „70-80k Gehaltsklasse"

Technik 2: Platzhalter Personennamen durch Rollen ersetzen:

  • „Herr Müller" → „der Abteilungsleiter"
  • „Frau Schmidt" → „die Kundenbetreuerin"

Technik 3: Aggregation Einzeldaten zu Gruppendaten zusammenfassen:

  • „5 Mitarbeiter waren krank" statt individueller Krankmeldungen

Prompt:

Hier ist ein Text mit personenbezogenen Daten.
Anonymisiere ihn so, dass der Informationsgehalt erhalten bleibt,
aber keine Person mehr identifizierbar ist:

[Text einfügen]

Ersetze:
- Namen durch Rollen oder [NAME]
- Orte durch Regionen
- Genaue Zahlen durch Bereiche
- Alles, was eine Person identifizierbar macht

Der Kombinations-Test

Einzelne Datenpunkte sind oft harmlos. Aber in Kombination identifizierbar:

  • „42 Jahre" — nicht identifizierbar
  • „Abteilungsleiter Entwicklung" — nicht identifizierbar
  • „42 Jahre, Abteilungsleiter Entwicklung, Standort Hamburg" — wahrscheinlich identifizierbar

Faustregel: Je mehr Datenpunkte du kombinierst, desto eher wird es personenbezogen. Im Zweifel: Weiter anonymisieren.

Wichtigste Erkenntnisse

  • Personenbezogene Daten = alles, womit du eine Person identifizieren kannst
  • Versteckte personenbezogene Daten übersehen die meisten — IP-Adressen, Mitarbeiternummern, Firmen-E-Mails
  • Besonders geschützte Daten (Gesundheit, Religion etc.) gehören NIE in KI-Tools
  • Anonymisierung (keine Rückverfolgung möglich) macht Daten DSGVO-frei
  • Pseudonymisierung (Platzhalter mit Zuordnungstabelle) reduziert Risiko, aber DSGVO gilt weiter
  • Kombinations-Test: Einzeln harmlos, zusammen identifizierbar

Nächste Lektion

Lektion 5 zeigt dir konkrete Szenarien aus dem Büroalltag — welche KI-Nutzungen gehen, welche nicht, und wie du die Grenze erkennst.

Wissenscheck

1. Welche dieser Informationen ist KEIN personenbezogener Datensatz?

2. Was ist der Unterschied zwischen Anonymisierung und Pseudonymisierung?

Beantworte alle Fragen zum Prüfen

Erst das Quiz oben abschließen

Passende Skills