René (00:05)
Herzlich willkommen bei unserem Podcast KI für Helfer

Katja (00:09)
Hallo, wir sind Katja und René, zwei zertifizierte KI Trainer und heute sitzen wir hier mit Elisa, einer Datenschutzexpertin, weil das Thema Datenschutz in fast jeder Folge bei uns vorkommt. Wir kommen einfach nicht herum. Hallo Elisa, sag uns ein bisschen, wieso beschäftigst du dich mit Datenschutz? Was motiviert dich zu diesem sehr trockenen Thema?

Elisa Drescher | SCALELINE Datenschutz (00:31)
Also erstmal danke, dass ich bei euch heute dabei sein darf. Ein großes Hallo und Servus auch an alle, zuhören. Ich beschäftige mich mit Datenschutz tatsächlich schon die letzten Jahre. Nach meinem klassischen Jurastudium habe ich begonnen, meine Leidenschaft im Datenschutz zu finden. Habe ich seit über drei Jahren meine eigene Unternehmensberatung gemeinsam mit meinem Geschäftspartner. Und wir unterstützen Unternehmen aus dem kompletten Dachraum dabei DSGVO konform zu sein, aber natürlich auch für die Schweizer Zuhörerinnen und Zuhörer. Auch der Schweizer Datenschutzgesetz ist bei uns natürlich nicht vorangezogen. Auch hier unterstützen wir einige Schweizer Kunden dabei, die Datenschutzanforderungen zu erfüllen. 

Und warum mache ich das? Das werde ich oft gefragt oder vielleicht der ein oder andere, der noch öfter vielleicht auf Parties geht und dann sagt man, ist von Beruf wegen Datenschutzjuristin oder Datenschutzbeauftragte bekommt man das ein oder andere Mal auch lustige Reaktionen, vor allem die mich auch privat kennen, meinten so, hm, so dieses trockene Thema und du, wie das zusammenpasst. Aber ich bin davon überzeugt, dass Datenschutz in einer sich immer mehr digitalisierten Welt einfach unerlässlich ist, weil wir, jeder von uns, online unterwegs ist, der Apps nutzt, der im KI Bereich tätig ist, einfach viele Daten verarbeitet von sich, von anderen, und wir hinterlassen Spuren und damit wir hier einfach nicht immer auch identifizierbar sind, finde ich Datenschutz wichtig und deswegen bin ich auch der große Überzeugung, dass in jedes Unternehmen ein Datenschutzbeauftragten braucht.

Katja (02:13)
Ja, wir kommen mit diesem Datenschutzthema in Berührung immer, wenn wir darüber reden, was soll man in ein ChatBot, in ein Large Language Model nicht reinschreiben. Wir betonen immer wieder, dass Leute in größeren Betrieben keine Kundendaten reingeben, keine Geheimnisse von der Firma und so.

Einen allgemeinen Rat, glaube ich, dürfen wir schon geben. Aber du als Spezialistin, würdest du sagen, was ist gerade bei KI Implementierung der häufigste Fehler, die Leute machen?

Elisa Drescher | SCALELINE Datenschutz (02:44)
glaube der häufigste Fehler, der aktuell noch gemacht wird, das ist auf eine zu leichte Schulter nehmen, dass einfach die Tools ohne langfristige Strategie in den Unternehmen eingeführt werden und auch keine klaren Regelungen gemacht werden. Was darf gemacht werden? Welche Informationen dürfen in die KI gegeben werden und welche nicht? Und ich glaube, wir gerade hier bei KI für Helfer, gerade in der in Branchen, wo viel auch mit Gesundheitsdaten

gemacht wird. Da ist es natürlich umso wichtiger, dass man Datenschutz einhält und dass man nicht Krankenakten oder irgendwelche Diagnosedaten, die dann auf eine Person rückführbar sind, reingegeben wird, sondern dass man da wirklich auch organisatorische Maßnahmen erlässt, wie zum Beispiel KI Richtlinien, Schulungen aus rechtlicher Sicht, aber auch natürlich wie man dann diese Tools benutzt. Aber wie sind da eure Erfahrungen bei den Kunden bisher?

René (03:44)
Unsere Gedanken sind die Endkunden wissen es vielleicht. Ich sage jetzt mal der Unternehmer oder der Pflegedienstleister, der Betreiber von Institutionen, Einrichtungen vielleicht für beeinträchtigte Menschen, der weiß das so. Die Verbraucher, also die, das wirklich benutzen, sind ja dann meistens die Mitarbeiter. Das heißt, da müssen die Mitarbeiter über die Themen Thematiken geschult werden und wirklich intensiv darauf achten, dass eben so Sachen nicht passieren.

Mein Gedanke ist dabei, kann man das hundertprozentig ausschließen? was passiert denn wirklich, wenn jetzt das ich sag mal, das macht jemand, gibt dann die Daten ein oder gibt sogar eine ganze Datenbank ein von Patienten, sage ich mal, von Klienten und die wird dann weiterverwendet. Was kann dann passieren eigentlich? ist so meine Frage immer. bin immer ein bisschen, ja, übertreibt man das jetzt mit dem Datenschutz manchmal?

Ist das wirklich so schlimm? Was passiert denn da, wenn jetzt das mal wirklich der Fall eintritt? Das haben wir nur paar Mal gefragt. du da irgendwie schon mal so, du hast sicherlich Erfahrungen gemacht in dem Bereich, was da passieren kann, was für Folgen hat.

Elisa Drescher | SCALELINE Datenschutz (04:51)
Ja, ich würde da immer auch unterscheiden, welche Tools genutzt werden. Ich es gibt es dann die Online Lösungen, wo Chatchi BD wahrscheinlich einer der bekanntesten Vertreter ist. Aber dann gibt es aber auch, von ich Fan bin, diese Local Hosted LMMs, die man ja auch nutzen kann. das ist so ein Punkt, wenn ich mal sage, wenn sich Unternehmen, gerade die mit sensibler Informationen und Daten zu tun haben, die sollten sich da aus meiner Sicht einfach die Gedanken machen, ob sie es nicht lokal hosten, weil dann haben sie auch die Möglichkeit, 

dass sie es selbst gewährleisten können, was damit passiert und was mit den Daten weiter passiert. Wenn man die Daten in ChatGPT hineingibt, man weiß es nicht. Man muss darauf vertrauen, die Informationen von OpenAI. so die krasseste Folge wäre immer so dieses Beispiel, das ich auch immer ganz gern diskutiere, ist, nach der DSGVO, also sowohl in der DSGVO, als auch nach dem Schweizer Datenschutzgesetz,

haben ja die betroffenen Personen, also die Leute, deren Daten verarbeitet werden, Recht, dass sie Auskunft von den Unternehmen verlangen. Hey, welche Daten habt ihr von mir und wie nutzt ihr diese Daten auch? Und da ist dann das Problem, wenn man große LMMs wie OpenAI nutzt oder ChatGPT dass man teilweise gar nicht weiß, wie die Daten weiterverarbeitet werden von denen. Das ist der eine Punkt.

Und dann dieser zweite Punkt, was ChatGPT betrifft und weitere Stellvertreter. Welche Rechtsgrundlage habe denn, dass ich die Daten dort rein ziehen darf? Weil normalerweise, ich glaube das kennt jeder, vielleicht ganz kurz nochmal ausgeholt, die DSGVO postuliert ja diesen Grundsatz davon, dass eigentlich Daten nicht verarbeitet werden dürfen. Das Ding ist hart.

Und die Ausnahme ist eigentlich davon, dass man immer eine Rechtsgrundlage braucht, dass man die Daten überhaupt verarbeitet. Also jedes Mal, ich mir E-Mail Adresse eingebe, um ein Newsletter zu bekommen, erteile ich ja die Einwilligung, dass das für mich okay ist. Aber Sinn und Zweck, dass ich die E-Mail angebe, ist ja, dass ich diesen Newsletter bekomme und nicht, dann quasi ein Anbieter diese E-Mail Adresse nutzt, sie in ChatGPT zu laden, um bestimmte Automatisierungen noch zu machen oder womöglich um

andere Dienstleistungen zu bewerben. Und das ist immer so dieses Schwierige, wo es aktuell auch noch nicht so ganz klar ist, welche Rechtsgrundlage es ist. Vielleicht haben das die ein oder andere mitbekommen, zumindest in der EU. Die Schweizer waren ja, glaube ich, ausgeklammert, soweit ich informiert bin, dass Facebook, Meta, Mitte Juni diese E-Mail verschickt hat an die User im EU Raum und im EWR Raum. Hey Leute,

Also der Inhalt von der E-Mail war so kurz gefasst, Leute, wir verwenden euren Content, damit wir unsere KI trainieren. Und Rechtsgrundlage ist das berechtigte Interesse und hey, du hast eigentlich nur die Möglichkeit, dass du dagegen Widerspruch einlegst. Und da ist dann die Frage, ist das wirklich das berechtigte Interesse, wenn ein Datenkonzern wie Meta das nutzt, um seine KI zu trainieren?

Und da haben dann vielleicht kennt auch der ein oder andere von euch den österreichischen Datenschutzaktivisten Max Schrems mit dem Verein None of Your Business. Die haben dann in elf Ländern Beschwerde eingereicht gegen METAS Vorgehen, was jetzt auch dazu geführt hat, dass die federführende Datenschutzbehörde für META des Irland ist, weil der META Konzern in Irland seinen Hauptsitz hat, so wie Google und Co auch.

dass die dann das untersagt haben und das Meta das nochmal überarbeiten muss. Also man sieht einfach, es ist eine neue Thematik und selbst Konzerne wie Meta, wahrscheinlich Millionen an Beratungen im Jahr ausgeben für Datenschutz, wie sie es optimieren können, auch wie man das in verschiedenen Grauabstufungen auslegen kann, sind sie da noch nicht einig, wie man es macht. Also die größte Frage wird, dass man das kurz damit zusammenfasst,

Denn in der Zukunft sein erreichtes berechtigtes Interesse aus oder braucht man eine Einwilligung dafür. Das wird spannend werden, dann die ersten Entscheidungen sind von den Datenschutzbehörden, aber letztlich auch von den Gerichten. Und es wird leider noch mindestens noch ein Jahr dauern, bis wir die ersten Urteile haben und da die Sicherheit haben für die Unternehmen.

René (09:13)
Solange können Sie da ein bisschen Schindel oder betreiben.

Katja (09:18)
Erfahrung haben größere Betriebe schon Datenschutzschulungen. Neben ihren Trainings und Schulungen ist immer irgendwas bei Datenschutz auch dabei, aber das KI Thema ist noch nicht genug vertreten, wenn überhaupt.

Elisa Drescher | SCALELINE Datenschutz (09:33)
Ja, glaube vielleicht auch ist auch unsere Erfahrung raus, weil sehr viele große Unternehmen da auch gerade noch ein bisschen auf der Bremse stehen, weil sie eben auch sagen, der René hat es auch angesprochen, AI Act. Da weiß man jetzt erst seit einer Woche, wann der tatsächlich in Kraft treten wird im Vollumfang. ist der 2.8.2026.

Und im AI Act sind im Vergleich zur DSGVO noch mal höhere Strafen vorgesehen. sind 7 % des Umsatzes als potenzieller Bußgeldrahmen bei Verstößen. Und das lässt an jedem CEO und auch wahrscheinlich CFO wachsam werden, welche Entscheidungen und welche Investitionen man trifft. Weil in Anführungszeichen kleineren Unternehmen oder wenn man selbstständig ist, man nutzt ChatGPT, dann kostet das einen 20 Dollar im Monat, dass man diesen Zugang hat.

Aber das auf Unternehmen mit mehreren hundert Mitarbeitern auszurollen kostet Ressourcen. musst unglaublich viel trainieren und du musst richtig in den Aufstieg, musst das kommunizieren. Das dauert einfach seine Zeit. Und wenn es den Betriebsrat auch noch gibt in den Unternehmen, dann dauert das meistens noch bisschen länger, bis man da die Betriebsvereinbarungen

René (10:49)
Du hast es gerade die 7 Prozent angesprochen, das vielleicht bestrafen würde, dass es das betreffen würde. Ich habe gelesen, es gibt ja so verschiedene Abstufungen, ich glaube drei oder vier von gering bis hoch risikoreiche Systeme. Also betrifft es nur diese hoch risikoreichten Systeme, dann werden die dann halt dagegen verstoßen oder gibt es da Abstufung bei den anderen? Weißt du das?

Elisa Drescher | SCALELINE Datenschutz (11:12)
Es gibt vier Risikostufen im AI Act. Kein Risiko, Minimales Risiko, Hochrisiko. Und gerade die Hochrisiko dreht es ja Großteil vom AI Act und die verbotenen KI Systeme. Bei den verbotenen KI Systemen sind die 7 Prozent drauf. Ehrlicherweise, ich kenne die Abstufungen im AI Act noch nicht auswärtig, dass er eine Aussage treffen möchte, weil dann sagt immer, die Elisa hat im Podcast gesagt, dass...

René (11:37)
Die hat gesagt.

Elisa Drescher | SCALELINE Datenschutz (11:39)
Die SGVO technisch gerne, da kann ich euch ja jeder Regelung mittlerweile fast auswendig sagen, AI Act, aber so diese 7 Prozent und ich glaube die nächste Abstufung sind 3 oder 4 Prozent. Aber ich glaube wohl, wohlgemerkt.

René (11:53)
Ja, gut, die geringen, die wird es wahrscheinlich dann auch weniger betreffen. Also logischerweise

Elisa Drescher | SCALELINE Datenschutz (11:58)
Genau.

Katja (11:59)
Du kennst dich aber trotzdem mit dem AI Act viel besser aus als wir. Magst du vielleicht für uns zusammenfassen? Du hast gesagt, in den nächsten zwei Jahren wird das in Effekt kommen. Was können klein- und mittelständige Unternehmen, so wie zum Beispiel ein Pflegedienst oder eine betreute Wohneinrichtung, in den nächsten zwei Jahren machen, sich darauf ordentlich vorzubereiten? Worauf muss man achten?

Elisa Drescher | SCALELINE Datenschutz (12:24)
Der AI Act unterteilt sich nicht nur nach diesen vier Risikostufen, sondern er unterscheidet auch zwischen Anbietern und Nutzern von KI Systemen Anbieter sind quasi jene Unternehmen, die diese KI Systeme entwickeln und vertreiben. Und Nutzer ist dann zum Beispiel der Pflegedienst aus München, der das nutzt. Und nutzt auch, zum Beispiel Gesundheitsdaten oder Patienteninformationen darin zu verarbeiten oder auch zu automatisieren.

Und die haben Informationspflichten gegenüber den Menschen und sie müssen interne Dokumentationspflichten erfüllen. Das ist so grob zusammengefasst, was da notwendig sein wird. Und vielleicht noch ein Punkt, weil hier das Gesetz in Deutschland ein Ticken strenger ist, das Datenschutzgesetz. In Deutschland braucht es, sobald besondere Kategorien personenbezogener Daten verarbeitet werden und es sind zum Beispiel Gesundheitsdaten.

biometrische Daten oder auch sobald eine Videoüberwachung betrieben wird in einem Unternehmen, verpflichtend nach dem aktuell geltenden Bundesdatenschutzgesetz auch verpflichtend einen Datenschutzbeauftragten. Was aber spannend ist noch, ist die zweite Folge davon, weil in der DSGVO heißt es nämlich auch, wenn man Datenverarbeitungen durchführt, die ein hohes Risiko nach sich ziehen. Ein hohes Risiko ist zum Beispiel, dass man

viele Gesundheitsdaten verarbeitet, dass man ein System einsetzt, wie zum Beispiel ein KI System, wo man noch nicht ganz weiß, wie sich das alles entwickelt. Und es kommt halt wirklich immer auf den Einzelfall drauf an, das ist mir auch wichtig. Dann muss man aber eine sogenannte Datenschutzfolgenabschätzung machen. Das ein sehr langes Wort. Ich kürze es normalerweise mit DSFA ab. Und wenn man aber Prozesse im Unternehmen hat, in Deutschland, die in der DSFA zur Folge haben, braucht man auch wieder einen Datenschutzbeauftragten. Und da merkt man einfach wieder,

wie sich dieses System da ineinander verkettert und was es einfach auch aus der, sagen wir es mal, Plump ausgedrückt, der bürokratischen Sichtweise für einen Rattenschwanz an Aufgaben nachvollzieht. Wenn man es sagt, auch wenn ich ein kleiner Pflegerdienstanbieter bin mit 30, 40 Personen, muss man das einfach mit bedenken

René (14:44)
Die haben das gerade überlegt, wie ist das abhängig von der Größe von Unternehmen, dann sind die Kleinen halt auch von betroffen. Aber das bringt ja natürlich wieder Kosten mit sich und so.

Katja (14:55)
Oder noch mehr betroffen. Spitäler haben eigene Server und können eigene KI's entwickeln, einsetzen. Die Ressourcen dafür, die brauchen sie auch. Aber so ein Pflegedienst mit 60 Mitarbeitern, vielleicht keinen eigenen Serverraum oder einen IT Spezialisten, der das einrichtet oder einen

Elisa Drescher | SCALELINE Datenschutz (15:03)
Ja.

Ja, das ist glaube ich auch dieses Dilemma der Zeitgleich, dass gerade die Branchen, die an und für sich direkt mit den Menschen arbeiten und unglaublich wichtige und vor allem wertvolle Arbeit für die Gesellschaft leisten, genauso betroffen sind von den administrativen Aufgaben. Und auch da ist das deutsche Bundesdatenschutzgesetz strenger. Denn in Deutschland braucht ein Unternehmen ab 20 Mitarbeitern,

Zum Beispiel einen Computer haben die Mitarbeiter auch einen Datenschutzbeauftragten. Und es gibt aber auch kleinere Unternehmen, die zwingend einen brauchen. Und ich glaube, ist auch aus der Erfahrung, die wir haben, das Learning daraus ist, viele Kunden von uns haben vorher den Datenschutzbeauftragten intern ausgeschnappt. Ich weiß nicht, ob diese Spiel alle kennen. Schnappsen, das ist in Österreich so ein Kartenspiel.

Und mein Eindruck war immer, derjenige, verloren hat, der musste dann diese unliebsame Arbeit übernehmen oder Aufgabe übernehmen, hat natürlich dazu geführt, dass die Person in der Regel inhaltlich nicht ausgekannt hat und natürlich die Motivation ziemlich gering war. Also in der Regel macht einfach am meisten Sinn, wenn man diese spezialisierte Unternehmenauslage, die Tag ein Tag aus ist, und vor allem die dann auch die Branchenerfahrung mitbringen.

in den Bereichen, vielleicht auch noch, wenn wir vorhin Pflegedienst angesprochen haben. haben Kunden gerade im Pflegebereich aus Baden-Württemberg und Bayern. Da kommt auch immer die Aufsichtsbehörde der Medizinische Dienst. Korrigiert es mich, wenn ich das falsch mache, die dann immer die Pflegedoku kontrollieren. Und da ist ein Punkt in der Prüfung auch immer das Thema Datenschutz. Ganz, spannend. ich weiß von unseren Kunden, das ist immer Ausnahmesituation, wenn da MD kommt.

René (17:05)
Ich kenne es aus der Schweiz, kann es nicht sagen, aber in Deutschland. hast einen Auditor, kommt und überprüft diese ganzen Sachen, wie du jetzt erzählt hast. Da geht es ja Finanzierung für diese Unternehmen, für die Institutionen und Einrichtungen. Da musst du gewisse Gesetzmäßigkeiten einhalten. Weil da natürlich hochsensibel Daten sind, wird dann natürlich auch drauf geschaut.

Katja (17:36)
Ich habe da eine Frage, die mich schon länger beschäftigt, weil du gesagt hast, in dem Fall von Patientendokumentation der Grund zum Datenschutz ist, dass man diese Person nicht durch die Daten wiedererkennen darf. Und damit meinen die Leute meistens Sozialversicherungsnummer, Geburtsdatum, Name, Heimatresse, vielleicht E-Mail.

Aber du hast auch biometrische Daten angesprochen und diese biometrische Daten sind zum Beispiel ein MRI vom Kopf, vom Hirn oder allgemein von dem Kopf. Und ich habe schon Artikel gelesen, dass wenn man so ein MRI nimmt, kann man nachher den Gesicht rekonstruieren, auch wenn es ohne Haut ist, es ist trotzdem genug, die Person zu erkennen.

Und damit ist ein Scan vom Kopf oder vom Hirn etwas, woran eine KI eine Person erkennen könnte. Also in dem Fall, wenn du zum Beispiel eine Studie machen würdest, wo du die Namen von den Leuten wegnimmst und einfach nur den Bild von ihrem Kopf mit oder ohne Haut nimmst, sind sie dann für eine KI auch wieder erkennbar. Wo zieht man da die Grenze? Was sind die Daten, die nicht reingehen dürfen?

Elisa Drescher | SCALELINE Datenschutz (19:00)
Juristisch gesehen ist es einfach, ehrlich zu sein. Sobald Daten vollständig anonymisiert sind unterliegen sie nicht bei dem Datenschutz. Das ist jetzt mal ganz ganz einfach gesagt aus meiner Perspektive. Also ich könnte mich jetzt locker zurücklehnen quasi. Aber technisch und vor allem auf der tatsächlichen Seite ist es oft gar nicht so einfach. Gerade das Beispiel Karte des du bringst mit

im MR Bild oder generell mit den anderen Themen, es reicht zum Teil schon auch der Gang einer Person aus, die Person zu identifizieren. Das ist einfach dieser technische Punkt, dann schwieriger ist. Es geht einfacher, wenn es Anführungszeichen reine Papierakten sind, dass man das alles schwärzt, dass man nicht mehr weiß, dass das der Hansi Müller ist, der an diesem und jenem Leiden leider leidet, sondern

René (19:54)
Das ist für mich auch so ein bisschen schwammig in der Dokumentation, die ich früher gemacht habe im Sozialbereich, eben keine personalisierten Daten dort abgeben sollte. Also Name war ganz klar, ganz logisch in und her. Wie du jetzt sagst, zum Beispiel am Gang. Oder wenn du einfach nicht den zwar nicht den Namen reinschreibst, aber gewisse Merkmale hin und her, wo jemand, der den Menschen sieht, vielleicht sagen könnte: das ist wahrscheinlich der.

Elisa Drescher | SCALELINE Datenschutz (20:18)
Ja, vielleicht ist noch so ein gutes Beispiel, weil wenn man ist außerhalb von der Pflegebereichsinnend, jedes Foto, das wir mit unseren Händen knipsen, hat ja auch Metadaten drinnen. Und wenn ich die nicht rausgebe, bevor ich sie poste, wo, kann man zum Teil auch auf einen konkreten Standort zurückführen. Und das hinterlässt auch wieder Spuren. Im Endeffekt ist die Liste, irgendwie schwarz malt, aber die Sachen, die was George Orwell in einem der besten Bücher 1984 geschrieben hat.

Es ist halt einfach wirklich Realität geworden, dass wir eigentlich jeder von uns, und ich habe zwei davon hier, immer eigentlich ein Tool bei sich hat, wo man identifiziert werden kann. Einfach auch aufpassen. Das ist jetzt nicht nur für Unternehmen, sondern auch für Privatpersonen das Thema, welche Apps hole ich mir? Wie benutze ich sie?

Katja (20:57)
Ja.

René (21:08)
Da müssen wir ganz ehrlich sein, wie viele Leute lesen sich denn diese IMP? Die Bestimmungen, die da herrschen, alles. Wie viele lesen sich durch? Ich schließe mich mit ein. Wenn man solche Apps runterledet und so, wer nimmt sich die Zeit, diese illenlauen Dinge einzulösen? Also die Realität ist, glaube ich, ganz einfach Leute, die viel lesen. Also ich sage mal, jetzt vielleicht nicht Unternehmer, so eine Privatperson, die klicken okay bei den meisten Sachen und dann ist gut, auch am Computer, also nicht nur Handy.

Elisa Drescher | SCALELINE Datenschutz (21:37)
Ich glaube, ist so die Thematik. Ich habe das schon in mehreren Veröffentlichungen gesagt. Stichwort Eigenverantwortung. Es klingt sehr hart, aber jeder von uns muss einfach selber schauen, worauf er acht gibt. Und man muss ja auch sagen, gerade Cookie Banner ist das Paradebeispiel. Ich klick mich durch und es gibt wirklich Cookie Banners, die an jedes Tool einem extra ausklickbar machen müssen.

Also ich sag's euch, ich bräuchte wahrscheinlich gar nicht mehr SCALELINE Datenschutz betreiben, mich könnte wahrscheinlich von den ganzen Datenschutzverstößen die ich Tag ein, Tag aus während dem Surfen finde, leben, wenn ich die überall die verklagen würde, aber das ist nicht mein Ansatz. Was ich eigentlich sagen wollte ist, auch wenn es vielleicht mühsamer ist, dass man vielleicht diese ein, zwei, drei Sekunden noch in den Kauf nimmt und sagt, ich gehe nicht sofort auf alle akzeptieren oder ich gehe nicht auf den grünen Button, das man übrigens auch nicht machen darf.

sondern ich suche raus das und bei den Apps ist ja auch das Thema, welche Berechtigungen gebe ich ihnen. Instagram, das beste Beispiel, also ich selber habe halt Instagram auch geschäftlich im Einsatz, habe aber zum Beispiel dort auch eingestellt, dass ich keine Notifications kriege, weil mir das ständig aus der Arbeit reißen würde, aber auch Zugriff auf meine Fotodatenbank darf Instagram ständig auf meine Fotos, die am iPhone sind, zugreifen oder wirklich nur dann, wenn ich das erlaube.

TikTok, davon spreche ich gar nicht, das habe ich nicht, würde ich mir auch niemals aufs Handy holen. Ja, ich weiß, das ist jetzt ein sehr, sehr Abseits von dem Thema, aber es ist für mich unglaublich wichtig, dass man diese Datenschutzthematik, generell diese normalen Awareness Themen, spielt halt auch in die Verwendung von KI Systemen ein, weil je sensibilisierter ich bin, desto sensibilisierter werde ich diese KI Lösungen auch nutzen. Was man

nicht vermeiden kann und das ist auch wahrscheinlich dann, damit muss man wahrscheinlich heutzutage erleben, ich kann für mich als Unternehmerin oder für mich als Privatperson entscheiden, ich nutze das nicht. Aber die Frage ist ja dann auch immer, wie nutzen andere Personen diese Tools? Geben die vielleicht Informationen von mir in ChatGPT rein, um bestimmte Sachen zu generieren oder um LinkedIn Beiträge, Instagram Beiträge zu generieren?

Schwieriges Thema. glaube, das muss dann jeder für sich selbst gern wieder mit seinen Geschäftspartnern und Freunden und auch mit der Family umgeht.

René (24:12)
Aber die Grundidee von den meisten Leuten, glaube ich, würde ich mal behaupten, die KI anwenden möchten, so sage ich es mal, sind ja eigentlich gute Zwecke. Da geht es Vereinfachung

Elisa Drescher | SCALELINE Datenschutz (24:19)
Ja.

Und es ist auch absolut berechtigt. Wir sehen ja alle in unserer täglichen Arbeit, wie viel to do's wir schultern. Und wenn sich jeder mal eine Liste schreiben würde an den Aufgaben, er am Tag gemacht hat, dann würde er jeden Abend auf die Schultern klopfen und sagen, guter Tag, du kannst stolz auf dich sein. Wenn man das noch bisschen effizienter machen kann, Workflows einrichtet, Genehmigungsprozesse in Unternehmen zu machen oder auch um

standardisierte Prozesse, Dokumentationen auch im Pflegebereich zu vereinfachen. Das ist für alle eine Entlastung und gerade auch in einer Branche, wo man Fachkräftemangel gar nicht mehr sprechen muss, weil der ist eklatant, wo die Mitarbeiterinnen und Mitarbeiter so einen Einsatz bringen, das auch psychisch belastend ist. Da finde ich gerade solche Lösungen unglaublich wichtig und ich hoffe auch,

dass das eingesetzt werden kann und vor allem auch, dass man praktikable, umsetzbare Lösungen findet für kleinere Pflegedienste, damit sich diese nicht zu Ende

René (25:35)
Genau, ist ja auch schön, dass du es ansprichst. Das ist ja auch unsere Mission, dass wir das ebenso machen wollen. Weil wir es ja eigener Erfahrung kennen, immer mehr administrative Aufgaben. das Herz, warum man den Beruf macht, ist ja eigentlich, musst dich den Menschen unterstützen. bist nah bei Menschen und kannst auf diese Art Weise tun, durch Gespräche, durch Unterstützung bei irgendwelchen Aufgaben. eben, das ist die Idee vom Podcast, unsere Mission KI für Helfer zugänglich zu machen.

eben Prozesse vereinfachen.

Katja (26:07)
sodass sie nicht so wie wir aus der Branche aussteigen.

René (26:12)
Ja und eben, das Datenschutz, darum sagen wir jetzt, ich fasse jetzt mal das Thema, weil es eben wichtig ist, weil man wieder darauf achten muss in Zusammenhang mit KI. Und darum haben wir es schön, dass wir dich dabei haben, Elisa, heute.

Elisa Drescher | SCALELINE Datenschutz (26:23)
Ich finde es ganz spannend. Ich vielleicht deswegen auch zum Pflegebereich selber auch eine große Affinität oder schon immer Interesse, weil ich glaube ich habe noch nie auch öffentlich erzählt, dass ich, als ich nach dem Studium in Österreich habe, ich bei einem Landesrechnungshof gearbeitet und dort haben wir ein Pflegeheim geprüft.

Und es war unglaublich erkenntnisreich, du warst, frische 23 Jahre damals und dann bist du in so einer Institution und du siehst, was die Mitarbeiterinnen und Mitarbeiter für einen Job leisten, was das bedeutet. ich muss echt nochmal betonen, gerade diese psychische Komponente, darin ist einfach krass und man hat es dann einfach auch mitbekommen oder auch wenn man,

pflegebedürftige Großeltern hat und man sieht dann, was es heißt, wenn bestimmte karetative oder auch wirtschaftlich ausgerichtete Einrichtungen nach Hause kommen, was die für ein Pensum schultern. Daher, wenn ich da unterstützen kann, dass man den ein oder anderen Pflegedienst besser machen, auch dass man die Datenschutzthematiken besser machen können, helfen wir wirklich ganz vielen Menschen,

Sinn und Zweck von der Gesundheitsbranche ist nicht die, die sich für den Job dort entscheiden, dass sie uns selber in relativ jungen Jahren einfach nicht mehr können.

Katja (27:49)
Ja, sagen gerne Automatisierungen und Integrationen und so. Innovationen werden dieses Problem lösen. Aber gerade diese Zwischenstellen, die man braucht, die man benutzt, eine Automatisierung aufzustellen, sind ja noch einmal eine Sicherheitslücke, oder?

Elisa Drescher | SCALELINE Datenschutz (28:06)
Ja, aber auch das ist mir wichtig. Man kann diese Themen auch lösen, wenn man es am Schirm hat. Wenn man weiß, jede API oder jede Verbindung nach außen kann natürlich ein Risiko darstellen und nicht, dass man sagt, das ist ein absolutes Risiko. für mich geht es wirklich immer darum, in der Beratung als auch bei uns im Unternehmen, dass man sagt, praktikable Lösungen zu kreieren.

Katja (28:38)
Vielleicht magst du für uns zusammenfassen, wo sind denn die größten Sicherheitslücken bei so einem Szenario?

Elisa Drescher | SCALELINE Datenschutz (28:46)
Die größte Sicherheitslücke, auch wenn es hart klingt, immer, dass ein Mensch Fehler macht. Fehler machen ist menschlich, würde ich auch noch mal dazu sagen. Dass man keine klaren Prozesse hat, wer wann was zu melden hat, dass man nicht weiß, wie man auf Datenschutzvorfälle reagiert. Das ist so dieses tatsächliche Thema. Dann könnte man nur sagen,

Dokumentationstechnisch und mit Datenschutz haben viele Nachholbedarf, was Informationspflichten gegenüber Patienten und Kunden angeht, den eigenen Mitarbeitern, welche Daten man da verarbeitet. Das sind so diese größten Baustellen, wir bei den Unternehmen immer wieder identifizieren.

Katja (29:26)
also Mitarbeiterschulungsbedarf siehst du?

Elisa Drescher | SCALELINE Datenschutz (29:29)
Ja, und vor allem wir haben einige Kunden auch, die hatten so Online Schulungen. Also meine Erfahrung ist, dass man die Datenschutzschulungen wirklich immer vor Ort mit den Mitarbeitern macht, wirklich trainiert, Fragen eingeht, Use-Cases durchgeht, die auf das Unternehmen zugestrickt sind. dafür ist es halt auch notwendig, dass man das Unternehmen kennt. Und deswegen kann ich einfach nur sagen, es ist einfach unerlässlich, dass

einen guten Datenschutzbeauftragten hat, der die eigene Branche auch versteht, dass man da gut beraten kann. dann schafft man es in einer zweistündigen oder maximal zweistündigen Schulung im Jahr alle abzuholen, zu sensibilisieren, dass sie wissen, wann sie den Datenschutzbeauftragten oder die Datenschutzbeauftragte involvieren müssen.

Katja (30:20)
Bist du frei uns so ein Use-Case zu präsentieren?

Elisa Drescher | SCALELINE Datenschutz (30:26)
Ich glaube, ich kann es abkürzen. Meine Hauptmessage in den Schulungen ist immer, dass die Mitarbeiterinnen und Mitarbeiter in den Unternehmen selbst keine Datenschutzprofis sein müssen. Die müssen sie nicht darüber recherchieren, welche Einwilligung, die Texte nicht erstellen. Sie müssen nichts dokumentieren, sondern die Mitarbeiter müssen wissen, wann sie sich an die Datenschutzbeauftragte wenden. Sie haben zum Beispiel, ein Klassiker ist auch vielleicht in der Pflege.

Man korrespondiert mit dem Hausarzt von dem Patienten und man verwechselt Patient A und B und schickt den Patienten, dass man den falschen Hausarzt kontaktiert und dann eben die falschen Infos schickt. Ist menschlich. Wer hat noch nie eine E-Mail an den falschen Entzwänger geschickt, werfe bitte mit dem ersten Stein quasi. Aber dass man dann einfach sagt, dass der Mitarbeiter dann weiß, dass man sofort anruft und sagt, es sind Fehler passiert, löschen Sie das.

Haben Sie es schon gesehen? Bitte bestätigen Sie es, dass wir es gelöscht haben und dass man es dann der Datenschutzbeauftragte noch meldet, weil man muss solche Vorfälle dokumentieren und unter Umständen auch an die Datenschutzbehörde melden.

René (31:36)
Okay.

Katja (31:38)
Du hast gesagt, jeder Betrieb ab 20 Mitarbeiter braucht einen

Elisa Drescher | SCALELINE Datenschutz (31:44)
In Deutschland ja, da ist die Regelung ab 20 Mitarbeitern. Und dann noch mal, wenn Gesundheitsdaten verarbeitet werden und wenn Datenverarbeitungen passieren, die eine Datenschutzfolgenabschätzung haben. Wie zum Beispiel, wenn man sagt, man nutzt ein KI System für die Dokumentationserstellung, würde ich hand ins Feuer legen, dass man eine Datenschutzfolgenabschätzung braucht. Wenn man Videoüberwachungsmaßnahmen

dann braucht man den auch. Es kann auch sein, dass kleinere Unternehmen, das ist eigentlich die wichtigste Message, auch kleinere Unternehmen einen Datenschutzbeauftragten brauchen. Der eine Punkt und der zweite Punkt ist, aber auch kleine Unternehmen müssen dieselben Pflichten erfüllen, unabhängig davon, ob sie zur Bestellung eines Datenschutzbeauftragten verpflichtet sind oder nicht. Weil das glauben dann auch viele. Ja, wir brauchen eh gar keinen Datenschutzbeauftragten mit, da müssen wir uns nicht darum kümmern. Dem ist leider oder aus deren Perspektive leider nicht so.

René (32:42)
Ich habe es gerade durch den Kopf gegangen, ob es nur Daten betrifft, die intern im Unternehmen verwendet werden oder Daten, die nach außen gehen.

Elisa Drescher | SCALELINE Datenschutz (32:51)
Man könnte diese Unterscheidung machen. Im Gesundheitsbereich, ich bin immer der Meinung, dass man Datenschutzbeauftragten braucht, machen wir eine Marketingagentur, das ist ein anderes Beispiel. Wenn da die Aufgabe wirklich ist, unterstützen bei den Strategien, bei den Postings etc., dafür braucht man keinen Datenschutzbeauftragten unter 20 Personen.

drüber so aber schon. Aber wir haben viele Kunden aus dem Marketingbereich auch die einfach sagen, unsere Kunden fragen immer wieder und sie wollen das einfach auch professionell gemanaged haben. Genau.

Katja (33:28)
Aber auch da bei Social Media Posting kannst du Datenschutzverstoße machen, wenn du zum Beispiel, wir hatten letztens den Fall von einem Pflegedienst, der online postet über ihre tägliche Aktivitäten und was für Übungen sie machen in der Tagesbetreuung bei denen. Und da brauchst du ja auch eine Fotovideo Einwilligung von jeder einzelnen Person unterschrieben und nachvollziehbar, wo es ist und jederzeit widerrufbar und so weiter.

Elisa Drescher | SCALELINE Datenschutz (33:56)
Absolut.

René (33:56)
In dem Fall sogar von den jungen Menschen, die nicht mehr handlungsfähig waren, Beistände oder Angehörige, die dann für zuständig waren.

Elisa Drescher | SCALELINE Datenschutz (34:08)
Was mir vielleicht noch wichtig ist, das betone ich auch ganz gerne.

Auch wenn es jetzt das Hauptthema ist, Kinderfotos. Das ist mir immer so ganz, ganz wichtig, dass ich das auch betone. Sei es, wenn man unterwegs ist oder wenn man vielleicht Eltern ist oder Onkel, Tante und stolz drauf ist, weil ich verstehe, das ist auch eine tolle Nichte und ein Neffe. Aber ich würde niemals von den süßen Mäusen Fotos online stellen. Und das ist echt auch immer mein Rad oder finde ich auch traurig, wenn man das immer wieder sieht

René (34:19)
ja.

Elisa Drescher | SCALELINE Datenschutz (34:40)
wie viele Informationen Eltern von ihren Kindern preisgeben. Und ich habe jetzt nächste Woche meinen dritten runden Geburtstag. Und wenn ich jetzt daran denke, dass irgendwie meine Eltern vor 30 Jahren mein komplettes Leben online geteilt hätten, der erste Schritt, und jenes. Also ich wäre nicht glücklich darüber, wenn ich es nicht selber entscheiden kann. Und die Welt ist halt einfach auch anders geworden. Ich kann es nicht urteilen, weil ich noch keine Kinder.

Aber spätestens, wenn die kleinen Mäuse dann in die Schule gehen oder in die Oberstufe wechseln und die Freunde sehen das, ist es einfach auch ein Potential, wo Bullying ein Thema werden könnte. da einfach, dass es einfach auch jeder natürlich für sich selbst auch entscheiden soll, wie er damit umgeht. Also da möchte ich gar nicht das Moralapostel spielen. Aber ich man muss halt einfach immer wieder auch sagen und auch die stolzen Eltern, die berechtigterweise gerne das Leben ihrer Kinder teilen würden, einfach sagen.

macht man es oder macht man es nicht. Und da reden wir gar nicht von dem Bereich Influencer sein und was die mit den Kindern machen. Aber das brauchen wir vielleicht auch gar nicht reinnehmen, aber es ist immer wieder wichtig, dass man das auch betont.

Katja (35:52)
Ja, und dann erstellt man für Sechsjährige Facebook Profile, die sie dann selbst verwalten. Oder gibt einem Achtjährigen ein Smartphone in die Hand? Ja, dürfte man gar nicht, aber wo ziehst du die Grenze? Wann ist ein Kind selbst zurechnungsfähig genug, zu sagen, das passiert mit meinen Daten, wenn sie in einer so konditionierten Welt aufwachsen?

Elisa Drescher | SCALELINE Datenschutz (35:59)
darf man gar nicht.

Ja.

Tatsächlich sagt die DSGVO 14 Jahre und die Mitgliedstaaten dürfen es auch runtersetzen. Ich in einigen sind es auch 12 Jahre. Weil aktuell ist es so, wir haben auch im Kindergarten letztes Jahr pro Bono beraten und betreut. Da ging es auch die Frage, möchte natürlich auch, weil es ein privater Kindergarten ist, Informationen auf Instagram sharen, welche Eltern, also wer muss die Zustimmung erteilen, dass das gemacht wird etc.

superspannende Themen und auch superspannend, wie unterschiedlich dann die Elternteile, wie die Einstellung dazu ist.

René (36:55)
Ich finde es gut, dass du das angesprochen hast, weil das Kind selber kann in der Zeit noch nicht entscheiden und man sollte auf gewisse Themen, auch wenn die jetzt vielleicht nichts mit dem EU AI Act direkt zu tun haben oder mit KI, auch mal aufmerksam machen.

Weil Leute vergessen, das glaube ich schnell, denken an viele Sachen einfach nicht und machen einfach und finden es dann toll und super.

Katja (37:18)
ich habe heute gelernt, dass ohne einen Datenschutzbeauftragten wird es nicht gehen. Anscheinend, wenn wir über KI Thema reden und wenn auch ein kleines Betrieb KI implementieren will, braucht er den Rat von einem Datenschutzexperten. Wir als KI Trainer genügen da überhaupt nicht aus.

müssen wir kooperieren. Aber für solche Betriebe, wenn sie sich ein Datenschutzbeauftragten holen müssen, wo findet man dich? Wie kontaktiert man dich?

Elisa Drescher | SCALELINE Datenschutz (37:48)
Also erstmal an euch bei der Katja und der René, danke für die Einladung. Es hat wirklich Spaß gemacht, so doch eher lockere Art über so komplexe Themen zu plaudern und an allen, die was einfach sagen, ja sie wollen vielleicht bisschen mehr weitere Informationen von uns oder auch mir haben. Wir haben die Website www.dataprotection-scaleline.com, wo ich erreichbar bin, ansonsten über LinkedIn mein Profil Elisa Drescher, auf Instagram haben wir den Account scalene.datapro.

Und es geht natürlich auch klassisch per E-Mail. Die kann ich euch dann noch geben. Dann könnt ihr es gerne in die Show Notes reingeben. glaube am einfachsten. Genau, freue mich einfach von euch zu hören, dass man praktikable, lösungsorientierte Ansätze findet, ihr auch KI einsetzen könnt und euch und eure MitarbeiterInnen entlasten könnt.

Katja (38:39)
Wunderbar, klingt gut. Vielen lieben Dank, Elisa. Ich habe so viel gelernt von dir und wir werden auf jeden Fall dieses Thema weiter kauen in jeder Folge.

René (38:49)
Genau. Also danke an euch Zuhörer. Danke Katja. Danke Elisa. Und bis zum nächsten Podcast. Ciao.

Katja (38:56)
Tschüss!

Elisa Drescher | SCALELINE Datenschutz (38:57)
Tschüss!