Warum der Satz “das geht nicht wegen Datenschutz” meistens nicht stimmt — und was wirklich dahintersteckt.
Ich sitze in einem Meeting mit einem IT-Leiter aus dem öffentlichen Dienst. Kluger Typ, frischer Blick von außen, noch nicht betriebsblind. Er erzählt mir, was passiert, wenn er interne Prozesse hinterfragt und KI-Lösungen vorschlägt.
Die Antwort ist immer dieselbe.
“Geht nicht. Datenschutz.”
Nicht: “Wir haben das geprüft und folgendes Problem identifiziert.” Nicht: “Wir bräuchten eine Datenschutzfolgeabschätzung für genau diesen Use Case.” Sondern einfach: Datenschutz. Totschlag. Ende der Diskussion.
Er sagt das ohne Zynismus. Fast resigniert. Als wäre es eine Naturgewalt.
Es ist keine Naturgewalt. Es ist bequeme Angst.
Ich arbeite seit Jahren mit Unternehmen im Mittelstand und im öffentlichen Sektor. Medizin, ÖPNV, Verwaltung. Und ich beobachte dasselbe Muster überall:
Datenschutz wird nicht als rechtlicher Rahmen behandelt, der Lösungen gestaltet. Er wird als Stoppschild benutzt, das Lösungen verhindert.
Der Unterschied ist gewaltig.
Ein Stoppschild fragt nicht. Es steht. Wer dahinter fragt, muss sich rechtfertigen. Das kostet Energie, kostet politisches Kapital, kostet manchmal den Jobtitel. Also fragt man lieber nicht.
Das Ergebnis: Organisationen, die KI-Projekte nicht starten, weil niemand die erste unbequeme Frage stellt. Die Jahre verlieren — nicht wegen der DSGVO, sondern wegen der Angst vor der DSGVO.
Was wirklich passiert, wenn “Datenschutz” als Argument kommt
In den meisten Fällen hat die Person, die “Datenschutz” sagt, keine Ahnung, ob es tatsächlich ein Problem gibt. Sie hat es nicht geprüft. Sie wiederholt, was jemand anderes mal gesagt hat — der es ebenfalls nicht geprüft hat.
Stilles Telefon. Mit Millionenfolgen.
Die eigentliche Frage, die niemand stellt: Sind lokale Daten wirklich schlechter geschützt als Cloud-Daten? Für viele Anwendungsfälle lautet die ehrliche Antwort: Nein. On-Premise KI-Systeme, richtig konfiguriert, verlassen das eigene Rechenzentrum nie. Kein Token geht nach draußen. Kein Modell wird mit euren Daten trainiert. Die Daten bleiben, wo sie sind.
Das ist nicht Theorie. Das läuft heute — in Krankenhäusern, bei Krankenkassen, in Behörden. Andere machen es. Andere haben den Knoten gelöst.
Aber dazu muss man die erste Frage stellen. Und die zweite. Und manchmal die zwanzigste.
Der eigentliche Flaschenhals ist kein technisches Problem
Governance-Fragen rund um KI sind lösbar. Die DSGVO ist kein KI-Verbot — sie ist ein Gestaltungsauftrag. Wer frühzeitig die richtigen Stakeholder einbindet — IT-Security, Datenschutzbeauftragten, Betriebsrat, Rechtsabteilung — der baut keine Luftschlösser. Der baut Fundamente.
Was nicht lösbar ist: eine Organisationskultur, in der Bedenken mehr Karrierepunkte bringen als Lösungen.
Das ist die eigentliche Hausaufgabe. Nicht die Technik.
Was ich jedem empfehle, der gerade an dieser Schranke steht:
Stell die Frage konkret. Nicht “können wir KI einsetzen?” — sondern: “Welche Daten braucht dieser spezifische Use Case, und welche davon sind tatsächlich schützenswert im Sinne der DSGVO?”
Hol die richtigen Leute früh ins Boot. Nicht am Ende als Absegner. Am Anfang als Mitgestalter.
Und: Schau, was andere bereits machen. Best Practices für KI im Gesundheitswesen, im öffentlichen Dienst, in regulierten Branchen existieren. Du musst das Rad nicht neu erfinden — du musst nur aufhören zu glauben, dass das Rad verboten ist.
Der IT-Leiter aus meinem Meeting hat am Ende etwas Kluges gesagt: Wenn sie diesen Flaschenhals einmal lösen — dann können sie ganz andere Dinge angehen.
Genau das.
Der Flaschenhals ist nicht die DSGVO.
Der Flaschenhals ist die Überzeugung, dass man gar nicht erst anfangen darf zu fragen.
