Die Grundfrage: Wann gelten DSGVO-Pflichten?
Sobald ein Prozess personenbezogene Daten verarbeitet — also Informationen, die sich auf eine identifizierbare natürliche Person beziehen — gilt die DSGVO. Das beginnt schon beim Namen in einer Aufgabenbeschreibung, der E-Mail-Adresse im Workflow-Kontext oder dem Kundendatensatz, den ein Service Task abruft.
Nicht jede Verarbeitung ist problematisch. Entscheidend ist: Gibt es eine Rechtsgrundlage (Art. 6 DSGVO), werden die Daten nur so lange wie nötig gespeichert, und ist der Vorgang dokumentiert?
Prozesshistorie und Audit-Trail
⚠ Aufmerksamkeit nötigWorkflow-Engines wie Operaton speichern standardmäßig eine vollständige Prozesshistorie — Variablenwerte, Nutzeraktionen, Zeitstempel. Wenn diese Variablen personenbezogene Daten enthalten, müssen Löschkonzepte (History Cleanup) und Zugriffsbeschränkungen definiert werden. Operaton bietet dafür konfigurierbares History Cleanup — aber es muss aktiv eingerichtet werden.
KI-Dienste als Service Tasks
✕ Besondere VorsichtWird ein Cloud-KI-Dienst (OpenAI, Anthropic, Google) als Service Task in einen Prozess eingebunden und verarbeitet dabei personenbezogene Daten, muss geprüft werden: Gibt es einen Auftragsverarbeitungsvertrag (AVV)? Werden Daten in Drittländer übertragen? Für viele Szenarien ist deshalb ein selbst gehostetes Modell (Ollama, lokale Instanz) die sicherere Wahl — keine Datenweitergabe, kein AVV nötig.
Was unbedenklich ist
✓ UnkritischProzesse, die ausschließlich nicht-personenbezogene Daten verarbeiten — Bestellnummern, Produktmengen, interne Status — unterliegen nicht der DSGVO. Ebenso unbedenklich: anonymisierte oder aggregierte Daten, die keinen Rückschluss auf Personen zulassen.
Geplante Inhalte auf dieser Seite
- Checkliste: DSGVO-relevante Stellen im BPMN-Prozess
- Operaton History Cleanup konfigurieren
- Lokale KI-Modelle vs. Cloud-APIs aus DSGVO-Sicht
- Datenschutz-Folgenabschätzung (DSFA) — wann nötig?