Blog10.06.2026 · 6 Min. Lesezeit

DSGVO-Checkliste für Automati­sierungs­projekte

Bevor Sie Prozesse mit n8n und KI automatisieren: Rechtsgrundlage, AVV, Drittlandtransfer, Art. 22 und der EU AI Act ab 2026 – die ehrliche Checkliste.

Jeder Automatisierungs-Workflow, der Kundennamen, E-Mail-Adressen oder Rechnungsdaten anfasst, ist auch eine Datenschutz-Entscheidung. Das fällt oft erst auf, wenn der Prozess längst läuft – und dann ist die Korrektur teuer. Dieser Artikel ist eine praxisnahe Checkliste für Geschäftsführer und Prozessverantwortliche, die im Mittelstand automatisieren wollen, ohne sich rechtlich zu verrennen. Ich gehe die Punkte in der Reihenfolge durch, in der sie im Projekt tatsächlich auftauchen. Eine Vorbemerkung in eigener Sache: Das ist Orientierung aus der Beratungspraxis, keine Rechtsberatung – für den Einzelfall gehört Ihr Datenschutzbeauftragter oder eine Fachanwältin mit an den Tisch.

Warum DSGVO an den Anfang gehört

Automatisierung verschiebt personenbezogene Daten – von einem Posteingang in ein CRM, von einem Formular in eine Datenbank, von Ihrem Server zu einem KI-Dienst. Jede dieser Bewegungen braucht eine Begründung. Wer das erst nach dem Go-live klärt, baut den Workflow im Zweifel zweimal. Deshalb steht der Datenschutz bei mir nicht am Ende der Checkliste, sondern im Entwurf.

DSGVO-Konformität entsteht nicht am Ende eines Automatisierungsprojekts, sondern bei seinem Entwurf: Wer vor dem ersten Workflow festlegt, welche personenbezogenen Daten zu welchem Zweck, auf welcher Rechtsgrundlage und über welche Dienstleister fließen, baut Compliance in die Architektur ein – statt sie später teuer nachzurüsten oder den Prozess wieder abzuschalten.

Schritt 1: Auf welcher Rechtsgrundlage läuft der Prozess?

Bevor Daten fließen, muss klar sein, warum Sie sie überhaupt verarbeiten dürfen. Art. 6 DSGVO nennt die zulässigen Grundlagen – für die Automatisierung im Tagesgeschäft sind drei relevant: die Vertragserfüllung (Sie wickeln eine Bestellung ab), die rechtliche Verpflichtung (Sie bewahren Rechnungen auf) und das berechtigte Interesse mit dokumentierter Abwägung (Sie pflegen Leads). Die Einwilligung ist die vierte – sie ist nötig, wo keine der anderen trägt, etwa bei Werbe-Mails.

Praktisch heißt das: Notieren Sie für jeden Workflow in einem Satz, welche Grundlage ihn trägt. Wenn Ihnen dieser Satz schwerfällt, ist das ein Warnsignal, kein Formalismus.

Schritt 2: Wer verarbeitet in Ihrem Auftrag?

Sobald ein externer Dienst weisungsgebunden Daten für Sie verarbeitet, ist er Auftragsverarbeiter – und Sie brauchen einen Auftragsverarbeitungsvertrag (AVV). Das betrifft den Cloud-Hoster ebenso wie den KI-Anbieter, an den ein Workflow Texte schickt.

Nach Art. 28 DSGVO muss der AVV unter anderem regeln: Verarbeitung nur auf dokumentierte Weisung, Vertraulichkeit der Mitarbeitenden, technische Schutzmaßnahmen nach Art. 32, den Umgang mit Unterauftragsverarbeitern, Löschung oder Rückgabe der Daten nach Auftragsende sowie Nachweise und Audit-Rechte. Zwei Konsequenzen für die Praxis:

  • Inventarisieren Sie Ihre Dienste. Welcher Knoten in Ihrem Workflow schickt Daten an wen? Bei einer n8n-Automatisierung sind das schnell ein Hoster, ein Mail-Provider, ein CRM und ein LLM-Anbieter – vier mögliche AVV.
  • Self-Hosting reduziert die Liste. Betreiben Sie n8n auf eigener Infrastruktur, bleiben Workflow- und Ausführungsdaten in Ihrer Datenbank statt bei einem Cloud-Betreiber. Wie das DSGVO-konform aussieht, vertiefe ich in der n8n-Beratung.

Schritt 3: Wohin fließen die Daten?

Heikel wird es, wenn Daten ein Drittland verlassen – allen voran in die USA, wo die meisten großen KI-Anbieter sitzen. Eine Übermittlung in ein Drittland ist nach Art. 44 ff. DSGVO nur mit einem angemessenen Schutzniveau zulässig.

Aktuell trägt das der EU-US Data Privacy Framework (DPF): Für US-Unternehmen, die unter diesem Rahmen zertifiziert sind, gilt ein Angemessenheitsbeschluss. Stand Juni 2026 ist das DPF gültig – das EU-Gericht hat die Klage Latombe im September 2025 abgewiesen, eine Revision liegt aber beim EuGH (Rechtssache C‑703/25 P). Daraus folgt für die Praxis:

  • Prüfen Sie auf der offiziellen DPF-Liste, ob Ihr Anbieter tatsächlich zertifiziert ist – die Selbstauskunft auf der Anbieter-Website genügt nicht.
  • Ist er es nicht, brauchen Sie Standardvertragsklauseln und eine Risikoabschätzung der Übermittlung.
  • Wer das Thema umgehen will, hält die Verarbeitung in der EU: ein EU-gehostetes Modell oder ein lokal betriebenes (etwa über den Ollama-Knoten in n8n), sodass die KI-Inferenz die eigene Infrastruktur nicht verlässt.

Schritt 4: Entscheidet die Maschine über Menschen?

Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich erhebliche Wirkung hat. Eine vollautomatische Absage an Bewerber, eine automatische Kreditablehnung oder eine Vertragskündigung ohne menschliche Prüfung fällt darunter.

Zulässig ist eine solche Entscheidung nur, wenn sie für einen Vertrag erforderlich ist, gesetzlich erlaubt wird oder auf ausdrücklicher Einwilligung beruht – und selbst dann müssen Sie ein Recht auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung sicherstellen. Für die meisten KMU-Workflows ist die Lösung einfach: Die Automatisierung bereitet vor, ein Mensch entscheidet. Genau dieses Muster – KI sortiert und schlägt vor, der Mensch gibt frei – beschreibe ich an einem konkreten Fall in der E-Mail-Triage mit KI.

Schritt 5: Technische und organisatorische Maßnahmen

Art. 32 DSGVO verlangt Schutzmaßnahmen, die zum Risiko passen – Verschlüsselung, Zugriffsbeschränkung, Wiederherstellbarkeit. Im Automatisierungskontext heißt das konkret:

  • Zugangsdaten verschlüsseln. Selbst gehostetes n8n verschlüsselt gespeicherte Credentials mit einem Schlüssel; setzen Sie dafür die Umgebungsvariable N8N_ENCRYPTION_KEY bewusst und sichern Sie sie – geht der Schlüssel verloren, sind alle hinterlegten Zugänge unbrauchbar.
  • Rechte minimal halten. Ein Workflow braucht selten Vollzugriff. Vergeben Sie API-Schlüssel mit den engsten Berechtigungen, die die Aufgabe erfordert.
  • Protokollieren, aber sparsam. Ausführungs-Logs helfen bei Fehlern, sammeln aber schnell personenbezogene Daten an. Begrenzen Sie, was gespeichert wird, und wie lange.

Schritt 6: Dokumentieren – Verzeichnis und Folgenabschätzung

Zwei Dokumentationspflichten werden gern übersehen. Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30) hält fest, welche Daten Sie zu welchem Zweck, mit welchen Empfängern und Löschfristen verarbeiten. Die verbreitete Annahme, Betriebe unter 250 Mitarbeitenden seien befreit, stimmt nur eingeschränkt: Die Ausnahme greift nicht, sobald die Verarbeitung nicht nur gelegentlich erfolgt, ein Risiko birgt oder besondere Datenkategorien betrifft – auf einen laufenden Automatisierungs-Workflow trifft mindestens eines davon fast immer zu.

Kommt ein systematisches Profiling mit automatisierten Entscheidungen oder die umfangreiche Verarbeitung sensibler Daten hinzu, kann nach Art. 35 zusätzlich eine Datenschutz-Folgenabschätzung Pflicht werden. Das ist kein Papierberg, sondern eine strukturierte Risikoabwägung vor dem Start.

Der EU AI Act kommt obendrauf

Sobald KI im Spiel ist, gilt zusätzlich zur DSGVO der EU AI Act. Er ordnet Systeme nach Risiko – und für den Mittelstand sind vor allem zwei Stufen relevant:

Risikostufe Was das für KMU bedeutet
Inakzeptabel (verboten) z. B. Emotionserkennung am Arbeitsplatz – Finger weg
Hochrisiko z. B. KI für Personalauswahl und Beförderung – strenge Pflichten
Begrenztes Risiko (Transparenz) Chatbots, generierte Inhalte – Offenlegungspflicht
Minimal Spamfilter und Ähnliches – keine besonderen Pflichten

Zwei Termine sollten Sie kennen. Seit dem 2. Februar 2025 gilt eine KI-Kompetenzpflicht: Wer KI einsetzt, muss dafür sorgen, dass die damit befassten Mitarbeitenden ausreichend geschult sind. Und ab dem 2. August 2026 greifen die Transparenzpflichten nach Art. 50: Nutzer müssen erkennen können, dass sie mit einer KI sprechen, und KI-generierte Inhalte müssen als solche gekennzeichnet sein. Wer einen KI-Telefonassistenten oder Chatbot betreibt, ist davon direkt betroffen – mehr dazu in meiner Übersicht zu KI-Agenten für den Mittelstand.

Die Checkliste auf einen Blick

  • Rechtsgrundlage je Workflow benannt (Art. 6)?
  • AVV mit jedem Dienstleister geschlossen, der Daten verarbeitet (Art. 28)?
  • Drittlandtransfer geprüft – DPF-Zertifizierung, SCC oder EU-/lokale Verarbeitung (Art. 44 ff.)?
  • Menschliche Letztentscheidung, wo es um Menschen geht (Art. 22)?
  • Schutzmaßnahmen umgesetzt – Verschlüsselung, minimale Rechte, sparsames Logging (Art. 32)?
  • Verzeichnis geführt, Folgenabschätzung geprüft (Art. 30, 35)?
  • AI Act: Risikostufe eingeordnet, Schulung und Transparenz bedacht?

Diese Liste ersetzt keine Einzelfallprüfung, aber sie verhindert die teuren Überraschungen. Wenn Sie einen konkreten Prozess vor sich haben und wissen wollen, an welchen dieser Punkte er hakt, schauen wir uns das im kostenlosen Prozess-Check gemeinsam an – ehrlich, auch wenn die Antwort manchmal lautet: erst die Datengrundlage sortieren, dann automatisieren.

Kostenloses Erstgespräch

Diesen Prozess bei Ihnen umsetzen? Prozess-Check

Sie beschreiben 1–2 Prozesse, ich sage Ihnen ehrlich, was Automatisierung bringt – und was nicht.

Kostenlosen Prozess-Check anfragen

DSGVO-konform · 100 % vertraulich · Keine Kosten