Modul 12 DigiMan: Datenschutz, Sicherheit und Compliance

Modul 12 der Weiterbildung zum Digitalisierungsmanager umfasst 32 Unterrichtseinheiten (UE) in vier Tagen. Es vermittelt die rechtlichen und sicherheitstechnischen Grundlagen, die jeder Digitalisierungsmanager in Deutschland kennen muss: DSGVO, Privacy by Design, Datenschutz-Folgenabschätzung (DSFA), IT-Sicherheits-Grundlagen und den EU AI Act mit seinen praktischen Folgen.

Ohne dieses Modul wären die technischen Werkzeuge der vorherigen Module rechtlich riskant einsetzbar. Mit Modul 12 weißt du, welche rechtlichen Pflichten bestehen, welche Prüfschritte nötig sind und wie du in der Praxis sauber dokumentierst. Das ist kein Juristerei-Kurs, sondern ein praxisnaher Rahmen für technische Entscheidungen.

Aufbau des Moduls

Modul 12 läuft über vier Tage. Jeder Tag deckt ein rechtliches oder technisches Kernfeld ab.

Tag	Schwerpunkt
1	DSGVO: Grundsätze, Rechtsgrundlagen, Datenminimierung
2	Privacy by Design und Datenschutz-Folgenabschätzung
3	Datensicherheit: CIA-Triade, BSI-Schutzbedarf
4	EU AI Act, Ethik, Modulabschluss

Jeder Tag hat Hands-on-Übungen: Szenario-Karten zu Grundsätzen, DSFA für ein KI-Szenario, Sicherheitscheck für ein eigenes Projekt, Zuordnung von KI-Systemen zu Risikoklassen.

Die sieben DSGVO-Grundsätze

Tag 1 startet mit dem historischen Kontext. Vom Volkszählungsurteil 1983 über die Datenschutzrichtlinie 95/46/EG bis zur DSGVO 2018 hat sich das deutsche und europäische Datenschutzrecht konsequent entwickelt. Die DSGVO (Verordnung 2016/679) ist seit Mai 2018 unmittelbar geltendes Recht in allen EU-Staaten.

Die sieben Grundsätze nach Art. 5 DSGVO:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2. Zweckbindung
3. Datenminimierung
4. Richtigkeit
5. Speicherbegrenzung
6. Integrität und Vertraulichkeit
7. Rechenschaftspflicht

Jeder Grundsatz klingt abstrakt, hat aber konkrete Konsequenzen. Zweckbindung heißt: Daten, die für einen Zweck erhoben wurden, dürfen nicht einfach für andere Zwecke weiterverarbeitet werden. Datenminimierung heißt: Nur so viele Daten wie nötig, nicht so viele wie möglich. Die Übung mit Szenario-Karten zeigt dir, wie oft in typischen Geschäftsabläufen Grundsätze verletzt werden.

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO sind das zweite Kernthema: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigtes Interesse. Du übst, für konkrete Verarbeitungen die passende Rechtsgrundlage zu bestimmen.

Die Betroffenenrechte nach Art. 12 bis 22 runden den Tag ab: Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, automatisierte Entscheidungen. Jedes dieser Rechte löst in der Praxis Arbeitsabläufe aus, die du als Digitalisierungsmanager mitplanen musst.

Privacy by Design und DSFA

Tag 2 bringt zwei Konzepte zusammen. Privacy by Design (Ann Cavoukian) beschreibt sieben Prinzipien: proaktiv statt reaktiv, Privatsphäre als Voreinstellung, in das Design eingebaut, volle Funktionalität, Sicherheit über den gesamten Lebenszyklus, Sichtbarkeit und Transparenz, Respekt vor dem Nutzer. Das ist kein rechtliches Pflichtprogramm, aber die DSGVO verlangt in Art. 25 ähnliche Prinzipien.

Die Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) ist das zweite Kernwerkzeug. Sie ist verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen birgt. Typische Fälle: automatisierte Entscheidungen mit rechtlicher Wirkung, umfangreiche Verarbeitung besonderer Kategorien (Gesundheit, ethnische Herkunft, politische Meinung), systematische Überwachung öffentlich zugänglicher Bereiche.

Du erstellst eine DSFA für ein KI-Szenario in einer Hands-on-Übung: Beschreibung der Verarbeitung, Notwendigkeitsprüfung, Risikobewertung, Abhilfemaßnahmen. Die Übung macht deutlich, dass eine DSFA kein Formular ist, das nebenbei ausgefüllt wird. Sie ist eine strukturierte Prüfung, die Zeit und Sachverstand braucht.

CIA-Triade und BSI-Schutzbedarf

Tag 3 wechselt zur Sicherheitsseite. Die CIA-Triade fasst die drei Schutzziele zusammen: Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability). Jedes Schutzziel hat eigene Maßnahmenfelder. Vertraulichkeit wird durch Verschlüsselung und Zugriffsrechte gesichert, Integrität durch Prüfsummen und Signaturen, Verfügbarkeit durch Backup und Redundanz.

Die BSI-Schutzbedarfsstufen (Bundesamt für Sicherheit in der Informationstechnik) geben einen Rahmen: normaler, hoher und sehr hoher Schutzbedarf. Für jede Stufe gibt es Empfehlungen, welche Maßnahmen angemessen sind. Du lernst, deine eigenen Projekte in diese Stufen einzuordnen.

Verschlüsselung wird in zwei Familien erklärt: symmetrisch (derselbe Schlüssel verschlüsselt und entschlüsselt, typisch AES) und asymmetrisch (zwei Schlüssel, ein privater, ein öffentlicher, typisch RSA, ECC). Beide Verfahren ergänzen sich in der Praxis. Transport Layer Security (TLS), das Protokoll hinter HTTPS, kombiniert beide.

Der Praxisteil des Tages: Sicherheitscheck für ein eigenes Projekt. Du prüfst ein gegebenes oder selbst entworfenes Projekt gegen eine Checkliste mit rund zwanzig Fragen. Wo stehen Schlüssel, wer hat Zugriff, wie sind Backups geregelt, was passiert bei Personalwechsel.

Der EU AI Act in der Praxis

Tag 4 ist der AI-Act-Tag. Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft, die Anwendung erfolgt gestuft. Die KI-Kompetenzpflicht nach Art. 4 gilt bereits seit dem 2. Februar 2025. Ab August 2026 werden wesentliche Pflichten für Hochrisiko-KI-Systeme verbindlich.

Die Risikoklassen:

• Verbotene Praktiken (Art. 5): Social Scoring, manipulative KI, ungezielte Gesichtserkennung im öffentlichen Raum. Verboten seit Februar 2025.
• Hochrisiko-Systeme (Art. 6, Anhang III): KI in kritischen Infrastrukturen, Bildung, Beschäftigung, Migration, Rechtspflege. Volle Anforderungen ab August 2026.
• Transparenzpflichten (Art. 50): Chatbots, Deepfakes, synthetische Inhalte müssen gekennzeichnet werden.
• Minimales Risiko: Alle übrigen Anwendungen. Keine spezifischen Pflichten.

Besonders relevant für jeden Digitalisierungsmanager: Art. 4 KI-VO, die Schulungspflicht. Sie ist seit dem 2. Februar 2025 in Kraft. Mitarbeiter, die KI-Systeme einsetzen, müssen über ausreichende Kompetenz verfügen. Der EU AI Act Sachkundenachweis, den du im DigiMan-Kurs als Nachweis erhältst, ist genau auf diese Pflicht ausgelegt.

Du ordnest in einer Hands-on-Übung fiktive KI-Systeme den Risikoklassen zu. Die Übung macht klar, dass die Einordnung oft nicht trivial ist und dokumentiert werden muss.

Der Abschlussnachmittag ist die Modulabschlussaufgabe: Ein Datenschutzkonzept für ein gegebenes Szenario. Du kombinierst DSGVO-Grundsätze, Rechtsgrundlagen, DSFA-Einordnung und AI-Act-Risikoklasse zu einem konsistenten Gesamtbild.

Position im Gesamt-Curriculum

Modul 12 ist der rechtliche und sicherheitstechnische Rahmen für alle vorherigen Module. Ohne Modul 12 bleiben die technischen Kompetenzen aus den Modulen 5 bis 9 rechtlich riskant. Modul 12 bereitet das Abschlussprojekt in Modul 13 direkt vor: Jedes Projekt muss datenschutzkonform und sicherheitsbewusst gestaltet sein.

Einen Überblick über alle Module gibt die Ratgeber-Pillar. Wie die rechtlichen Rahmen in den Gesamtablauf passen, erklärt die Modul-Logik-Übersicht. Die direkte Fortsetzung ist Modul 13 zum Abschlussprojekt.

Den offiziellen Text der DSGVO findest du auf EUR-Lex, den Text der KI-Verordnung ebenfalls auf EUR-Lex. Aktuelle IT-Grundschutz-Empfehlungen veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI).

FAQ zu Modul 12

Brauche ich juristische Vorkenntnisse für Modul 12?

Nein. Modul 12 erklärt die rechtlichen Grundlagen praxisnah. Du brauchst kein Jura-Studium. Was du brauchst, ist die Bereitschaft, dich mit strukturierter Dokumentation zu beschäftigen.

Was ist der Unterschied zwischen DSGVO und EU AI Act?

Die DSGVO regelt den Umgang mit personenbezogenen Daten, der EU AI Act regelt den Einsatz von KI-Systemen. Beide Verordnungen greifen ineinander: Ein KI-System, das personenbezogene Daten verarbeitet, unterliegt beiden Regelwerken gleichzeitig.

Wann muss ich eine DSFA durchführen?

Eine DSFA ist nach Art. 35 DSGVO verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene bedeutet. Aufsichtsbehörden veröffentlichen sogenannte Positivlisten, die typische DSFA-pflichtige Verarbeitungen benennen. Im Zweifel DSFA machen oder mit dem Datenschutzbeauftragten klären.

Was bedeutet Art. 4 KI-VO für mein Unternehmen?

Art. 4 verlangt, dass Mitarbeiter, die KI-Systeme einsetzen oder betreiben, über ausreichendes KI-Wissen verfügen. Unternehmen müssen Schulungen nachweisen. Der DigiMan-Kurs schließt mit einem EU AI Act Sachkundenachweis ab, der genau diese Anforderung bedient.

Kann ich Modul 12 mit Bildungsgutschein finanzieren?

Ja. Der gesamte DigiMan-Kurs ist nach § 81 SGB III über Bildungsgutschein förderbar, AZAV-zertifiziert über DEKRA. Kosten ohne Förderung 9.662,40 Euro, mit Bildungsgutschein 0 Euro.

Über den Autor

Dr. Jens Aichinger ist Gründer von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger nach AZAV. Er ist promovierter Naturwissenschaftler und arbeitet seit über zehn Jahren an der Schnittstelle von Bildung und Digitalisierung. Mehr zum Autor auf der Autoren-Seite.

Zuletzt geprüft am 14. April 2026 von Dr. Jens Aichinger. Kontakt und Terminbuchung über skill-sprinters.de/termin.

Vor der Buchung: die richtigen Fragen stellen

Bevor du dich für eine Weiterbildung entscheidest, prüfe bei jedem Anbieter, ob das Curriculum wirklich so tief geht, wie es im Marketing klingt. Unser kostenloses PDF “27 Fragen, die du jedem Anbieter stellen solltest” gibt dir eine Checkliste an die Hand, mit der du ein Beratungsgespräch strukturieren kannst.

27 Fragen als PDF herunterladen