Rechtliches – foxondo

ChatGPT, DeepL und Co. in foxondo: So dokumentieren Sie KI-Software im bestehenden IT-Prozess.

Nora — Wed, 29 Apr 2026 07:04:31 +0000

Künstliche Intelligenz ist in aller Munde, doch in der Datenschutz-Dokumentation sorgt sie oft für Fragezeichen. Dabei ist die Lösung in foxondo ganz einfach: Sie müssen das Rad nicht neu erfinden. Wir zeigen Ihnen heute, wie Sie KI-Software strukturiert in Ihren bestehenden Prozess der IT-Infrastruktur integrieren und dabei alle datenschutzrechtlichen Anforderungen – vom AV-Vertrag bis zum Drittlandtransfer – rechtssicher abhaken.

An welcher Stelle in foxondo können KI-Dienste am besten dokumentiert werden?

Da KI-Tools in den meisten Unternehmen als allgemeines Arbeitsmittel zur Verfügung stehen, finden sie aus unserer Sicht ihren besten Platz im Prozess „Bereitstellung betrieblicher IT-Infrastruktur“. Anstatt einen neuen Prozess anzulegen, ergänzen Sie einfach diesen zentralen Baustein in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT bzw. in foxondo das Modul „Prozesse“). Das gilt für alle KI-Tools, die ganz allgemein im Unternehmen in verschiedenen Bereichen eingesetzt werden, z.B. Copilot oder ChatGPT.

Es gibt Ausnahmen:

Sollte ein KI-Werkzeug nur zu einem ganz bestimmten Prozess gehören (z.B. ein Chatbot, der HR bei der Vorauswahl von Kandidaten für eine zu besetzende Stelle unterstützt), dann gehört die Dokumentation dazu auch in diesen spezifischen Prozess.

Folgende foxondo-Fragen sollten Sie mit Informationen zum Einsatz des KI-Tools ergänzen:

Systeme und Software

Nennen Sie die genutzten KI-Anwendungen (z. B. ChatGPT oder Microsoft Copilot) im Freitextfeld. Beschreiben Sie dabei am besten auch kurz den Einsatzzweck.

Rechtsgrundlage & Zweck

Prüfen Sie, ob der ursprüngliche Zweck des Prozesses auch die KI-Nutzung mit-abdeckt oder ob eine Präzisierung notwendig ist.

Datentransfer in Drittländer

Sehr viele Anbieter sitzen nicht in der EU. Nutzen Sie die entsprechenden Fragen im foxondo-Katalog, um den Datentransfer transparent zu dokumentieren (Stichwort: Data Privacy Framework oder Standardvertragsklauseln).

Auftragsverarbeitung

Geben Sie im Katalog an, ob für das jeweilige Tool ein AV-Vertrag vorliegt. Gerade bei Enterprise-Lösungen ist dies in der Regel gegeben und muss in foxondo angegeben werden.

Was ist sonst noch wichtig?

Je nach Einsatzgebiet wird durch den Einsatz der KI-Lösung eine Datenschutzfolgenabschätzung entweder neu erforderlich sein oder die bisherige muss aktualisiert werden.

Sie haben Fragen dazu, dann melden Sie sich gerne bei uns unter info@foxondo.com.

Update zu „Aufbewahrung und Löschung“ im Prozess der Personalverwaltung

Nora — Mon, 24 Nov 2025 12:40:00 +0000

Warum wir den Prozess angepasst haben?

Im Bereich der Personalverwaltung unterscheiden sich die Anforderungen an Aufbewahrung und Löschung deutlich danach, ob eine Person aktuell beschäftigt ist oder das Unternehmen bereits verlassen hat. Was darf bzw. muss über wen, wie lange aufbewahrt werden?

In der bisherigen Struktur von foxondo haben wir einzelne Datenkategorien von Beschäftigten und ehemaligen Beschäftigen abgefragt. Der Gedanke dahinter war, dass sich diese eigentlich inhaltlich hätten unterscheiden müssen. (da über ehemalige Beschäftigte meist weniger Daten aufbewahrt werden dürfen). Allerdings hat die Praxis gezeigt, dass die Antworten sich in den meisten Fällen nicht unterschieden haben: Die User haben einfach alle Datenkategorien noch einmal angeklickt

Wir haben uns daher Gedanken gemacht, wie wir das Thema Aufbewahrungsfristen und Löschanforderungen in der Personalverwaltung verbessern können.

Was haben wir geändert?

Wir haben die alten Fragen zu den Datenkategorien ehemaliger Beschäftigter, die Fragen zu Aufbewahrungsfristen sowie die Frage zur Umsetzung der Löschanforderungen durch neue klar definierte Fragen ersetzt.

Wir konzentrieren uns jetzt auf zwei Fragen:

Welche Daten werden während des Beschäftigungsverhältnisses fortlaufend gelöscht?

und

Welche Daten werden nach Beendigung des Beschäftigungsverhältnisses gelöscht?

Hier können Sie die verschiedenen Datenarten oder Dokumenttypen angeben, die z.B. einer gesetzlichen Löschfrist unterliegen.

Übernahme bisheriger Inhalte

Die Inhalte aus den bisherigen Fragen haben wir, soweit fachlich möglich und sinnvoll, automatisch für Sie in die neuen Fragen (PHR-300 & PHR-305) übertragen. Wenn Inhalte übernommen wurden, haben die Fragen den Status „geändert“ (blau) erhalten.

Die neuen Fragen erfassen die Inhalte nun wesentlich konkreter: Schauen Sie gern einmal rein und ergänzen die Angaben wo nötig.

Wie immer freuen wir uns über Ihr Feedback!

Angaben zur Zusammenarbeit mit Externen vereinfacht

Nora — Fri, 14 Nov 2025 12:39:00 +0000

Warum wurde die Änderung vorgenommen?

In der bisherigen Struktur mussten teilweise ähnliche Informationen in mehreren Fragen erfasst werden – etwa, welche externen Stellen Zugriff auf Daten haben und welche externen Partner in Prozesse eingebunden sind. Das führte gelegentlich zu sehr ähnlichen Antworten und Überschneidungen.

Mit der Zusammenführung der beiden Fragen haben wir diesen Bereich vereinheitlicht und vereinfacht: Sie geben künftig alle relevanten Informationen zur Zusammenarbeit mit anderen Organisationen zentral in der Frage zur „Zusammenarbeit mit Externen“ (PG-360 | PHR-360) an.

Was ändert sich konkret?

Die bisherige Frage „Externe Zugriffsmöglichkeiten bzw. Weitergabe von Daten“ haben wir aufgelöst und

ihre Inhalte in die Frage zur „Zusammenarbeit mit Externen“ übernommen. Sie finden die bisherigen Inhalte dort und ggf. in den abhängigen Folgefragen wieder

So erfassen Sie an einem Ort:

ob Daten im Auftrag verarbeitet werden (Auftragsverarbeitung),
ob gemeinsame Verantwortlichkeiten bestehen und
welche weiteren externen Stellen beteiligt sind.

So sehen Sie auf einen Blick, wer in die Verarbeitung eingebunden ist, ganz ohne doppelte Eingaben.

Was sollten Sie jetzt tun?

Die gute Nachricht: Für die meisten User entsteht kein zusätzlicher Aufwand, weil wir die Informationen systemseitig übernommen haben.

Wir empfehlen lediglich, einen kurzen Blick in die zusammengeführte Frage (PG-360 | PHR-360) und deren abhängige Folgefragen zu werfen, um sicherzustellen, dass alle Angaben korrekt übernommen wurden und diese bei Bedarf zu ergänzen oder zu konkretisieren.

Mit dieser Anpassung wird foxondo wieder ein Stück einfacher – ohne Informationsverlust, aber mit mehr Klarheit und Effizienz in Ihrer Dokumentation.

Neue Frage in den Prozess-Modulen

Nora — Thu, 06 Nov 2025 12:37:00 +0000

Die allgemein im Unternehmen geltenden Maßnahmen zum Schutz von personenbezogenen Daten sind im Modul Datensicherheit (TOMs) dokumentiert.

Bisher gab es zusätzlich dazu in den Prozess-Modulen eine Frage, ob ‚nur‘ diese allgemeinen TOMs gelten (oder ob und welche besonderen Schutzmaßnahmen implementiert sind) sowie eine Frage zur Pseudonymisierung von Daten.

Die neue Frage kombiniert diese Informationen und fragt direkt: Sind die bestehenden Schutzmaßnahmen für das Schutzniveau angemessen, das die personenbezogenen Daten in dem spezifischen Prozess erfordern?

Je sensibler beispielsweise die verarbeiteten Daten sind, desto höher sind die Schutzanforderungen.

In der neuen Frage können Sie nun in einem integrierten Textfeld dokumentieren, falls es besondere Maßnahmen gibt – und ob die Maßnahmen im Ergebnis insgesamt angesichts des Schutzbedarfs angemessen sind.

Was bedeutet das für die Arbeit in foxondo?

Wenn in den bisherigen Fragen Inhalte dokumentiert waren, haben wir diese in die neue Frage übernommen und dadurch ist sie dann im Status „geändert“ (blau).
Wenn die beiden Fragen noch nicht beantwortet waren, ist die neue Frage auch „noch nicht beantwortet“ (grau).

Schauen Sie sich das am besten bei Gelegenheit mal in foxondo an: Sie kennen Ihre eigenen Prozesse am besten und können die neue Frage vermutlich ganz einfach beantworten.

Update für Auftragsverarbeiter

Nora — Thu, 11 Sep 2025 11:34:00 +0000

Wenn Ihnen dieses Thema bekannt und bewusst ist, haben Sie vermutlich die Leistungen, die Sie als Auftragsverarbeiter erbringen, auch bisher schon schön und ordentlich dokumentiert. Sie waren bisher in foxondo unter dem Menü-Punkt „Vertragliche Vereinbarungen“ zu finden.

Von da haben wir sie jetzt auf die oberste Navigations-Ebene gehoben, so dass Sie weniger Klicks brauchen bis dahin.

Und falls Ihnen jetzt erst auffällt, dass Sie eventuell Auftragsverarbeiter sind und das nur noch nicht dokumentiert hatten: Umso besser, dann ist das jetzt eine gute Gelegenheit, um das anzugehen.

Übrigens: Die Pflicht, ein Verzeichnis dieser ‚Tätigkeiten im Auftrag‘ zu führen, gehört beim Bundesministerium des Inneren (BMI) immerhin zu den ersten drei Aufzählungspunkten bei den Pflichten der Auftragsverarbeiter.

Darum sollte man sich also sicherheitshalber kümmern, bevor jemand danach fragt – zum Glück geht das in foxondo einfach und mit wenig Aufwand.

Kippt bald das EU-U.S. Data Privacy Framework?

Nora — Fri, 14 Mar 2025 12:05:00 +0000

Der transatlantische Datenschutz steht womöglich vor einer neuen Herausforderung: Unter US-Präsident Trump wird der bestehende Rechtsrahmen eher nicht gestärkt, sondern eher geschwächt. Das lässt sich unter anderem daraus ablesen, dass er die Prüfung von Executive Orders seines Vorgängers im Amt veranlasst und Mitglieder eines Kontrollgremiums, das für die Einhaltung des TADPF mit-verantwortlich ist, entlassen hat.

Was bedeutet es, wenn das TADPF als Rechtsgrundlage wegfällt?

Bisher gibt es vor allem zwei gängige Wege, um personenbezogene Daten rechtskonform in die USA zu übermitteln:

Abschluss von EU-Standardvertragsklauseln (SCC): Eine bewährte Methode, um zwischen Vertragspartnern ein angemessenes Datenschutzniveau zu vereinbaren.
Selbst-Zertifizierung gemäß des TADPFs: Der Datenaustausch mit US-Unternehmen, die sich als konform mit den EU-Datenschutzstandards erklären, erfüllt ebenfalls die Voraussetzungen.

Sollte das TADPF ungültig werden, wären alle darauf basierenden Datenübermittlungen rechtswidrig (so wie es bereits bei dessen Vorgängern Privacy Shield und Safe Harbour der Fall war). Das bedeutet, dass Unternehmen dann kurzfristig handeln müssten, um weiterhin DSGVO-konform zu arbeiten.

Es ist unklar, wie wahrscheinlich dieser Fall ist. Aber Unternehmen könnten sich bereits jetzt mit den möglichen Konsequenzen befassen und alternative Lösungen vorbereiten.

Wie kann Sie eine gut gepflegte Datenschutz-Dokumentation dabei unterstützen?

Mit foxondo können Sie diesen Fall schnell und effizient vorbereiten:

1. Identifikation betroffener Verträge

Mit einer Filterung nach den Tags „Drittland“ + „Rechtsgrundlage“ können Sie die relevanten Stellen in foxondo einfach finden und so diejenigen Datenverarbeitungen in Ihrer Dokumentation identifizieren, die sich auf das TADPF stützen.

Sie könnten diese Fragen beispielsweise mit dem Status „in Bearbeitung“ oder „Handlungsbedarf“ kennzeichnen und einen Kommentar hinterlegen, dass eine Umstellung auf SCC’s geprüft wird.

2. Prüfung und Anpassung von Vertragsgrundlagen

Überprüfen Sie, ob Sie mit Ihren Dienstleistern EU-Standardvertragsklauseln abschließen können.

Wichtig: Vergessen Sie nicht, diese Änderung in foxondo entsprechend zu dokumentieren.

3. Transfer Impact Assessment (TIA)

Sollte eine Umstellung auf SCC’s möglich sein, dann muss das Transfer Impact Assessment (TIA), in dem die Risiken von Datenübermittlungen in die USA zu bewerten sind, neu erstellt werden. Das gilt übrigens auch, wenn das TADPF fällt.

Wenden Sie sich dafür am besten an Ihren Datenschutzbeauftragten oder melden Sie sich bei uns: Wir unterstützen Sie gerne.

Gibt es noch eine Alternative?

Sollte für Sie auch ein Wechsel des Dienstleisters in Frage kommen, dann wählen Sie am besten einen Anbieter aus der EU. Einen Überblick über Alternativen für digitale Dienstleistungen und Cloud-Produkte erhalten Sie z.B. hier: https://european-alternatives.eu/de

Sie haben noch Fragen dazu?
Dann melden Sie sich gerne bei uns unter info@foxondo.com.

Rechtsgrundlagen gemäß DSGVO: Konkretisierung in foxondo

Nora — Tue, 18 Feb 2025 12:00:00 +0000

Inhaltliche Verbesserung der Rechtsgrundlagen-Frage in foxondo

Wenn Sie den Datenschutz-Kontext nutzen, können Sie die Frage nach den Rechtsgrundlagen jetzt noch genauer beantworten.

Damit Sie leichter verstehen, warum wir das gemacht haben, möchten wir hier noch einmal etwas genauer auf das Thema Rechtsgrundlagen eingehen.

Grundregel Nr. 1: Ohne Art. 6 DSGVO läuft dabei nichts!

Wenn Sie personenbezogene Daten verarbeiten möchten, brauchen Sie pro Prozess zwingend eine Rechtsgrundlage aus Art. 6 DSGVO. Das sind:

Einwilligung des Betroffenen
Vertragserfüllung oder vorvertragliche Maßnahmen gegenüber dem Betroffenen
Erfüllung rechtlicher Verpflichtungen (z.B. aufgrund von Gesetz, Rechtsverordnung, Betriebsvereinbarung)
Schutz lebenswichtiger Interessen des Betroffenen
öffentliches Interesse oder die Ausübung staatlicher Gewalt
Berechtigte Interessen des Verantwortlichen oder eines Dritten (nach einer Interessenabwägung)

Sie verarbeiten sensible Daten?
Dann kommt auch noch Art. 9 DSGVO ins Spiel!

Geht es um besondere Kategorien von personenbezogenen Daten wie Gesundheitsdaten oder Gewerkschaftszugehörigkeit? Dann brauchen Sie zusätzlich zu Art. 6 DSGVO einen Tatbestand aus Art. 9 DSGVO. Das kann vor allem sein:

Regelungen zum Arbeitsrecht oder Sozialschutz
Daten, die der Betroffene selbst offensichtlich öffentlich gemacht hat
Geltendmachung oder Verteidigung von Rechtsansprüchen
Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin

Sie verarbeiten strafrechtliche Daten?
Da setzt dann Art. 10 DSGVO enge Grenzen!

Möchten Sie Daten zu strafrechtlichen Verurteilungen oder Straftaten verarbeiten? Auch hier reicht Art. 6 DSGVO alleine nicht aus. Sie brauchen zusätzlich eine spezielle gesetzliche Grundlage (insbesondere aus nationalem Recht). Ohne diese ist eine solche Verarbeitung tabu!

Hier ein Beispiel: In einem Bewerbungsverfahren möchte ein Unternehmen die Bewerber auf Vorstrafen prüfen. Auch, wenn ein Arbeitgeber ggf. ein berechtigtes Interesse daran haben kann, jemanden ohne Vorstrafen einzustellen, ist dies grundsätzlich erst einmal nicht zulässig.

Aber es gibt Ausnahmen von diesem Verbot: Je nach konkretem Aufgabenbereich darf nach vermögensrechtlichen (z.B. im Finanzbereich), politischen (z.B. im Bereich des Verfassungsschutzes) oder auch verkehrsrechtlichen (wie bei Berufskraftfahrern) Vorstrafen gefragt werden.

Und was haben wir jetzt in foxondo verbessert?

In foxondo wurde früher das Thema Rechtsgrundlage nur in einer einzigen Frage in den Prozess-Modulen behandelt – dort waren Art. 6, 9 und 10 DSGVO zusammengefasst.

Der Europäische Gerichtshof stellte jedoch klar, dass die Rechtsgrundlagen nicht alternativ, sondern alle zusammen zur Anwendung kommen müssen. Die neue Fragenstruktur berücksichtigt dies. Dadurch wird sichergestellt, dass immer eine Rechtsgrundlage nach Art. 6 DSGVO dokumentiert wird und danach ggf. auch die nach Art. 9 und 10 DSGVO.

Sie werden aber natürlich wie gewohnt durch dieses Thema „durchgeleitet“ und müssen sich über die Hintergründe wenig Gedanken machen.

Wie wirkt sich das auf Ihre bisherige Dokumentation aus?

Keine Sorge, Ihre bereits gegebenen Antworten haben wir automatisiert umstrukturiert! Es ist nichts verloren gegangen.

Wenn Sie jedoch bisher in der Frage nur Rechtsgrundlagen nach Art. 9 oder 10 angeklickt hatten, fällt jetzt auf, dass noch die Rechtsgrundlage nach Art. 6 für diese Verarbeitung fehlt.

Daher unsere Bitte: Prüfen Sie oder lassen Sie von Ihrem DSB Ihre Verarbeitungen bzgl. der Rechtsgrundlage prüfen.

Tipp: In foxondo finden Sie die Fragen nach den Rechtsgrundlagen am schnellsten mit der Filterung nach dem Tag „Rechtsgrundlage“.