EN Kontakt

Datenschutz und -Sicherheit

Datenschutz ist für uns kein nachträglicher Compliance-Schritt, sondern eine Grundhaltung, die jedes Projekt von Beginn an prägt. Unsere Erfahrung mit internationalen Regulierungen ermöglicht es uns, modernste Technologien sicher und rechtskonform einzusetzen.

Die Digitalisierung verarbeitet zunehmend sensible Daten: von personenbezogenen Informationen über Gesundheitsdaten bis hin zu Geschäftsgeheimnissen. Je komplexer die eingesetzten Technologien werden — Cloud-Infrastrukturen, KI-Modelle, verteilte Systeme — desto höher sind die Anforderungen an ihren Schutz.

Parlant GmbH betrachtet Datenschutz und Informationssicherheit nicht als nachgelagerte Pflichtübung, sondern als festen Bestandteil jeder technischen Entscheidung. Unser methodischer Ansatz stellt sicher, dass wir die jeweils neuesten Technologien für unsere Kunden nutzen können, ohne dabei Kompromisse bei der Sicherheit ihrer Daten einzugehen.

Welche Regulierungen sind relevant?

Die regulatorische Landschaft im Bereich Datenschutz ist vielschichtig und entwickelt sich stetig weiter. Je nach Branche, Standort und Art der verarbeiteten Daten können unterschiedliche Regelwerke greifen. Die folgenden Regulierungen begegnen uns in der Praxis am häufigsten:

DSGVO (Datenschutz-Grundverordnung) — Die europäische Datenschutz-Grundverordnung bildet das Fundament für den Umgang mit personenbezogenen Daten in der EU. Sie definiert Grundsätze wie Datenminimierung, Zweckbindung und Transparenz und räumt betroffenen Personen weitreichende Rechte ein — darunter das Recht auf Auskunft, Berichtigung und Löschung.

EU AI Act — Seit 2025 schrittweise in Kraft, reguliert der EU AI Act den Einsatz von KI-Systemen nach Risikokategorien. Hochrisiko-Anwendungen unterliegen besonderen Dokumentations-, Transparenz- und Überwachungspflichten. Für Unternehmen, die KI-Lösungen entwickeln oder integrieren, ergeben sich daraus konkrete Anforderungen an die Systemarchitektur.

HIPAA (Health Insurance Portability and Accountability Act) — Im US-amerikanischen Gesundheitswesen regelt HIPAA den Umgang mit geschützten Gesundheitsinformationen (PHI). Für Unternehmen, die im internationalen Kontext mit Gesundheitsdaten arbeiten, gelten strenge Anforderungen an Verschlüsselung, Zugriffskontrolle und Auditierbarkeit.

Branchenspezifische Anforderungen — Je nach Sektor können zusätzliche Regelungen relevant sein: PCI DSS im Zahlungsverkehr, ISO 27001 für Informationssicherheits-Managementsysteme oder sektorale Vorgaben im Finanzwesen. Wir evaluieren für jedes Projekt, welche Anforderungen gelten, und integrieren sie von Beginn an in die Architektur.

Das Problem der Datensouveränität

Eine der komplexesten Herausforderungen im heutigen Datenschutz betrifft die Frage der Datensouveränität — also die Frage, welchem Recht Daten tatsächlich unterliegen.

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) berechtigt US-Behörden seit 2018, von US-amerikanischen Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind. Für europäische Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter nutzen, bedeutet dies: Selbst wenn die Daten in einem Rechenzentrum innerhalb der EU liegen, können sie dem Zugriff US-amerikanischer Behörden unterliegen.

Dieses Problem wurde durch das Schrems-II-Urteil des Europäischen Gerichtshofs im Jahr 2020 verdeutlicht, das den EU-US Privacy Shield für ungültig erklärte. Die Begründung: US-Überwachungsgesetze gewähren keinen hinreichenden Schutz für EU-Bürger.

Für Unternehmen entsteht daraus ein konkreter Rechtskonflikt. Wer einem CLOUD-Act-Bescheid nachkommt, ohne ein entsprechendes internationales Abkommen, riskiert einen Verstoß gegen die DSGVO. Wer den Bescheid ignoriert, riskiert Konsequenzen nach US-Recht.

Entscheidend ist daher nicht nur, wo Daten gespeichert werden, sondern wem der Cloud-Anbieter untersteht. Die Jurisdiktion folgt dem Dienstanbieter, nicht dem Standort des Rechenzentrums.

Wie bewerten wir Cloud- und Inferenz-Anbieter?

Wir evaluieren jeden Cloud- und Inferenz-Anbieter nach einem methodischen Kriterienkatalog, bevor wir eine Empfehlung aussprechen:

  • Jurisdiktion — Welchem Recht unterliegt der Anbieter? Ist er durch den CLOUD Act oder vergleichbare Gesetze zur Datenherausgabe verpflichtet?
  • Datenverarbeitungsverträge (DPA) — Sind die Auftragsverarbeitungsverträge DSGVO-konform? Welche Unterauftragsverarbeiter sind involviert?
  • Datenresidenz — Wo werden Daten verarbeitet und gespeichert? Gibt es verbindliche Garantien für den Verarbeitungsstandort?
  • Unterauftragsverarbeiter-Ketten — Welche Dritten erhalten Zugriff auf die Daten? Wie tief reicht die Verarbeitungskette?
  • Technische Schutzmaßnahmen — Welche Verschlüsselungs-, Zugriffs- und Auditierungsmechanismen bietet der Anbieter?

Bei KI- und Inferenz-Anbietern kommen zusätzliche Fragen hinzu: Werden übermittelte Daten zum Training von Modellen verwendet? Wie lange werden Eingaben und Ausgaben gespeichert? Welche Garantien gibt es zur Datenisolierung zwischen verschiedenen Kunden?

Diese Bewertung führen wir nicht einmalig durch, sondern aktualisieren sie regelmäßig, da sich sowohl die Angebotslandschaft als auch die rechtlichen Rahmenbedingungen kontinuierlich verändern.

Unser Ansatz

Datenschutz und Sicherheit sind bei uns keine separate Projektphase, sondern integrale Bestandteile des gesamten Entwicklungsprozesses — von der ersten Architekturentscheidung bis zum laufenden Betrieb.

Privacy by Design — Datenschutzanforderungen fließen bereits in den Systementwurf ein, nicht erst in die Implementierung. Das bedeutet: Datenminimierung, Zweckbindung und Zugriffskontrolle werden auf Architekturebene verankert.

Datenschutz-Folgenabschätzungen (DSFA) — Für Verarbeitungstätigkeiten mit hohem Risiko führen wir systematische Folgenabschätzungen durch, die potenzielle Auswirkungen auf die Rechte betroffener Personen identifizieren und dokumentieren.

Dokumentation — Der Einsatz automatisierter Entscheidungssysteme und die Verarbeitung sensibler Daten erfordern umfassende Dokumentation. Wir stellen sicher, dass Verarbeitungsverzeichnisse, technische Dokumentation und Risikoanalysen jederzeit aktuell und prüfungsfähig sind.

Integration in agile Prozesse — Datenschutzprüfungen sind fester Bestandteil unserer pragmatischen Entwicklungsmethodik. In Kombination mit Test-Driven Development stellen wir sicher, dass Sicherheitsanforderungen nicht nur dokumentiert, sondern automatisiert verifiziert werden.

Verschlüsselung als technische Grundlage

Eine der wirksamsten technischen Maßnahmen zum Schutz von Daten ist die konsequente Verschlüsselung — sowohl bei der Speicherung als auch bei der Übertragung. Wir setzen auf mehrschichtige Verschlüsselungsarchitekturen mit industrieerprobten Verfahren.

Die Details unseres Verschlüsselungsansatzes — von der Envelope Encryption über Key Management bis zur Absicherung unterschiedlicher Datenkategorien — beschreiben wir ausführlich in unserem Artikel zur Verschlüsselung.

In welchen Projekten wenden wir das an?

Datenschutz und Informationssicherheit sind Querschnittsthemen, die in allen unseren Projekten eine zentrale Rolle spielen. Besonders relevant sind sie in folgenden Bereichen:

Datenplattformen und Business Intelligence — Bei Projekten wie dem BI Data Mesh für Peek & Cloppenburg, dem Data Mesh für XXXLutz, der Datenorchestrierung für Bergfreunde und dem Data Warehouse für idealo verarbeiten wir große Mengen geschäftskritischer Daten, die strenge Zugriffskontrollen und Verschlüsselung erfordern.

Softwareentwicklung — In der Entwicklung von Formfix für den öffentlichen Sektor und Plantronic für die Industrie gelten besonders hohe Anforderungen an den Schutz personenbezogener und betrieblicher Daten.

Cloud-Infrastruktur — Die Cloud-Plattform für Openhealthtechnologies und die Cloud-Migration für betterplace.org erforderten jeweils dedizierte Sicherheitsarchitekturen, die den spezifischen regulatorischen Anforderungen der jeweiligen Branche gerecht werden.

KI-Integration — Im Bereich KI-Entwicklung und Integration sind Datenschutzfragen besonders komplex, da Daten an externe Inferenz-Anbieter übermittelt werden können und der EU AI Act zusätzliche Anforderungen definiert.