Home
Eine datenschutzrechtliche Verantwortlichkeit liegt nicht erst beim Einsatz eines „betriebsbereiten“ KI-Systems, sondern bereits in den vorgelagerten Phasen vor:
Entwickler und Hersteller sind bereits in der Design- und Entwicklungsphase regelmäßig als Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO einzuordnen, z.B. wenn sie personenbezogene Daten zum Traning, zur Validierung oder zum Testing verwenden. Wer KI-Systeme einführt und betreibt, trägt ebenfalls datenschutzrechtliche Verantwortung, insbesondere für die Zulässigkeit der Verarbeitung und die Umsetzung von Betroffenenrechten.
Zugleich verweist die DSK auf die Risikoanfälligkeit von KI-Systemen: automatisierte Entscheidungen, große Datenmengen und schwer durchschaubare Modelllogiken erfordern erhöhte Vorkehrungen zum Schutz der Rechte und Freiheiten natürlicher Personen.
Der Lebenszyklus eines KI-Systems umfasst typischerweise mehrere aufeinanderfolgende Phasen, die sich in Design, Entwicklung, Einführung und Betrieb & Monitoring unterteilen lassen. Für jede dieser Phasen ergeben sich spezifische Anforderungen, die sich einerseits aus den datenschutzrechtlichen Grundsätzen gemäß Art. 5 DS-GVO und andererseits aus dem angemessenen Schutzniveau nach Art. 32 DS-GVO ableiten.
Grundlage hierfür ist das sogenannte Standard-Datenschutzmodell (SDM), dass die folgenden Gewährleistungsziele formuliert: Datenminimierung, Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz, Intervenierbarkeit und Nichtverkettung. Diese Ziele übersetzt die DSK in ihrer Orientierungshilfe in konkrete TOM, welche angepasst in die jeweilige Lebenszyklusphase des KI-Systems zu integrieren sind.
Ein datenschutzkonformer KI-Einsatz erfordert demzufolge mehr als nur punktuelle Maßnahmen. Entscheidend ist eine frühzeitige und phasengerechte Umsetzung technischer und organisatorischer Anforderungen, von der ersten Idee bis zum laufenden Betrieb:
Ein zentrales Thema in der Designphase ist die Datenauswahl. Hier müssen bereits Zweckbindung, Datenminimierung und Transparenz sichergestellt werden, etwa durch dokumentierte Datenblätter („Datasheets for Datasets“) sowie durch die Prüfung alternativer Datentypen wie synthetischer oder anonymisierter Daten. Die spätere Umsetzung von Betroffenenrechte muss ebenfalls frühzeitig mitgedacht werden.
Der Fokus liegt hier auf der Aufbereitung, dem Training und der Validierung von KI-Modellen. Es bedarf Schutzmaßnahmen gegen Manipulation (z.B. Data Poisoning) sowie technischer Vorkehrungen, die eine spätere Löschung oder Korrektur von Daten im KI-Modell ermöglichen, bspw. durch modulare Modellarchitekturen oder Machine Unlearning. Die DSK macht deutlich: Die Nachvollziehbarkeit der Modellentscheidungen und das Management von Trainingsdaten sind auch datenschutzrechtlich relevante Fragestellungen.
Das KI-System sollte mit datenschutzfreundlichen Voreinstellungen („Privacy by Default“) bereitgestellt werden. Verantwortliche müssen sicherstellen, dass keine unnötigen Daten übermittelt oder gespeichert werden, und dass Betroffene in verständlicher Weise über die Funktionsweise und mögliche Auswirkungen automatisierter Entscheidungen informiert werden.
Für den Betrieb von KI-Systemen betont die DSK unter anderem die Pflicht zur kontinuierlichen Qualitätskontrolle sowie zur Umsetzung von Betroffenenrechten, vor allem auch technische Vorkehrungen für Berichtigung und Löschung von personenbezogenen Daten in KI-Modellen und Ausgaben.
Bei KI-Systemen mit Entscheidungscharakter, etwa bei der Kreditvergabe, Bewerberauswahl oder Risikobewertung, muss außerdem sichergestellt werden, dass Betroffene nicht ausschließlich automatisierten Entscheidungen i.S.v. Art. 22 DS-GVO unterworfen werden. Dies kann beispielsweise durch technische Möglichkeiten zur menschlichen Kontrolle („Human in the Loop“), wie Warte-Status und Unsicherheitsindikatoren geschehen.
Obwohl sich die DSK primär an den Vorgaben der DS-GVO orientiert, gibt es zahlreiche Schnittpunkte bzw. Parallelen zu den Anforderungen der KI-Verordnung (KI-VO). So entsprechen beispielsweise die darin beschriebenen Anforderungen zur Transparenz, zur Risikobewertung oder auch zur Dokumentation, weitgehend den Vorgaben nach der KI-VO. Damit schlägt die DSK eine Brücke zwischen Datenschutzrecht und KI-Regulierung.
Die DSK-Orientierungshilfe bietet nicht nur technische Hinweise, sondern schafft auch Rechtssicherheit und Struktur für Unternehmen, die KI-Systeme einsetzen oder entwickeln. Es lässt sich erkennen, dass viele der heute empfohlenen Maßnahmen morgen regulatorischer Standard sein werden, nicht nur unter DS-GVO, sondern auch im Rahmen der KI-VO. Wer die empfohlenen Maßnahmen somit frühzeitig in seine Entwicklung und Compliance-Prozesse integriert, reduziert nicht nur rechtliche Risiken, sondern stärkt auch Vertrauen, Nachvollziehbarkeit und Transparenz im Umgang mit KI.
Sabine Schmitt
Rechtsanwältin
Manager
Anfrage senden
Profil
Prishila Hanelli
Wirtschaftsjuristin, LL.M.
