Datenschutz entlang des KI-Lebenszyklus – Die DSK gibt Orientierung für KI-Systeme

PrintMailRate-it
​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​veröffentlicht am 7. August 2025 | Lesedauer ca. 3 Minuten
 

Mit der Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen legte die Datenschutzkonferenz (DSK) also der Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, im Juni 2025 konkrete Anforderungen an die datenschutzkonforme Entwicklung und den Betrieb von KI-Systemen fest. Im Mittelpunkt stehen dabei technische und organisatorische Maßnahmen (TOM), die über den gesamten Lebenszyklus eines KI-Systems hinweg – von der Planung über die Entwicklung bis hin zum produktiven Einsatz – zu ergreifen sind. Hierdurch soll, insbesondere Entwicklern und Herstellern von KI-Systemen eine Hilfestellung zur Umsetzung der Datenschutz-Grundverordnung (DS-GVO) im Spannungsfeld technischer Innovation gegeben werden.​​

 


Ausgangssituation 

Eine datenschutzrechtliche Verantwortlichkeit liegt nicht erst beim Einsatz eines „betriebsbereiten“ KI-Systems, sondern bereits in den vorgelagerten Phasen vor:


Entwickler und Hersteller sind bereits in der Design- und Entwicklungsphase regelmäßig als Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO einzuordnen, z.B. wenn sie personenbezogene Daten zum Traning, zur Validierung oder zum Testing verwenden. Wer KI-Systeme einführt und betreibt, trägt ebenfalls datenschutzrechtliche Verantwortung, insbesondere für die Zulässigkeit der Verarbeitung und die Umsetzung von Betroffenenrechten.

 

Zugleich verweist die DSK auf die Risikoanfälligkeit von KI-Systemen: automatisierte Entscheidungen, große Datenmengen und schwer durchschaubare Modelllogiken erfordern erhöhte Vorkehrungen zum Schutz der Rechte und Freiheiten natürlicher Personen. 

 

DS-GVO-konforme Gestaltung eines KI-Systems entlang seines Lebenszyklus 

Der Lebenszyklus eines KI-Systems umfasst typischerweise mehrere aufeinanderfolgende Phasen, die sich in Design, Entwicklung, Einführung und Betrieb & Monitoring unterteilen lassen. Für jede dieser Phasen ergeben sich spezifische Anforderungen, die sich einerseits aus den datenschutzrechtlichen Grundsätzen gemäß Art. 5 DS-GVO und andererseits aus dem angemessenen Schutzniveau nach Art. 32 DS-GVO ableiten.

Grundlage hierfür ist das sogenannte Standard-Datenschutzmodell (SDM), dass die folgenden Gewährleistungsziele formuliert: Datenminimierung, Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz, Intervenierbarkeit und Nichtverkettung. Diese Ziele übersetzt die DSK in ihrer Orientierungshilfe in konkrete TOM, welche angepasst in die jeweilige Lebenszyklusphase des KI-Systems zu integrieren sind. 

 

Praktische Umsetzung technischer und organisatorischer Maßnahmen 

Ein datenschutzkonformer KI-Einsatz erfordert demzufolge mehr als nur punktuelle Maßnahmen. Entscheidend ist eine frühzeitige und phasengerechte Umsetzung technischer und organisatorischer Anforderungen, von der ersten Idee bis zum laufenden Betrieb: 


Designphase: Datenschutzanforderungen frühzeitig berücksichtigen

Ein zentrales Thema in der Designphase ist die Datenauswahl. Hier müssen bereits Zweckbindung, Datenminimierung und Transparenz sichergestellt werden, etwa durch dokumentierte Datenblätter („Datasheets for Datasets“) sowie durch die Prüfung alternativer Datentypen wie synthetischer oder anonymisierter Daten. Die spätere Umsetzung von Betroffenenrechte muss ebenfalls frühzeitig mitgedacht werden.

 

Entwicklungsphase: Datenminimierung konsequent umsetzen

Der Fokus liegt hier auf der Aufbereitung, dem Training und der Validierung von KI-Modellen. Es bedarf Schutzmaßnahmen gegen Manipulation (z.B. Data Poisoning) sowie technischer Vorkehrungen, die eine spätere Löschung oder Korrektur von Daten im KI-Modell ermöglichen, bspw. durch modulare Modellarchitekturen oder Machine Unlearning. Die DSK macht deutlich: Die Nachvollziehbarkeit der Modellentscheidungen und das Management von Trainingsdaten sind auch datenschutzrechtlich relevante Fragestellungen.
 

Einführungsphase: Privacy by Default

Das KI-System sollte mit datenschutzfreundlichen Voreinstellungen („Privacy by Default“) bereitgestellt werden. Verantwortliche müssen sicherstellen, dass keine unnötigen Daten übermittelt oder gespeichert werden, und dass Betroffene in verständlicher Weise über die Funktionsweise und mögliche Auswirkungen automatisierter Entscheidungen informiert werden.
 

Betriebsphase und Monitoring: Kontinuierliche Kontolle 

Für den Betrieb von KI-Systemen betont die DSK unter anderem die Pflicht zur kontinuierlichen Qualitätskontrolle sowie zur Umsetzung von Betroffenenrechten, vor allem auch technische Vorkehrungen für Berichtigung und Löschung von personenbezogenen Daten in KI-Modellen und Ausgaben.

 

Bei KI-Systemen mit Entscheidungscharakter, etwa bei der Kreditvergabe, Bewerberauswahl oder Risikobewertung, muss außerdem sichergestellt werden, dass Betroffene nicht ausschließlich automatisierten Entscheidungen i.S.v. Art. 22 DS-GVO unterworfen werden. Dies kann beispielsweise durch technische Möglichkeiten zur menschlichen Kontrolle („Human in the Loop“), wie Warte-Status und Unsicherheitsindikatoren geschehen. 

 

Einordnung zur KI-Verordnung 

Obwohl sich die DSK primär an den Vorgaben der DS-GVO orientiert, gibt es zahlreiche Schnittpunkte bzw. Parallelen zu den Anforderungen der KI-Verordnung (KI-VO). So entsprechen beispielsweise die darin beschriebenen Anforderungen zur Transparenz, zur Risikobewertung oder auch zur Dokumentation, weitgehend den Vorgaben nach der KI-VO. Damit schlägt die DSK eine Brücke zwischen Datenschutzrecht und KI-Regulierung.

 

Fazit: Datenschutz als integraler Bestandteil von KI-Compliance 

Die DSK-Orientierungshilfe bietet nicht nur technische Hinweise, sondern schafft auch Rechtssicherheit und Struktur für Unternehmen, die KI-Systeme einsetzen oder entwickeln. Es lässt sich erkennen, dass viele der heute empfohlenen Maßnahmen morgen regulatorischer Standard sein werden, nicht nur unter DS-GVO, sondern auch im Rahmen der KI-VO. Wer die empfohlenen Maßnahmen somit frühzeitig in seine Entwicklung und Compliance-Prozesse integriert, reduziert nicht nur rechtliche Risiken, sondern stärkt auch Vertrauen, Nachvollziehbarkeit und Transparenz im Umgang mit KI. 

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu