Datenschutz und KI

Künstliche Intelligenz (KI) ist längst nicht mehr Zukunftsvision, sondern Teil des Alltags: in Suchmaschinen, E-Mail-Programmen, Unternehmenssoftware oder im Kundenservice. Doch mit der Leistungsfähigkeit moderner KI-Systeme steigen auch die datenschutzrechtlichen Risiken.

KI-Systeme „lernen“ aus Daten. Je mehr Daten, desto besser die Ergebnisse, aber auch desto größer die Risiken. Viele KI-Anwendungen verarbeiten personenbezogene Daten, teilweise auch sensible Informationen wie Gesundheitsdaten oder biometrische Merkmale.


Typische Konfliktfelder

  • Zweckbindung: Trainingsdaten werden oft für andere Zwecke genutzt als ursprünglich erhoben.
  • Datenminimierung: KI-Systeme arbeiten meist mit möglichst großen Datensätzen. Das widerspricht dem Grundsatz der Datenminimierung.
  • Transparenz: KI-Modelle sind oft „Black Boxes“. Nutzer und Betroffene können nicht nachvollziehen, wie Entscheidungen zustande kommen.
  • Recht auf Auskunft und Löschung: Bei lernenden Systemen ist kaum erkennbar, welche Daten wie verarbeitet wurden.

Der Spagat zwischen technischer Innovation und rechtlicher Kontrolle ist daher die zentrale Herausforderung des modernen Datenschutzrechts.


Rechtmäßigkeit der Datenverarbeitung durch KI

Sobald personenbezogene Daten mithilfe von KI-Anwendungen verarbeitet werden, greifen die Vorgaben der DSGVO uneingeschränkt. Das bedeutet: Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage gemäß Art. 6 DSGVO. Regelmäßig sind folgende Rechtsgrundlagen tauglich:

  • Einwilligung, Art. 6 Abs. 1 lit. a DSGVO: z. B. für personalisierte Empfehlungen.
  • Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO: wenn KI erforderlich ist, um Leistungen zu erbringen.
  • Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO: z. B. zur Betrugserkennung, aber nur nach Interessenabwägung.

Die Rechtsgrundlage muss für jede einzelne Verarbeitungstätigkeit separat geprüft. Insbesondere ist auf die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) der erhobenen Daten zu achten.

Hinweis: Für besonders sensible Daten, z. B. Gesundheitsdaten, biometrische Daten, gelten die strengeren Voraussetzungen des Art. 9 DSGVO.


Automatisierte Entscheidung i. S. d. Art. 22 DSGVO

Ein zentrales Datenschutzthema ist automatisierte Entscheidungsfindung, etwa wenn ein Algorithmus über eine Kreditvergabe oder Bewerbung entscheidet. Betroffene dürfen grundsätzlich keiner ausschließlich automatisierten Entscheidung, d. h. ohne menschliche Nachprüfung, unterworfen werden, die rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt, vgl. Art. 22 Abs. 1 DSGVO.

Nur in drei gesetzlich geregelten Fällen sind Ausnahmen möglich, vgl. Art. 22 Abs. 2 DSGVO, und zwar dann, wenn die Entscheidung:

  1. für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
  2. aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
  3. mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

In jedem Fall müssen Transparenz, menschliche Kontrolle und Widerspruchsmöglichkeiten gewährleistet sein.


Transparenz und Erklärbarkeit von KI-Systemen („Black-Box“-Problem)

Ein Grundprinzip der DSGVO ist Transparenz, vgl. Art. 5 Abs. 1 lit. a und Art. 12 DSGVO. KI-Entscheidungen müssen daher nachvollziehbar und erklärbar sein, auch wenn das technisch komplex ist. Unternehmen müssen sicherstellen, dass:

  1. die Funktionsweise der KI dokumentiert ist
  2. Nutzer und Betroffene über die Verwendung von KI informiert werden
  3. eine Kontaktstelle für Anfragen und Beschwerden benannt wird
  4. Erklärungen in verständlicher Sprache erfolgen

Besonders wichtig ist die „Accountability“ (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Das Unternehmen muss jederzeit belegen können, dass der Einsatz der KI DSGVO-konform ist. Hinsichtlich des „Black-Box“-Problems wird auf den Artikel Künstliche Intelligenz (KI) sowie die darin enthaltenen, weiterführenden Links verwiesen.


Datenschutz-Folgenabschätzung (DSFA)

Bei Hochrisiko-KI-Systemen ist regelmäßig eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich. Das gilt insbesondere, wenn:

  • neue Technologien zum Einsatz kommen
  • umfangreiche personenbezogene Daten verarbeitet werden
  • oder ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht

Hintergrund: Die Datenschutzkonferenz (DSK) veröffentlichte im Jahr 2018 ein Kurzpapier. Darin werden die gesetzlichen Vorgaben des Art. 35 Abs. 1 bis 3 DSGVO ergänzt. Danach ist die Erforderlichkeit einer DSFA vorgesehen, wenn die geplante Datenverarbeitung bestimmte Kriterien (wie die drei oben genannten) erfüllt. Auch die sog. Positiv-/Muss-Listen i. S. d. Art. 35 Abs. 4 Satz 1 DSGVO der Datenschutzaufsichtsbehörden der Ländern orientieren sich an diese „Musterliste“ der DSK.


Handlungsempfehlung

a) Kurzfristig

  • Bestandsaufnahme: Welche KI-Systeme verarbeiten personenbezogene Daten?
  • Prüfung der Rechtsgrundlage gemäß Art. 6 DSGVO
  • Anpassung der Datenschutzerklärungen und Informationspflichten

b) Mittelfristig

  • Durchführung von DSFA für KI-Systeme mit hohem Risiko
  • Schulung von Mitarbeitern im Umgang mit KI und Datenschutz
  • Einführung eines internen KI-Governance-Frameworks

c) Langfristig

  • Kombination von KI-Compliance und Datenschutz-Management-Systemen
  • Etablierung eines KI-Verantwortlichen analog zum Datenschutzbeauftragten
  • Regelmäßige Audits und Updates bei Softwareänderungen

Künstliche Intelligenz und Datenschutz sind keine zwei getrennte Bereiche; sie müssen zusammengedacht und geregelt werden. Nur wer die Balance zwischen technischer Innovation und rechtlicher Kontrolle wahrt, kann KI ethisch, sicher und rechtskonform einsetzen. Die Zukunft gehört jenen Unternehmen, die Verantwortung und Transparenz zu ihren Grundsätzen machen.


Unsere Leistungen im Bereich Datenschutz und Künstliche Intelligenz

  1. Rechtliche Beratung
    • DSGVO-konforme Implementierung von KI-Systemen
    • Erstellung und Prüfung von Datenschutzerklärungen
    • Rechtliche Bewertung automatisierter Entscheidungen
  2. Technische und organisatorische Unterstützung
    • Durchführung von Datenschutz-Folgenabschätzungen (DSFA)
    • Entwicklung von KI-Governance-Richtlinien
    • Implementierung interner Kontrollmechanismen
  3. Vertretung und Compliance
    • Begleitung bei Prüfungen durch Datenschutzaufsichtsbehörden
    • Verteidigung in Bußgeldverfahren
    • Erstellung von KI-Nutzungs- und Datenschutzrichtlinien

+49 911 7903034

kontakt@it-rechtsberater.de


LinkedIn
Instagram

© 2025 IT-Rechtsberater – Kanzlei für IT-Recht und Datenschutz – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung