Was ist der Zusammenhang zwischen KI und Datenschutz?

Künstliche Intelligenz (KI) verarbeitet oft große Datenmengen – darunter auch personenbezogene Daten. Deshalb gelten bei der Nutzung von KI sowohl die Datenschutz-Grundverordnung (DSGVO) als auch die EU-Verordnung über Künstliche Intelligenz (KI-VO). Die beiden Regelwerke ergänzen sich und müssen gleichzeitig beachtet werden.

Gilt die DSGVO auch bei KI-Anwendungen?

Ja. Sobald personenbezogene Daten verarbeitet werden, sind alle Vorgaben der DSGVO zu beachten – auch wenn KI zum Einsatz kommt. Die KI-VO ergänzt diese Vorgaben, ersetzt sie jedoch nicht.

Welche Rechtsgrundlage braucht die Verarbeitung personenbezogener Daten durch KI?

Nach Art. 6 DSGVO ist für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich. Beispiele sind: die Einwilligung der betroffenen Person oder ein überwiegendes berechtigtes Interesse des Unternehmens.

Wie lässt sich Datenschutz in KI-Systemen technisch umsetzen?

Wichtige Prinzipien sind: Zweckbindung, Datenminimierung und Transparenz. Die Daten dürfen nur für klar definierte Zwecke verwendet werden, müssen auf das Nötigste reduziert sein, und Betroffene müssen über die Datenverarbeitung informiert werden – beispielsweise durch Explainable AI.

Was ist Explainable AI und wie unterstützt es den Datenschutz?

Explainable AI (erklärbare KI) bezeichnet Systeme, deren Entscheidungsprozesse für Menschen nachvollziehbar sind. Sie helfen, Transparenz zu schaffen und datenschutzrechtliche Anforderungen – etwa zur Information der betroffenen Person – besser umzusetzen.

Warum ist der Speicherort der Daten bei KI wichtig?

Der Speicherort entscheidet darüber, ob grenzüberschreitende Datenverarbeitung vorliegt. Bei außereuropäischen Servern müssen zusätzliche Anforderungen erfüllt werden – z. B. vertragliche Regelungen wie ein Auftragsverarbeitungsvertrag.

Welche Rolle spielt der KI-Anbieter im Datenschutz?

Unternehmen müssen das Verhältnis zum KI-Anbieter vertraglich regeln, etwa durch einen Auftragsverarbeitungsvertrag (AVV). Zusätzlich ist die Art der KI (offenes vs. geschlossenes System) zu prüfen.

Wie können Unternehmen die Betroffenenrechte bei KI-Anwendungen wahren?

Das ist herausfordernd. Rechte auf Auskunft, Berichtigung oder Löschung sind schwer umsetzbar, wenn Daten zum Trainieren der KI verwendet wurden. Unternehmen sollten prüfen, wie sie diese Anforderungen technisch und organisatorisch erfüllen können.

Wie lässt sich der Einsatz von KI datenschutzkonform gestalten?

Empfohlen wird: eine Risikobewertung vor dem Einsatz, der Eintrag ins Verarbeitungsverzeichnis, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sowie die Vermeidung oder Anonymisierung personenbezogener Daten, sofern möglich.

Was ist der Unterschied zwischen offenen und geschlossenen KI-Systemen?

Offene Systeme lernen kontinuierlich weiter und ändern sich im Betrieb. Geschlossene Systeme haben einen fixen Trainingsstand und sind stabiler kontrollierbar. Beide Varianten bringen unterschiedliche Datenschutzimplikationen mit sich.

18.06.25 13:29Lesedauer: 3 Min | Legal News, KI-Verordnung

KI und Datenschutz im Unternehmen

Beim Einsatz von KI-Systemen verarbeiten Unternehmen häufig große Datenmengen – darunter auch personenbezogene Informationen. Damit greifen zwei zentrale Regelwerke der EU: die Datenschutz-Grundverordnung (DSGVO) und die Verordnung über Künstliche Intelligenz (KI-VO). Beide gelten parallel und ergänzen sich. Die KI-VO definiert Anforderungen an die Entwicklung und Nutzung von KI, während die DSGVO sicherstellt, dass personenbezogene Daten datenschutzkonform verarbeitet werden. Sobald KI-Systeme personenbezogene Daten nutzen, müssen Unternehmen die strengen Vorgaben der DSGVO einhalten.

Datenschutzkonform mit KI: Diese 4 Aspekte sind entscheidend

Rechtsgrundlage für KI-Datenverarbeitung prüfen
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO – z. B. eine Einwilligung der betroffenen Personen oder ein überwiegendes berechtigtes Interesse.
Zweckbindung und Datenminimierung umsetzen
Daten dürfen nur für klar definierte, legitime Zwecke verarbeitet werden – und auch nur in dem Umfang, der wirklich notwendig ist.
Transparenz durch Explainable AI schaffen
Betroffene müssen über die Art und den Umfang der Datenverarbeitung informiert werden, auch wenn die Funktionsweise der KI-Algorithmen oftmals eine Black Box und somit schwer nachzuvollziehen ist. Dabei kann der Ansatz der Explainable AI (erklärbare künstliche Intelligenz) helfen. Explainable AI ist ein Konzept, das darauf abzielt, KI-Systeme transparent, nachvollziehbar und verständlich für Menschen zu machen und bietet somit einsichtige Informationen darüber, wie und warum es zu einem bestimmten Ergebnis kam.
Speicherort und Anbieterbeziehungen absichern
Zu beachten ist insbesondere der Speicherort der Daten und ob eine grenzüberschreitende Datenverarbeitung vorliegt. Auch das Verhältnis zum KI-Anbieter sollte vorab geklärt werden, um entsprechende vertragliche Absicherungen (wie bspw. einen Auftragsverarbeitungsvertrag) abzuschließen. Ebenso relevant ist die Art der KI-Anwendung, d.h. ob die verwendete KI ein offenes System, das kontinuierlich weiterlernt oder ein geschlossenes System mit festem Trainingsstand darstellt.

Betroffenenrechte bei KI-Systemen wahren: Ein Praxisproblem
Rechte der Betroffenen Personen auf Auskunft, Berichtigung oder Löschung sind im Hinblick auf KI schwer umsetzbar – denn: Wie löscht oder berechtigt man Daten, deren Verarbeitung und Verbleib gar nicht vollumfänglich nachvollzogen werden kann? Wie erfüllt man ein Auskunftsersuchen über Daten, die ein KI-System bereits zum „Lernen“ genutzt und womöglich an anderer Stelle weiterverwendet hat? Auch die gesetzlich geforderte Speicherbegrenzung bis zur Zweckerreichung wird durch kontinuierlich lernende Systeme zur Herausforderung – wann ist der Zweck erreicht?

Handlungsempfehlungen für den DSGVO-konformen Einsatz von KI

Risikobewertung vor Einsatz: KI-Systeme sollten einer individuellen Bewertung unterzogen, ins Verarbeitungsverzeichnis aufgenommen und ggf. einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterzogen werden.
Verwendung Personenbezogener Daten gänzlich vermeiden oder wenn möglich vorab anonymisieren.
Im Rahmen der Schulung der Mitarbeitenden nach Art. 4 KI-VO sollten auch datenschutzrechtliche Aspekte miteinbezogen werden, um Fehlkonfigurationen oder unbewusste Datenschutzverletzungen zu vermeiden.

Fazit: Datenschutz und KI gezielt aufeinander abstimmen
Unternehmen, die KI-Systeme einsetzen, sollten frühzeitig klären, ob personenbezogene Daten verarbeitet werden – und welche datenschutzrechtlichen Pflichten damit einhergehen. DSGVO und KI-VO gelten parallel und verlangen klare Strukturen: von der Rechtsgrundlage über Transparenzpflichten bis hin zur Risikobewertung. Nur wer Technik und Compliance zusammen denkt, schafft die Grundlage für einen rechtssicheren KI-Einsatz.

Holen Sie sich die aktuellsten Compliance-News direkt in Ihr Postfach!

Jetzt zum be compliant Newsletter anmelden.

Ihre persönlichen Ansprechpartner

Sie haben Fragen zu unseren Leistungen im Rahmen von ESG-Compliance oder unserer Compliance Management Software Eticor? Dann freuen wir uns auf Ihre Nachricht oder Ihren Anruf.