Compliance Blog

KI und Datenschutz im Unternehmen: DSGVO trifft auf KI-VO

Geschrieben von Admin | 18.06.25 11:29

Compliance Update vom 02. Juli 2025

Bereits im Mai 2024 hat die Datenschutzkonferenz eine Orientierungshilfe zu Künstlicher Intelligenz und Datenschutz veröffentlicht, die einen Überblick über Kriterien zur datenschutzkonformen Nutzung von KI-Anwendungen bietet und von Betreibern als Leitfaden verwendet werden kann. Diese befasst sich u.a. mit den Rechtsgrundlagen für die Datenverarbeitung und der Gewährleistung von Betroffenenrechten.

Nun wurde von der Datenschutzkonferenz eine neue Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen veröffentlicht. Darin wird erklärt, worauf Anbieter von KI-Anwendungen achten sollten, um Projekte von Anfang an datenschutzkonform zu gestalten. Der Schwerpunkt liegt hierbei auf den technischen und organisatorischen Maßnahmen (TOM) und sieben zentralen Datenschutz-Zielen (u.a. Transparenz und Datenminimierung). Auch Betreiber von KI-Systemen können den neuen Leitfaden in Ergänzung zu der Orientierungshilfe zu Künstlicher Intelligenz und Datenschutz aus 2024 hinzuziehen, um die technischen Entwicklungsmöglichkeiten im Beschaffungsprozess zu berücksichtigen.

Compliance Update vom 18. Juni 2025

Beim Einsatz von KI-Systemen verarbeiten Unternehmen häufig große Datenmengen – darunter auch personenbezogene Informationen. Damit greifen zwei zentrale Regelwerke der EU: die Datenschutz-Grundverordnung (DSGVO) und die Verordnung über Künstliche Intelligenz (KI-VO). Beide gelten parallel und ergänzen sich. Die KI-VO definiert Anforderungen an die Entwicklung und Nutzung von KI, während die DSGVO sicherstellt, dass personenbezogene Daten datenschutzkonform verarbeitet werden. Sobald KI-Systeme personenbezogene Daten nutzen, müssen Unternehmen die strengen Vorgaben der DSGVO einhalten.

Datenschutzkonform mit KI: Diese 4 Aspekte sind entscheidend

  1. Rechtsgrundlage für KI-Datenverarbeitung prüfen
    Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO – z. B. eine Einwilligung der betroffenen Personen oder ein überwiegendes berechtigtes Interesse.
  2. Zweckbindung und Datenminimierung umsetzen
    Daten dürfen nur für klar definierte, legitime Zwecke verarbeitet werden – und auch nur in dem Umfang, der wirklich notwendig ist.
  3. Transparenz durch Explainable AI schaffen
    Betroffene müssen über die Art und den Umfang der Datenverarbeitung informiert werden, auch wenn die Funktionsweise der KI-Algorithmen oftmals eine Black Box und somit schwer nachzuvollziehen ist. Dabei kann der Ansatz der Explainable AI (erklärbare künstliche Intelligenz) helfen. Explainable AI ist ein Konzept, das darauf abzielt, KI-Systeme transparent, nachvollziehbar und verständlich für Menschen zu machen und bietet somit einsichtige Informationen darüber, wie und warum es zu einem bestimmten Ergebnis kam.
  4. Speicherort und Anbieterbeziehungen absichern
    Zu beachten ist insbesondere der Speicherort der Daten und ob eine grenzüberschreitende Datenverarbeitung vorliegt. Auch das Verhältnis zum KI-Anbieter sollte vorab geklärt werden, um entsprechende vertragliche Absicherungen (wie bspw. einen Auftragsverarbeitungsvertrag) abzuschließen. Ebenso relevant ist die Art der KI-Anwendung, d.h. ob die verwendete KI ein offenes System, das kontinuierlich weiterlernt oder ein geschlossenes System mit festem Trainingsstand darstellt.


Betroffenenrechte bei KI-Systemen wahren: Ein Praxisproblem
Rechte der Betroffenen Personen auf Auskunft, Berichtigung oder Löschung sind im Hinblick auf KI schwer umsetzbar – denn: Wie löscht oder berechtigt man Daten, deren Verarbeitung und Verbleib gar nicht vollumfänglich nachvollzogen werden kann? Wie erfüllt man ein Auskunftsersuchen über Daten, die ein KI-System bereits zum „Lernen“ genutzt und womöglich an anderer Stelle weiterverwendet hat? Auch die gesetzlich geforderte Speicherbegrenzung bis zur Zweckerreichung wird durch kontinuierlich lernende Systeme zur Herausforderung – wann ist der Zweck erreicht?

Handlungsempfehlungen für den DSGVO-konformen Einsatz von KI

  • Risikobewertung vor Einsatz: KI-Systeme sollten einer individuellen Bewertung unterzogen, ins Verarbeitungsverzeichnis aufgenommen und ggf. einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterzogen werden.
  • Verwendung Personenbezogener Daten gänzlich vermeiden oder wenn möglich vorab anonymisieren.
  • Im Rahmen der Schulung der Mitarbeitenden nach Art. 4 KI-VO sollten auch datenschutzrechtliche Aspekte miteinbezogen werden, um Fehlkonfigurationen oder unbewusste Datenschutzverletzungen zu vermeiden.

Fazit: Datenschutz und KI gezielt aufeinander abstimmen
Unternehmen, die KI-Systeme einsetzen, sollten frühzeitig klären, ob personenbezogene Daten verarbeitet werden – und welche datenschutzrechtlichen Pflichten damit einhergehen. DSGVO und KI-VO gelten parallel und verlangen klare Strukturen: von der Rechtsgrundlage über Transparenzpflichten bis hin zur Risikobewertung. Nur wer Technik und Compliance zusammen denkt, schafft die Grundlage für einen rechtssicheren KI-Einsatz.
Vollständigen Beitrag anzeigen