30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
ActiveEuropean UnionLawIn Kraft: 2018-05-25

Datenschutz-Grundverordnung, KI-Bestimmungen

Das wegweisende Datenschutzgesetz der EU enthält entscheidende Bestimmungen für KI-Systeme, die personenbezogene Daten verarbeiten, einschließlich Regeln zur automatisierten Entscheidungsfindung.

Überblick

Die Datenschutz-Grundverordnung (DSGVO), in Kraft seit dem 25 May 2018, ist das umfassende Datenschutzgesetz der EU. Obwohl es sich nicht speziell um eine KI-Verordnung handelt, enthält die DSGVO mehrere Bestimmungen, die tiefgreifende Auswirkungen auf KI-Systeme haben, die personenbezogene Daten verarbeiten, was sie zu einer der wirkungsmächtigsten Verordnungen für die KI-Konformität weltweit macht.

Artikel 22 der DSGVO gewährt natürlichen Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Diese Bestimmung regelt unmittelbar KI-gestützte Entscheidungssysteme, die in Bereichen wie Bonitätsbewertung, Versicherungstarifierung, Personalbeschaffung und der Erbringung öffentlicher Dienstleistungen eingesetzt werden. Organisationen müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer solchen Verarbeitung bereitstellen.

Die Anforderungen an die Rechtsgrundlage gemäß den Artikeln 6 und 9 sind für KI-Systeme besonders anspruchsvoll. Die Einwilligung muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen, Anforderungen, die schwer zu erfüllen sind, wenn die KI-Verarbeitung komplex und undurchsichtig ist. Bewertungen des berechtigten Interesses müssen die Bedürfnisse der Organisation gegen die Rechte der Einzelnen abwägen, was ein Verständnis dafür erfordert, wie sich KI-Systeme auf die betroffenen Personen auswirken.

Die Datenminimierung (Artikel 5 Absatz 1 Buchstabe c) steht in einem grundlegenden Spannungsverhältnis zur KI-Entwicklung, die häufig von großen Datensätzen profitiert. Organisationen müssen sicherstellen, dass sie nur Daten erheben, die dem Zweck angemessen und erheblich sowie auf das für den festgelegten Zweck notwendige Maß beschränkt sind. Dies wirkt sich auf die Strategien für KI-Trainingsdaten aus und erfordert eine sorgfältige Begründung des Umfangs der Datensätze.

Das Recht auf Erläuterung und die Transparenzanforderungen (Artikel 13 bis 15) verpflichten Organisationen, aussagekräftige Informationen über die automatisierte Entscheidungsfindung bereitzustellen. Bei komplexen KI-Modellen, insbesondere bei Deep-Learning-Systemen, stellt die Bereitstellung verständlicher Erläuterungen darüber, wie Entscheidungen zustande kommen, eine erhebliche technische und rechtliche Herausforderung dar.

Datenschutz-Folgenabschätzungen (DSFA) gemäß Artikel 35 sind verpflichtend für Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Einzelnen zur Folge haben. Die meisten KI-Systeme, die personenbezogene Daten in großem Umfang verarbeiten, lösen die Anforderungen an eine DSFA aus. Die DSFA muss die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, die Risiken für die Einzelnen und die Maßnahmen zur Bewältigung dieser Risiken bewerten.

Die Zweckbindung (Artikel 5 Absatz 1 Buchstabe b) beschränkt die Nutzung personenbezogener Daten auf die Zwecke, für die sie erhoben wurden. KI-Entwickler müssen sorgfältig prüfen, ob das Training von KI-Modellen einen vereinbaren Zweck darstellt, und die jüngsten Änderungen der DSGVO sowie regulatorische Leitlinien haben eine gewisse Flexibilität für die wissenschaftliche Forschung und für statistische Zwecke geschaffen.

Auch die Bestimmungen zu internationalen Übermittlungen (Kapitel V) betreffen KI-Systeme, insbesondere cloudbasierte KI-Dienste und Modelle, die mit Daten aus mehreren Rechtsordnungen trainiert wurden. Organisationen müssen für jede Übermittlung personenbezogener Daten außerhalb des EWR angemessene Garantien sicherstellen.

Datenschutzbehörden in ganz Europa setzen die DSGVO zunehmend aktiv gegenüber KI-Systemen durch. Bemerkenswerte Durchsetzungsmaßnahmen richteten sich gegen Unternehmen der Gesichtserkennung, KI-gestützte Werbesysteme und die automatisierte Bonitätsbewertung und schufen Präzedenzfälle, die prägen, wie Organisationen die Verarbeitung personenbezogener Daten durch KI steuern müssen.

Zentrale Anforderungen

1

Eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in KI-Systemen schaffen (Artikel 6)

2

Garantien für die automatisierte Entscheidungsfindung im Einzelfall umsetzen (Artikel 22)

3

Aussagekräftige Informationen über die KI-Logik, die Tragweite und die Auswirkungen bereitstellen (Artikel 13 bis 15)

4

Das Recht auf menschliches Eingreifen bei automatisierten Entscheidungen ermöglichen

5

Datenschutz-Folgenabschätzungen für KI-Verarbeitungen mit hohem Risiko durchführen (Artikel 35)

6

Grundsätze der Datenminimierung auf KI-Trainings- und Betriebsdaten anwenden

7

Die Zweckbindung für das Training und die Inferenz von KI-Modellen sicherstellen

8

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in KI-Systemen umsetzen (Artikel 25)

9

Ein Verzeichnis von Verarbeitungstätigkeiten führen, an denen KI beteiligt ist (Artikel 30)

10

Betroffenenrechte ermöglichen: Auskunft, Berichtigung, Löschung, Übertragbarkeit für durch KI verarbeitete Daten

11

Einen Datenschutzbeauftragten benennen, sofern dies für die KI-Verarbeitungstätigkeiten erforderlich ist

12

Rechtmäßige internationale Datenübermittlungen für KI-Dienste sicherstellen (Kapitel V)

13

Angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen (Artikel 32)

14

Verletzungen des Schutzes personenbezogener Daten, die KI-Systeme betreffen, innerhalb von 72 hours melden (Artikel 33)

Wichtige Termine & Zeitplan

25 May 2018
Die DSGVO wird anwendbar
2018–2023
Datenschutzbehörden veröffentlichen Leitlinien zu KI und automatisierter Entscheidungsfindung
2020
Aktualisierung der EDPB-Leitlinien zur automatisierten Entscheidungsfindung im Einzelfall und zum Profiling
2023
Die italienische Datenschutzbehörde verbietet ChatGPT vorübergehend aufgrund von DSGVO-Bedenken
2024
Die EDPB-Arbeitsgruppe zu ChatGPT veröffentlicht ihre Ergebnisse
2024–2025
Vom EDPB werden Leitlinien zum Zusammenspiel von DSGVO und EU AI Act erwartet
December 2024
Der EDPB veröffentlicht eine Stellungnahme zu KI-Modellen und Datenschutz und akzeptiert unter bestimmten Bedingungen das berechtigte Interesse als Rechtsgrundlage für das KI-Training
November 2025
Der EDPS veröffentlicht Leitlinien zum Risikomanagement von Systemen künstlicher Intelligenz
February 2026
Die gemeinsame Stellungnahme von EDPB und EDPS stimmt den im Digital Omnibus vorgesehenen DSGVO-Änderungen für KI teilweise zu, lehnt jedoch Änderungen an der Definition personenbezogener Daten ab; die koordinierte Durchsetzung des EDPB für 2026 zielt auf die Transparenzpflichten ab (Artikel 12 bis 14)

Wen es betrifft

  • Jede Organisation, die personenbezogene Daten von Personen in der EU/im EWR mithilfe von KI verarbeitet
  • KI-Entwickler, die Modelle mit personenbezogenen Daten von Personen in der EU trainieren
  • Organisationen, die KI für die automatisierte Entscheidungsfindung über Personen nutzen
  • Anbieter cloudbasierter KI-Dienste, die personenbezogene Daten aus der EU verarbeiten
  • Organisationen, die personenbezogene Daten zur KI-Verarbeitung international übermitteln
  • Auftragsverarbeiter, die KI as a Service unter Einbeziehung personenbezogener Daten anbieten

Häufige Fragen

Darf ich KI-Modelle gemäß der DSGVO mit personenbezogenen Daten trainieren?

Ja, aber Sie benötigen eine gültige Rechtsgrundlage (z. B. das berechtigte Interesse, die Einwilligung oder die Ausnahme für Forschungszwecke). Sie müssen außerdem die Datenminimierung anwenden, bei Bedarf DSFA durchführen und Transparenz über die Nutzung personenbezogener Daten für das Training gewährleisten.

Muss ich gemäß der DSGVO erläutern, wie mein KI-Modell funktioniert?

Bei automatisierten Entscheidungen gemäß Artikel 22 müssen Sie aussagekräftige Informationen über die involvierte Logik bereitstellen. Dies erfordert nicht zwangsläufig eine vollständige technische Erklärbarkeit, aber die betroffenen Personen sollten die wesentlichen Faktoren, die die Entscheidungen beeinflussen, sowie die allgemeine Logik des Systems verstehen.

Wie wirkt die DSGVO mit dem EU AI Act zusammen?

Der EU AI Act ergänzt die DSGVO, ohne sie zu ersetzen. KI-Systeme, die personenbezogene Daten verarbeiten, müssen beide einhalten. Der EU AI Act fügt Anforderungen an das Risikomanagement, die Konformitätsbewertung und die Transparenz hinzu, die über den Datenschutz hinausgehen. DSFA gemäß der DSGVO und Grundrechte-Folgenabschätzungen gemäß dem EU AI Act können sich überschneiden.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.