DSGVO und KI: Datenschutz-Compliance für intelligente Systeme

Die Nutzung von Künstlicher Intelligenz in Unternehmen wirft fundamentale Datenschutzfragen auf. Während die DSGVO bereits seit 2018 gilt, stellt die Kombination mit KI-Systemen Datenschutzbeauftragte und Compliance-Verantwortliche vor neue Herausforderungen. 2026 verschärft die EU die Regulierung weiter – mit dem AI Act kommen zusätzliche Anforderungen hinzu.

Das Spannungsfeld zwischen KI und Datenschutz

Künstliche Intelligenz basiert auf Daten – oft auf sehr vielen Daten, darunter häufig personenbezogene Informationen. Ob Kundenanalysen, Personalentscheidungen oder Chatbots: Überall, wo KI mit Menschen interagiert oder über sie entscheidet, ist die DSGVO relevant. Die Grundsätze der Datenminimierung, Zweckbindung und Transparenz gelten uneingeschränkt.

Besonders problematisch ist die sogenannte "Black Box"-Problematik: Viele KI-Systeme, insbesondere neuronale Netze, treffen Entscheidungen auf eine Weise, die selbst für Experten schwer nachvollziehbar ist. Dies steht im Konflikt mit dem Transparenzgebot der DSGVO, das verlangt, dass Betroffene verstehen können, wie ihre Daten verarbeitet werden.

Automatisierte Entscheidungsfindung nach Art. 22 DSGVO

Ein zentraler Aspekt ist Artikel 22 der DSGVO, der automatisierte Entscheidungen im Einzelfall regelt. Demnach haben Betroffene das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.

Für Unternehmen bedeutet dies: Wenn KI-Systeme Entscheidungen über Personen treffen – etwa bei Kreditvergaben, Bewerbungsverfahren oder Versicherungsanträgen –, müssen besondere Schutzmaßnahmen implementiert werden. Dazu gehören das Recht auf menschliche Überprüfung, die Möglichkeit zur Anfechtung und aussagekräftige Informationen über die involvierte Logik.

Die Rolle der Datenschutz-Folgenabschätzung

Bei risikoreichen KI-Anwendungen ist eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO obligatorisch. Diese systematische Analyse bewertet die Risiken für die Rechte und Freiheiten der Betroffenen und dokumentiert die ergriffenen Schutzmaßnahmen.

Die französische Datenschutzbehörde CNIL hat detaillierte Empfehlungen für die Entwicklung DSGVO-konformer KI-Systeme veröffentlicht. Diese umfassen unter anderem die Implementierung angemessener Sicherheitsmaßnahmen, die Begrenzung der Datenspeicherung und die Gewährleistung der Datenqualität. Die Empfehlungen dienen als praktische Orientierung für Unternehmen, die KI datenschutzkonform einsetzen möchten.

Überschneidungen mit der KI-Verordnung

Ab 2026 müssen Unternehmen nicht nur die DSGVO, sondern auch die EU-KI-Verordnung beachten. Beide Regelwerke haben unterschiedliche Begrifflichkeiten – die DSGVO spricht von "Verantwortlichen", die KI-Verordnung von "Anbietern" und "Betreibern" –, verfolgen aber ähnliche Ziele. Die Herausforderung besteht darin, beide Regelwerke kohärent umzusetzen.

Der Europäische Datenschutzausschuss (EDPB) hat in einer aktuellen Erklärung die Rolle der Datenschutzbehörden im Rahmen der KI-Verordnung präzisiert. Demnach bleiben die Datenschutzbehörden auch für KI-bezogene Datenschutzfragen zuständig, während für andere Aspekte der KI-Verordnung neue Aufsichtsstrukturen entstehen.

Praktische Compliance-Maßnahmen

Für eine rechtssichere KI-Nutzung empfehlen sich folgende Maßnahmen:

Zunächst sollte eine umfassende Bestandsaufnahme aller KI-Systeme erfolgen, die personenbezogene Daten verarbeiten. Für jedes System ist zu prüfen, welche Rechtsgrundlage die Verarbeitung trägt und ob eine Datenschutz-Folgenabschätzung erforderlich ist.

Sodann sind technische und organisatorische Maßnahmen zu implementieren, die den Grundsätzen der DSGVO entsprechen. Dazu gehören Anonymisierung und Pseudonymisierung, wo möglich, sowie klare Zugriffskontrollen und Löschkonzepte.

Schließlich müssen die Informationspflichten erfüllt werden. Betroffene sind darüber zu informieren, dass KI-Systeme eingesetzt werden, welche Daten verarbeitet werden und welche Rechte ihnen zustehen.

Ausblick: Datenschutz als Wettbewerbsvorteil

Unternehmen, die Datenschutz nicht als lästige Pflicht, sondern als strategischen Vorteil begreifen, können sich positiv differenzieren. In einer Zeit, in der das Vertrauen in KI-Systeme noch fragil ist, kann eine nachweislich datenschutzkonforme Nutzung zum Alleinstellungsmerkmal werden.

Quellen:

[1] ad-hoc-news.de: "Datenschutz in der EU: KI und neue Regeln fordern Unternehmen heraus" (28.01.2026)

[2] EDPB: "Erklärung zur Rolle der Datenschutzbehörden im Rahmen der Verordnung über künstliche Intelligenz" (21.01.2026)

[3] CNIL: "AI system development: recommendations to comply with GDPR" (05.01.2026)

[4] Security Insider: "Warum Datenschutz zur Frage digitaler Souveränität wird" (28.01.2026)

Anzeige

Datenschutz und KI: TÜV-zertifizierte Expertise aus dem Münsterland

Die Rechtsanwaltskanzlei Mensing verfügt über TÜV NORD-zertifizierte Expertise im Datenschutzrecht und unterstützt Unternehmen bei der DSGVO-konformen Implementierung von KI-Systemen. Von der Datenschutz-Folgenabschätzung über die Erstellung von Verarbeitungsverzeichnissen bis zur Vertretung bei Behördenanfragen – das Team bietet umfassende Beratung.

Die Kombination aus Datenschutz- und KI-Recht macht die Kanzlei zu einem idealen Partner für Unternehmen, die beide Regelwerke gleichzeitig beachten müssen. Mit Standorten in Stadtlohn, Gescher, Heek und Osnabrück ist sie regional verankert und überregional tätig.

Kontakt: [email protected] | www.recht-mensing.de