Datenschutzkonforme Nutzung von KI-Anwendungen – Eine Orientierungshilfe

10. Juni 2024

Aktuelles | Datenschutz und IT-Recht

In unserer zunehmend digitalisierten Welt gewinnen Künstliche Intelligenz (KI) und deren Anwendungen immer mehr an Bedeutung. Insbesondere Large Language Models (LLM) wie Chatbots und andere KI-basierte Anwendungen finden verstärkt Einsatz in Unternehmen, Behörden und Organisationen. Doch wie lässt sich der Einsatz dieser Technologien datenschutzkonform gestalten? Die kürzlich veröffentlichte Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bietet hierzu wertvolle Einblicke und praktische Hinweise. Nachfolgend finden Sie eine Zusammenfassung der wichtigsten Punkte, die Ihnen als Leitfaden dienen kann.

Konzeption und Auswahl von KI-Anwendungen

Bevor Sie eine KI-Anwendung implementieren, sollten Sie klar definieren, welche Einsatzfelder und Zwecke sie erfüllen soll. Diese Zweckfestlegung ist essentiell für den datenschutzkonformen Betrieb und hilft, die Notwendigkeit der Datenverarbeitung zu prüfen. Nur auf Basis klarer Ziele lässt sich die datenschutzrechtliche Konformität sicherstellen.

Nicht alle Einsatzfelder sind erlaubt. Die europäische KI-Verordnung verbietet beispielsweise Praktiken wie “Social Scoring” und die biometrische Echtzeitüberwachung öffentlicher Räume, es sei denn, unter sehr engen Ausnahmebedingungen. Unternehmen sollten diese rechtlichen Vorgaben genau prüfen, bevor sie KI-Anwendungen in diesen Bereichen einsetzen. Falls möglich, sollten Einsatzfelder gewählt werden, in denen keine personenbezogenen Daten verarbeitet werden. Hierbei ist jedoch zu beachten, dass Personenbezüge durch verschiedene Merkmale entstehen können. Eine gründliche Prüfung ist daher unabdingbar.

Es ist wichtig zu überprüfen, ob und wie die KI-Anwendungen datenschutzkonform trainiert wurden. Dies umfasst die Verwendung personenbezogener Daten und die dafür notwendige Rechtsgrundlage. Verantwortliche müssen sicherstellen, dass das Training keine datenschutzrechtlichen Probleme verursacht. Jeder Verarbeitungsschritt, bei dem personenbezogene Daten verwendet werden, benötigt eine klare datenschutzrechtliche Rechtsgrundlage. Diese kann je nach Einsatzfeld variieren. Ohne eine solche Grundlage ist die Verarbeitung unzulässig.


Entscheidungen mit Rechtswirkung dürfen gemäß Art. 22 Abs. 1 DSGVO grundsätzlich nur von Menschen getroffen werden. KI-Anwendungen dürfen lediglich unterstützend tätig sein. Dies gewährleistet, dass immer ein menschlicher Entscheidungsspielraum vorhanden ist.


Geschlossene Systeme sind aus datenschutzrechtlicher Sicht vorzugswürdig, da die Kontrolle über die Ein- und Ausgabedaten bei den Anwendern bleibt und ein unbefugter Zugriff erschwert wird. Offene Systeme hingegen bergen das Risiko der Datenweitergabe an Dritte und der unbefugten Datenverarbeitung.

Die Verantwortlichen müssen über die Datenverarbeitung transparent informieren und sicherstellen, dass die Nutzer ausreichend aufgeklärt werden. Dazu gehört auch die Erläuterung der bei einer automatisierten Entscheidungsfindung involvierten Logik. Nur so können die Transparenzanforderungen der DSGVO erfüllt werden.

Es sollte die Möglichkeit bestehen, die Nutzung der Eingabe- und Ausgabedaten für Trainingszwecke auszuschließen, es sei denn, es liegt eine entsprechende Rechtsgrundlage vor. Dies ist besonders wichtig, um die Rechte der Nutzer zu wahren. Nutzer sollten entscheiden können, ob ihre Eingabe-Historie gespeichert wird. Dies ist besonders wichtig bei der gemeinsamen Nutzung durch mehrere Beschäftigte. Transparenz und Wahlfreiheit sind hierbei entscheidend.

Die Rechte auf Berichtigung und Löschung personenbezogener Daten müssen gewährleistet sein. Dies erfordert entsprechende organisatorische und technische Maßnahmen. Ohne diese Maßnahmen können Betroffenenrechte nicht wirksam umgesetzt werden. Datenschutzbeauftragte sowie Betriebs- und Personalräte sollten bei der Einführung von KI-Anwendungen stets eingebunden werden. Ihre Einbindung hilft, datenschutzrechtliche Risiken frühzeitig zu identifizieren und zu minimieren.

Implementierung von KI-Anwendungen

Die Verantwortlichkeit für die Datenverarbeitung muss klar definiert und verbindlich geregelt werden. Dies schafft Transparenz und Klarheit darüber, wer für die Einhaltung der Datenschutzvorgaben verantwortlich ist.
Klare interne Anweisungen und Regelungen sind notwendig, um den kontrollierten Einsatz von KI-Anwendungen sicherzustellen und Datenschutzverstöße zu vermeiden. Ohne klare Regelungen besteht das Risiko einer unkontrollierten Nutzung.

Eine Datenschutz-Folgenabschätzung (DSFA) ist durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Dies ist beim Einsatz von KI-Anwendungen häufig der Fall.
Für die berufliche Nutzung von KI-Anwendungen sollten Arbeitgeber Geräte und Accounts zur Verfügung stellen, um die Nutzung privater Accounts zu vermeiden. Dies schützt die Privatsphäre der Beschäftigten und verhindert unerwünschte Datenprofile.

Die technischen und organisatorischen Maßnahmen sollten so gestaltet sein, dass die Datenschutzgrundsätze erfüllt werden, etwa durch “data protection by design” und “data protection by default”. Diese Prinzipien helfen, den Datenschutz bereits in der Entwicklung zu berücksichtigen.

KI-Anwendungen müssen neben den datenschutzrechtlichen Anforderungen auch die allgemeinen IT-Sicherheitsanforderungen erfüllen. Dies umfasst Kriterien wie Vertraulichkeit, Integrität und Verfügbarkeit.
Beschäftigte sollten durch Schulungen und Leitfäden im Umgang mit KI-Anwendungen sensibilisiert werden. Nur gut informierte Mitarbeiter können sicher und datenschutzkonform mit KI-Systemen arbeiten.

Verantwortliche müssen sowohl rechtliche als auch technische Entwicklungen kontinuierlich verfolgen und ihre internen Vorgaben entsprechend anpassen. Dies stellt sicher, dass der Einsatz von KI-Anwendungen immer auf dem neuesten Stand der Technik und Gesetzgebung erfolgt.

Nutzung von KI-Anwendungen

Die Eingabe und Ausgabe personenbezogener Daten in KI-Anwendungen muss transparent und datenschutzkonform erfolgen. Nutzer sollten stets informiert sein, wie ihre Daten verwendet werden.

Besondere Kategorien personenbezogener Daten unterliegen strengeren Datenschutzvorgaben und dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Dies umfasst unter anderem Gesundheitsdaten und Daten zur politischen Meinung.

Die Ergebnisse von KI-Anwendungen müssen auf ihre Richtigkeit überprüft werden, um unzulässige Verarbeitungen zu vermeiden. Falsche Ergebnisse können erhebliche rechtliche Konsequenzen nach sich ziehen.
Die Ergebnisse von KI-Anwendungen sollten auf Diskriminierung überprüft werden, um unzulässige Verarbeitungen zu verhindern. Diskriminierende Ergebnisse sind nicht nur ethisch problematisch, sondern können auch rechtliche Folgen haben.

Diese Orientierungshilfe bietet eine fundierte Grundlage, um den Einsatz von KI-Anwendungen datenschutzkonform zu gestalten. Es ist jedoch zu beachten, dass sie keinen abschließenden Anforderungskatalog darstellt und weitere Ressourcen hinzugezogen werden sollten, um alle datenschutzrechtlichen Anforderungen zu erfüllen.

Für eine ausführliche Beratung und Unterstützung bei der Implementierung und Nutzung von KI-Anwendungen stehen wir Ihnen als Ihre Kanzlei gerne zur Verfügung. Kontaktieren Sie uns, um sicherzustellen, dass Ihre KI-Lösungen den datenschutzrechtlichen Vorgaben entsprechen und optimal eingesetzt werden können.

FAQ: Häufig gestellte Fragen zu KI und Datenschutz

Bei der Implementierung von KI-Anwendungen sind die Transparenz der Datenverarbeitung, die Sicherstellung der Betroffenenrechte (wie Berichtigung und Löschung) und die Wahl einer geeigneten Rechtsgrundlage besonders wichtig. Ebenso sollten Datenschutz-Folgenabschätzungen (DSFA) durchgeführt werden, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Überprüfen Sie, ob für das Training personenbezogene Daten verwendet wurden und ob hierfür eine rechtliche Grundlage vorliegt. Fragen Sie den Anbieter der KI-Anwendung nach Details zum Training und stellen Sie sicher, dass die Datenverarbeitung transparent und rechtmäßig erfolgt ist.

“Data protection by design” bedeutet, dass Datenschutzmaßnahmen bereits bei der Entwicklung der KI-Systeme integriert werden. “Data protection by default” stellt sicher, dass die Voreinstellungen der KI-Anwendung standardmäßig datenschutzfreundlich sind, zum Beispiel durch minimalen Datenverbrauch und hohe Sicherheitsstandards.

Betroffene Personen haben das Recht auf transparente Information über die Verwendung ihrer Daten, sowie Rechte auf Berichtigung und Löschung ihrer personenbezogenen Daten. Diese Rechte müssen durch technische und organisatorische Maßnahmen gewährleistet werden.

Geschlossene Systeme bieten mehr Kontrolle über die Datenverarbeitung und minimieren das Risiko unbefugter Zugriffe oder Datenlecks. Offene Systeme können hingegen dazu führen, dass personenbezogene Daten an Dritte weitergegeben oder für andere Zwecke verwendet werden.

Es ist wichtig, die Ergebnisse und Verfahren der KI-Anwendung regelmäßig auf mögliche Diskriminierungen zu überprüfen. Die KI sollte so trainiert werden, dass sie keine Vorurteile verstärkt und gesetzliche Vorgaben, wie das Allgemeine Gleichbehandlungsgesetz (AGG), eingehalten werden.

Besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten oder Daten zur politischen Meinung, unterliegen strengeren Datenschutzvorgaben. Ihre Verarbeitung ist grundsätzlich verboten und nur unter spezifischen Voraussetzungen erlaubt, wie etwa mit ausdrücklicher Einwilligung oder zur Erfüllung rechtlicher Anforderungen.

Stellen Sie sicher, dass die Nutzer ausreichend über die Datenverarbeitung informiert werden, einschließlich der Logik und der möglichen Auswirkungen automatisierter Entscheidungen. Dokumentationen und klare Informationen seitens der Anbieter sind hierbei hilfreich.

Vermeiden Sie, soweit möglich, die Eingabe personenbezogener Daten. Wenn dies nicht möglich ist, informieren Sie die betroffenen Personen transparent über die Nutzung ihrer Daten und stellen Sie sicher, dass eine geeignete Rechtsgrundlage vorliegt.