GDPR and AI - Was muss ich beachten?

Künstliche Intelligenz ist dabei, die Spielregeln in vielen Branchen neu zu schreiben. Systeme, die Daten analysieren, Muster erkennen und daraus eigenständig Schlüsse ziehen, helfen Unternehmen, Prozesse zu automatisieren, Entscheidungen zu beschleunigen und neue Geschäftsmodelle zu entwickeln. Doch mit wachsender Rechenleistung und immer präziseren Algorithmen wächst auch die Verantwortung – denn KI-Systeme arbeiten in aller Regel nicht mit fiktiven Daten, sondern mit Informationen über reale Menschen: Kundinnen, Patienten, Mitarbeitende, Bürger. Und damit greift die Datenschutz-Grundverordnung – besser bekannt unter dem Kürzel GDPR. Doch was genau regelt sie? Und wie kann künstliche Intelligenz im Einklang mit ihr entwickelt und betrieben werden?

Die General Data Protection Regulation (GDPR), auf Deutsch Datenschutz-Grundverordnung (DSGVO), ist seit Mai 2018 in allen EU-Mitgliedstaaten Recht und hat den Anspruch, den Schutz personenbezogener Daten europaweit einheitlich zu regeln. Sie betrifft alle Organisationen weltweit, die Daten von EU-Bürgern verarbeiten – und damit auch KI-Anwendungen, die mit solchen Daten trainiert oder ausgewertet werden. Personenbezogene Daten sind dabei nicht nur offensichtliche Angaben wie Name, E-Mail-Adresse oder Telefonnummer. Auch Verhaltensdaten, Standortdaten, Online-IDs, biometrische Merkmale oder sogar Bewertungen und Klassifizierungen von Menschen fallen unter den Schutzbereich. Damit ist klar: KI-Anwendungen, die beispielsweise Kundenfeedback analysieren, Bewerbungen sortieren oder Nutzerprofile erstellen, müssen sich an die DSGVO halten. Der Grundgedanke der Verordnung ist einfach: Daten gehören den Menschen, nicht den Maschinen. Die DSGVO gibt Betroffenen umfangreiche Rechte zur Kontrolle und Kontrolle ihrer Daten. KI kann diese Rechte besonders leicht verletzen – bewusst oder unbewusst. Wer KI-Systeme DSGVO-konform gestalten will, muss deshalb nicht nur die Technik beherrschen, sondern auch die rechtlichen und ethischen Rahmenbedingungen verstehen.

Künstliche Intelligenz lebt von Daten: Je grösser die Datenbasis, desto besser die Ergebnisse. Doch genau das steht im Spannungsfeld zur DSGVO. Diese verlangt Datenminimierung, Zweckbindung und Speicherbegrenzung. Hinzu kommt: Viele KI-Systeme arbeiten intransparent. Studien zeigen zudem, dass das „Recht auf Erklärung“ laut Artikel 22 DSGVO zwar ethisch gewünscht, aber rechtlich nur eingeschränkt durchsetzbar ist. Sie basieren auf neuronalen Netzwerken oder komplexen statistischen Verfahren, die schwer zu erklären sind. Die Folge: Entscheidungen, die Menschen betreffen, sind nicht mehr nachvollziehbar. Doch genau das verlangt die DSGVO. Sie fordert Transparenz und Erklärbarkeit, besonders dann, wenn Entscheidungen vollautomatisiert erfolgen und rechtliche Wirkung entfalten.

Ein Beispiel: Ein Algorithmus analysiert Bewerbungen und vergibt Bewertungspunkte. Er wurde mit historischen Daten trainiert – doch diese enthalten unbewusste Vorurteile. Frauen erhalten schlechtere Scores. Das Problem: Die Diskriminierung ist schwer erkennbar und noch schwerer zu beheben. Die DSGVO verbietet solche Auswirkungen nicht explizit – aber sie verpflichtet Unternehmen, Risiken zu erkennen und zu reduzieren.

Im Kern verlangt die DSGVO, dass jede Verarbeitung personenbezogener Daten auf einer klaren Rechtsgrundlage beruht. Bei KI-Systemen ist das meist die Einwilligung der betroffenen Person, ein Vertrag oder ein berechtigtes Interesse. Besonders bei Trainingsdaten ist die Frage: Wurden sie rechtmässig erhoben? Dürfen sie für andere Zwecke weiterverwendet werden? Und wurde die betroffene Person ausreichend informiert? Ein weiteres zentrales Element ist Artikel 22 DSGVO: Betroffene dürfen keiner ausschliesslich automatisierten Entscheidung unterworfen werden, die rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt – es sei denn, sie haben ausdrücklich zugestimmt oder es ist zur Vertragserfüllung erforderlich. In der Praxis bedeutet das: Ein Kredit-Scoring-System muss entweder durch einen Menschen überprüfbar sein oder besonders gut dokumentiert und abgesichert werden. Unternehmen müssen zudem sicherstellen, dass ihre KI-Systeme so gestaltet sind, dass Betroffenenrechte jederzeit gewahrt bleiben. Das reicht von Löschfunktionen über Widerspruchsmöglichkeiten bis hin zu der Fähigkeit, Entscheidungen erklären zu können. Eine datenschutzkonforme Architektur wird so zur Voraussetzung für Vertrauen und Zukunftsfähigkeit.

Die DSGVO verleiht Menschen eine Reihe von Rechten, die für KI-Systeme weitreichende Folgen haben. Dazu gehören:

Für KI bedeutet das: Systeme müssen so konzipiert sein, dass personenbezogene Daten auffindbar, änderbar und löschbar sind – auch dann, wenn sie in Trainingsdaten oder Modellen verarbeitet wurden. Techniken wie "Machine Unlearning" versuchen, diese Anforderung technisch umzusetzen, sind aber noch nicht ausgereift. Forschungsinitiativen wie das AI Fairness 360 Toolkit oder Explainable AI von Google arbeiten daran, solche Anforderungen technisch abbildbar zu machen.

Besonders herausfordernd ist das Recht auf menschliche Intervention. Nutzer haben Anspruch darauf, dass sie nicht allein einer Maschine ausgeliefert sind, wenn wichtige Entscheidungen getroffen werden. Unternehmen müssen deshalb – wo notwendig – menschliche Kontrollinstanzen einbauen, Entscheidungsprozesse erklärbar machen und bei Bedarf korrigieren können. Die DSGVO verleiht Nutzerinnen und Nutzern klare Rechte – und diese müssen auch gegenüber einer KI durchsetzbar sein. Die folgende Grafik zeigt, welche Rechte Menschen haben und welche konkreten technischen Anforderungen sich daraus für KI-Systeme ergeben:

Ein grosser Teil der datenschutzrechtlichen Risiken liegt in der Datenquelle. Viele KI-Systeme werden mit Daten trainiert, die aus dem Internet gesammelt, von Drittanbietern gekauft oder aus alten Beständen übernommen wurden. Doch nicht alle dieser Daten sind DSGVO-konform nutzbar. Auch Daten, die öffentlich zugänglich sind, dürfen nicht ohne Weiteres verwendet werden. Sobald ein Personenbezug besteht, gelten die vollen Anforderungen der DSGVO. Das heisst: Es braucht eine Rechtsgrundlage, eine klare Zweckbindung und meist eine Information der Betroffenen. Ohne das drohen empfindliche Sanktionen. Unternehmen sollten daher ein internes Dateninventar führen, in dem Herkunft, Rechtsgrundlage, Zweck, Speicherfrist und Einwilligungsstatus dokumentiert sind. Nur wer seine Daten kennt, kann sie rechtssicher nutzen. Das gilt auch für vortrainierte Modelle: Deren Trainingsdaten sollten genauso dokumentiert und prüfbar sein wie eigene.

Kategorien personenbezogener Daten wie Gesundheitsinformationen, ethnische Herkunft oder politische Meinungen sind besonders schützenswert. Laut DSGVO ist ihre Verarbeitung grundsätzlich verboten – ausser es liegt eine ausdrückliche Einwilligung vor oder eine gesetzliche Ausnahme.

Viele KI-Systeme, etwa in der Medizin, im HR-Bereich oder in der öffentlichen Verwaltung, arbeiten jedoch genau mit solchen Daten. Hier gelten höhere Anforderungen: Die Systeme müssen nicht nur sicher sein, sondern auch besonders transparent, nachvollziehbar und fair. Unternehmen sollten zusätzlich zur DSGVO ethische Leitlinien entwickeln, Bias-Tests durchführen und unabhängige Bewertungen einholen.

Technik kann Datenschutz nicht ersetzen – aber sie kann helfen, ihn umzusetzen. Datenschutz ist keine Frage der Absicht allein – er muss genau deswegen auch technisch umsetzbar sein. Zum Glück wächst die Zahl an Tools, die Unternehmen bei der DSGVO-konformen Entwicklung und beim Betrieb von KI-Systemen unterstützen. Die folgende Übersicht zeigt sechs besonders praxisrelevante Werkzeuge – von Pseudonymisierung bis Explainable AI:

Der wichtigste Erfolgsfaktor bleibt jedoch: Datenschutz muss in die Denkweise der Entwicklungsteams integriert werden. Nur so entstehen Systeme, die nicht nur leistungsstark, sondern auch vertrauenswürdig sind.

Die Europäische Union arbeitet mit dem "AI Act" an einem eigenen Gesetz für Künstliche Intelligenz. Der aktuelle Entwurf des AI Acts sieht z. B. verpflichtende Risikobewertungen und Transparenzberichte für sogenannte Hochrisiko-KI-Systeme vor. Es ergänzt die DSGVO und bringt neue Anforderungen für Hochrisiko-Systeme wie biometrische Erkennung, Bewerber-Scoring oder automatisierte Kreditprüfungen.

Diese Systeme müssen zukünftig risikobasiert eingestuft, dokumentiert und überwacht werden. Der AI Act fordert Transparenz, menschliche Kontrollinstanzen, technische Robustheit und Cybersicherheit. Er verweist dabei explizit auf die Grundrechte – und damit auch auf die DSGVO. Wer heute DSGVO-konform arbeitet, ist auch für die kommenden Anforderungen gut gerüstet.

Hier finden Sie mehr Informationen und Wissenswertes über den EU AI Act.

Datenschutz ist kein Hindernis für KI – sondern ihre Qualitätskontrolle. Die DSGVO fordert, dass KI-Systeme im Dienst der Menschen stehen, nicht umgekehrt. Unternehmen, die das beherzigen, entwickeln nicht nur rechtssichere, sondern auch ethisch tragfähige Technologien. Jetzt ist der richtige Zeitpunkt, bestehende Systeme zu überprüfen, Datenflüsse zu dokumentieren und neue Projekte datenschutzfreundlich zu konzipieren. Wer Transparenz, Fairness und Schutz in den Mittelpunkt stellt, gewinnt langfristig: Vertrauen, Effizienz und Zukunftssicherheit.