Was braucht eine KI um DSGVO konform zu sein
Benedict Breitenbach
Sun May 25 2025
Inhaltsverzeichnis
Künstliche Intelligenz (KI) hat längst den Sprung aus der Theorie in den Unternehmensalltag geschafft. Ob bei der Automatisierung von Kundenanfragen, der Vorhersage von Markttrends oder der Optimierung interner Prozesse – KI-Systeme erleichtern bereits heute viele Entscheidungen und machen Arbeitsabläufe effizienter.
Doch mit der zunehmenden Integration von KI in geschäftskritische Anwendungen wächst auch der Anspruch an deren rechtliche und ethische Verträglichkeit. Insbesondere die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an den Umgang mit personenbezogenen Daten – ein Bereich, in den viele KI-Anwendungen tief eingreifen.
Wer KI-Technologien nachhaltig und verantwortungsvoll einsetzen will, kommt daher an einer zentralen Frage nicht vorbei: Was braucht eine KI, um DSGVO-konform zu sein?
In diesem Blogbeitrag beleuchten wir:
- Welche Herausforderungen die DSGVO für KI-Systeme mit sich bringt,
- welche technischen und rechtlichen Anforderungen Unternehmen erfüllen müssen,
- und mit welchen Best Practices und Tools sich eine datenschutzfreundliche KI in der Praxis umsetzen lässt.
DSGVO und Künstliche Intelligenz
Um die Anforderungen an eine datenschutzkonforme KI zu verstehen, ist es notwendig, die Grundprinzipien der Datenschutz-Grundverordnung (DSGVO) sowie die Funktionsweise von KI-Systemen in ihren wesentlichen Zügen einzuordnen.
Datenschutz-Grundverordnung (DSGVO)
Die DSGVO ist eine europäische Verordnung, die den Schutz personenbezogener Daten regelt. Sie gilt für alle Organisationen, die Daten von Personen innerhalb der EU verarbeiten – unabhängig davon, ob die Verarbeitung automatisiert oder manuell erfolgt.
Zentrale Begriffe:
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (z. B. Erheben, Speichern, Löschen).
Verantwortlicher: Die natürliche oder juristische Person, die über Zweck und Mittel der Datenverarbeitung entscheidet.
Auftragsverarbeiter: Dienstleister, der im Auftrag des Verantwortlichen Daten verarbeitet.
Wie diese Grundsätze konkret auf KI-Systeme anzuwenden sind, wird in den folgenden Kapiteln behandelt.
Künstliche Intelligenz im Überblick
Künstliche Intelligenz (KI) beschreibt Systeme, die in der Lage sind, Muster zu erkennen, Vorhersagen zu treffen oder Entscheidungen zu unterstützen – oft auf Grundlage grosser Datenmengen. Technisch basiert KI in vielen Fällen auf statistischen Modellen und maschinellem Lernen.
Dabei handelt es sich nicht um eine klar definierte Technologie, sondern um eine Sammlung von Verfahren, deren Einsatzbereiche und Funktionsweise sich je nach Anwendung stark unterscheiden.
Für die DSGVO ist in erster Linie relevant, ob bei einem System personenbezogene Daten verarbeitet werden. Daneben enthält die Verordnung aber auch Regelungen für Verfahren, die vollautomatisiert Entscheidungen über Personen treffen oder ihr Verhalten bewerten. Der Einsatz von KI kann daher auch dann datenschutzrechtlich relevant sein, wenn nicht primär personenbezogene Daten verarbeitet, sondern automatisierte Bewertungen oder Profilbildungen vorgenommen werden.
Rechtliche Herausforderungen
Der Einsatz von KI-Systemen steht in mehreren Punkten im Spannungsverhältnis zu den Anforderungen der DSGVO. Die folgenden rechtlichen Herausforderungen ergeben sich direkt aus zentralen Artikeln der Verordnung.
Artikel 5 Abs. 1 lit. a und c DSGVO – Transparenz und Datenminimierung Viele KI-Modelle – insbesondere im Bereich des Deep Learning – arbeiten auf Basis komplexer Berechnungen und hochdimensionaler Daten. Die daraus resultierenden Entscheidungen lassen sich oft nicht nachvollziehbar erklären. Gleichzeitig widerspricht der Datenhunger vieler KI-Systeme dem Prinzip der Datenminimierung. Die DSGVO verlangt jedoch transparente Prozesse und eine möglichst sparsame Erhebung personenbezogener Daten.
Artikel 22 DSGVO – Automatisierte Entscheidungen im Einzelfall Entscheidungen, die ausschliesslich auf automatisierter Verarbeitung beruhen und rechtliche oder vergleichbar erhebliche Auswirkungen auf betroffene Personen haben, sind nur in engen Ausnahmen zulässig. KI-Anwendungen, die z. B. Kreditwürdigkeitsprüfungen, Bewerbungsfilter oder Preisgestaltung steuern, fallen häufig unter diese Regelung. Zudem ist das sogenannte „Profiling“ nach DSGVO ebenfalls reguliert und setzt zusätzliche Transparenz- und Schutzpflichten voraus.
Artikel 5 Abs. 1 lit. b DSGVO – Zweckbindung Personenbezogene Daten dürfen nur für eindeutig festgelegte und legitime Zwecke verarbeitet werden. KI-Systeme sind jedoch häufig auf wiederverwendbare, breite Datenpools angewiesen, um Modelle flexibel trainieren und anpassen zu können. Dies steht der Zweckbindung entgegen, insbesondere wenn Daten später für andere – ursprünglich nicht definierte – Verwendungszwecke genutzt werden sollen.
Artikel 5 Abs. 2 i. V. m. Artikel 24 DSGVO – Rechenschaftspflicht und Verantwortung Die DSGVO verlangt eine klare Zuweisung von Verantwortlichkeiten: Wer entscheidet über Zweck und Mittel der Verarbeitung? Wer ist Auftragsverarbeiter, wer Verantwortlicher? KI-Systeme sind oft in komplexe technische und organisatorische Strukturen eingebettet, bei denen mehrere Akteure beteiligt sind. Die Einhaltung der Rechenschaftspflicht wird dadurch erschwert – insbesondere, wenn externe Anbieter oder Open-Source-Komponenten involviert sind.
Artikel 16 und 17 DSGVO – Recht auf Berichtigung und Löschung Betroffene haben das Recht, ihre personenbezogenen Daten berichtigen oder löschen zu lassen. In KI-Kontexten entstehen Probleme, wenn Trainingsdaten bereits in Modelle eingeflossen sind. Diese Modelle enthalten die Informationen zwar nicht direkt, können aber auf ihrer Basis Entscheidungen treffen. Ein „Vergessen“ von Daten im Sinne der DSGVO ist technisch oft nicht vorgesehen – insbesondere nicht ohne aufwendiges Retraining.
Technische und organisatorische Herausforderungen
Die DSGVO verpflichtet Unternehmen nicht nur zur Einhaltung bestimmter Prinzipien, sondern auch dazu, konkrete technische und organisatorische Massnahmen (TOMs) zu ergreifen, um den Schutz personenbezogener Daten sicherzustellen. Für KI-Systeme bedeutet das: Datenschutz muss aktiv in die Entwicklung, den Betrieb und die Nutzung dieser Systeme integriert werden – nicht erst im Nachhinein.
Artikel 25 DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen KI-Systeme müssen so konzipiert sein, dass Datenschutzaspekte von Beginn an berücksichtigt werden. Das bedeutet:
Privacy by Design: Datenschutzanforderungen fliessen bereits in die Architektur und Entwicklung des Systems ein. Beispiel: Anonymisierungstechniken vor dem Modelltraining.
Privacy by Default: Die datenschutzfreundlichste Einstellung muss standardmässig aktiviert sein. Beispiel: Minimale Datenerhebung im Frontend eines KI-gestützten Tools.
Diese Prinzipien sollen verhindern, dass Datenschutz erst „nachträglich“ ergänzt wird.
Artikel 32 DSGVO – Sicherheit der Verarbeitung Die Sicherheit personenbezogener Daten ist durch angemessene technische Massnahmen zu gewährleisten. Im KI-Kontext umfasst das unter anderem:
Zugriffskontrollen und Rollenmanagement im Umgang mit Trainingsdaten
Verschlüsselung gespeicherter Daten und Modelle
Logging von Zugriffen und Entscheidungen
Schutz vor Modellinversion oder adversarial attacks, bei denen Angreifer Rückschlüsse auf Trainingsdaten ziehen könnten
Die Auswahl der Massnahmen muss sich am Risiko für die Rechte und Freiheiten der Betroffenen orientieren.
Artikel 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) Wenn eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt – was bei KI-Systemen regelmässig der Fall ist – ist eine DSFA verpflichtend. Dabei müssen unter anderem bewertet werden:
Zweck und Notwendigkeit der Verarbeitung
Risiken für betroffene Personen
geplante Schutzmassnahmen
Die DSFA sollte vor dem Einsatz des KI-Systems durchgeführt und dokumentiert werden. Ein häufiger Fehler in der Praxis ist, diesen Schritt zu spät oder gar nicht zu berücksichtigen.
Artikel 28 DSGVO– Auftragsverarbeitung Setzen Unternehmen bei der Entwicklung oder beim Betrieb von KI auf externe Anbieter (z. B. Cloud- oder Modellanbieter), ist eine klare vertragliche Regelung erforderlich. Dabei muss u. a. geregelt sein:
Welche Daten verarbeitet werden
Welche Sicherheitsstandards eingehalten werden müssen
Wie die Rechte betroffener Personen gewahrt bleiben
Ein sogenannter Auftragsverarbeitungsvertrag (AV-Vertrag) ist in diesen Fällen zwingend erforderlich.
Trotz der hohen regulatorischen Anforderungen der DSGVO lässt sich Künstliche Intelligenz rechtskonform und wirksam in Unternehmensprozesse integrieren. Zwar gelten strenge Pflichten zur Dokumentation, Transparenz und Rechenschaft, doch gleichzeitig bietet die Verordnung auch Spielräume und Entscheidungsmöglichkeiten.
Rechtliche Umsetzung und Strategien
Je nach Art der Anwendung, Datenverarbeitung und Systemarchitektur bestehen mehrere Wege, rechtlichen Anforderungen zu begegnen: durch passende Rechtsgrundlagen, klar geregelte Betroffenenrechte, strukturierte Folgenabschätzungen und sauber formulierte Verträge mit Dritten.
Artikel 6 DSGVO – Rechtsgrundlagen für die Datenverarbeitung Für jede Verarbeitung personenbezogener Daten durch ein KI-System ist eine gültige Rechtsgrundlage erforderlich. In der Praxis kommen insbesondere folgende Optionen in Betracht:
Einwilligung (Art. 6 Abs. 1 lit. a): Besonders geeignet, wenn der Zweck der Verarbeitung klar eingegrenzt und gut kommunizierbar ist – z. B. bei personalisierten Chatbots oder Empfehlungssystemen.
Vertragserfüllung (lit. b): Gilt, wenn die Datenverarbeitung zur Erfüllung eines Vertrags notwendig ist – etwa bei automatisierten Zahlungssystemen oder Nutzerkontoverwaltung.
Berechtigtes Interesse (lit. f): Häufig bei internen Optimierungsprozessen im Unternehmen verwendet – z. B. Prognosemodelle zur Lagersteuerung. Hier ist zwingend eine Interessenabwägung notwendig.
Hinweis: Die blosse Nützlichkeit einer KI-Anwendung reicht als Rechtsgrundlage nicht aus. Die Wahl der passenden Basis ist kontextabhängig und muss dokumentiert werden.
Artikel 12–22 DSGVO – Betroffenenrechte operationalisieren Auch bei automatisierten Systemen müssen alle Rechte der betroffenen Personen durchsetzbar bleiben. Dazu zählen insbesondere:
Auskunftsrecht (Art. 15): Nutzer müssen erfahren können, welche Daten wie verarbeitet werden – auch durch KI.
Recht auf Berichtigung und Löschung (Art. 16, 17): Auch Daten, die in ein KI-Modell eingeflossen sind, müssen ggf. korrigiert oder entfernt werden – was Rückwirkungen auf das Modell haben kann.
Widerspruchsrecht (Art. 21): Bei Verarbeitung auf Grundlage berechtigter Interessen muss eine Möglichkeit zum Widerspruch bestehen.
Einschränkung automatisierter Entscheidungen (Art. 22): Nutzer müssen bei kritischen Entscheidungen durch KI informiert und ggf. auf Wunsch durch eine Person überprüft werden.
Empfehlung: Unternehmen sollten technische Schnittstellen und Prozesse entwickeln, mit denen diese Rechte effizient bearbeitet werden können – auch bei komplexen KI-Workflows.
Artikel 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) als Prozess etablieren Wenn ein KI-System ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, ist eine DSFA verpflichtend. In der Praxis bedeutet das:
Frühzeitige Risikoanalyse im Projektverlauf
Identifikation betroffener Datenkategorien und Szenarien
Dokumentation geplanter Schutzmassnahmen
Ggf. Konsultation der Aufsichtsbehörde bei besonders hohem Risiko
Tipp: Die DSFA sollte nicht nur als Pflicht, sondern als Werkzeug zur Qualitätskontrolle verstanden werden. Frühzeitige DSFA spart spätere Korrekturen.
Artikel 28 DSGVO – Verträge mit Dienstleistern regeln Werden externe Anbieter für Entwicklung, Hosting oder Modellbereitstellung eingesetzt, ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Darin sollte unter anderem festgelegt sein:
Welche Daten konkret verarbeitet werden
Welche TOMs gelten (z. B. Verschlüsselung, Zugriffsschutz)
Wie Betroffenenrechte umgesetzt werden
Ob Subunternehmer eingesetzt werden dürfen
Empfehlung: Verträge regelmässig überprüfen, vor allem bei wechselnden Dienstleistern oder neuen Anwendungszwecken.
Best Practices bei der Integration DSGVO konformer KI
Tools und Frameworks
| DSGVO-Artikel | Herausforderung | Geeignete Tools / Methoden |
|---|---|---|
| Art. 22 – Automatisierte Entscheidungen | Transparenz & Kontrolle bei automatisierten Entscheidungen | SHAP, LIME, What-If Tool |
| Art. 5 Abs. 1 lit. c / Art. 25 – Datenminimierung & Technikgestaltung | Datensparsame Gestaltung von KI-Systemen | ARX, Diffprivlib, TensorFlow Privacy, PySyft |
| Art. 35 – Datenschutz-Folgenabschätzung | Risikoanalyse und Dokumentation bei KI mit hohem Risiko | PIA-Tool (CNIL), Checklisten BfDI/BayLDA |
| Art. 30 & 5 Abs. 2 – Dokumentation & Rechenschaft | Nachvollziehbarkeit von Datenflüssen und Modellnutzung | MLflow, OpenLineage, ELK Stack |
| Art. 28 – Auftragsverarbeitung | Rechtssichere Integration externer Anbieter | OneTrust, DataGuard, Standardvertragsmuster |
| Art. 15–17 – Betroffenenrechte | Rechte wie Auskunft, Löschung und Berichtigung auch bei KI wahren | SHAP, MLflow, individuelle Retraining-Prozesse |
Zukünftige Entwicklungen und Ausblick
Die Anforderungen an datenschutzkonforme KI steigen – getrieben durch den EU AI Act und die DSGVO. Künftig müssen Datenschutz und KI-Compliance gemeinsam gedacht werden, da beide Regelwerke sich ergänzen und die Transparenz sowie Funktionsweise von KI-Systemen regeln.
Technologische Fortschritte wie Explainable AI, föderiertes Lernen und Differential Privacy ermöglichen zunehmend datenschutzfreundliche KI. Ansätze wie Retrain-on-Demand erlauben es, personenbezogene Daten gezielt auch nach dem Training zu entfernen.
Parallel dazu nimmt auch die internationale Regulierungsdynamik zu: Kanada, die USA, Brasilien oder China entwickeln eigene KI-Regularien. Unternehmen mit internationaler Ausrichtung sollten deshalb bereits heute auf modulare und übertragbare Datenschutzstrukturen setzen, um sich nicht in Parallelvorgaben zu verlieren. (Mehr dazu)
Handeln Sie jetzt: Machen Sie Datenschutz zur festen Säule Ihrer KI-Strategie – rechtssicher, zukunftsfähig und verantwortungsvoll.
