Neue Vorgaben für KI-Datenschutz

2 weeks ago 3

Was bedeutet die aktuelle Orientierung der Datenschutzbehörden für Unternehmen und Führungskräfte?

Künstliche Intelligenz ist längst keine Zukunftstechnologie mehr. Ob Bewerbervorauswahl, Performance-Analyse, interne Assistenzsysteme oder automatisierte Entscheidungsunterstützung – KI-Systeme sind in vielen Unternehmen bereits fester Bestandteil betrieblicher Abläufe. Gleichzeitig wächst die Unsicherheit: Welche datenschutzrechtlichen Anforderungen gelten konkret? Wer trägt Verantwortung? Und wo drohen persönliche Haftungsrisiken für Geschäftsführung und HR-Verantwortliche?

Mit einer neuen Orientierung der deutschen Datenschutzaufsichtsbehörden rücken diese Fragen nun deutlich stärker in den Fokus. Die Datenschutzkonferenz (DSK) hat eine umfassende Orientierungshilfe zu technischen und organisatorischen Maßnahmen für KI-Systeme veröffentlicht. Parallel dazu hat der Hamburgische Datenschutzbeauftragte ein vielbeachtetes Diskussionspapier zur datenschutzrechtlichen Einordnung von Large-Language-Models (LLMs) vorgelegt.

Für Unternehmen, Führungskräfte und Personalverantwortliche markieren diese Veröffentlichungen einen Paradigmenwechsel: Weg von abstrakten KI-Leitbildern, hin zu konkreten Compliance-Pflichten entlang des gesamten KI-Lebenszyklus.

1. KI-Systeme im Fokus des Datenschutzrechts

Datenschutzrechtlich ist nicht entscheidend, ob ein System als „KI“, „Algorithmus“ oder „Assistenztool“ bezeichnet wird. Maßgeblich ist allein, ob personenbezogene Daten verarbeitet werden. Das ist bei den meisten KI-Anwendungen im Unternehmenskontext der Fall – insbesondere im Arbeitsverhältnis.

Typische Anwendungsfelder mit hohem Datenschutzrisiko sind etwa:

  • automatisierte Bewerbervorauswahl,
  • Skill- und Performance-Analysen,
  • Krankheits- oder Fehlzeitenprognosen,
  • interne Chatbots und Copiloten,
  • Entscheidungsunterstützung bei Kündigungen oder Versetzungen.

Gerade im Arbeitsrecht gilt dabei ein besonders hohes Schutzniveau. Beschäftigte befinden sich strukturell in einem Abhängigkeitsverhältnis, sodass Einwilligungen regelmäßig keine tragfähige Rechtsgrundlage darstellen.

2. Die neue Orientierung der Datenschutzkonferenz: Fokus auf Umsetzung

Die Orientierungshilfe der Datenschutzkonferenz richtet sich primär an Hersteller und Entwickler von KI-Systemen. Ihre Wirkung reicht jedoch weit darüber hinaus. Denn Unternehmen, die KI-Systeme einsetzen, sind Mitverantwortliche oder eigenständige Verantwortliche im Sinne der DSGVO – mit entsprechenden Prüf-, Auswahl- und Überwachungspflichten.

Zentral ist der Ansatz, KI-Systeme über ihren gesamten Lebenszyklus hinweg datenschutzrechtlich zu betrachten:

  1. Planung und Konzeption
    Bereits bei der Entscheidung für ein KI-System muss geprüft werden, welche personenbezogenen Daten verarbeitet werden, zu welchen Zwecken und mit welchen Risiken.
  2. Entwicklung und Training
    Werden Trainingsdaten verwendet, ist sicherzustellen, dass diese rechtmäßig erhoben wurden, zweckgebunden sind und keine unnötigen personenbezogenen Informationen enthalten.
  3. Einführung und Einsatz
    Transparenzpflichten, Informationsrechte der Betroffenen und gegebenenfalls Datenschutz-Folgenabschätzungen rücken hier in den Vordergrund.
  4. Betrieb und Monitoring
    KI-Systeme sind keine statischen Werkzeuge. Ihre Wirkungen verändern sich. Entsprechend fordert die DSK eine laufende Überwachung, Dokumentation und Nachsteuerung.

3. Die sieben Gewährleistungsziele als Compliance-Kompass

Die Orientierungshilfe knüpft an die sieben Gewährleistungsziele des Standard-Datenschutzmodells an. Diese dienen als praktischer Kompass für die Umsetzung der DSGVO im KI-Kontext.

Besonders relevant für Unternehmen sind dabei:

  • Datenminimierung
    KI-Systeme dürfen nicht „auf Vorrat“ mit Daten gefüttert werden. Verarbeitet werden darf nur, was für den konkreten Zweck erforderlich ist.
  • Transparenz
    Betroffene müssen verstehen können, dass und wie KI eingesetzt wird – auch wenn der Algorithmus selbst komplex ist.
  • Intervenierbarkeit
    Entscheidungen dürfen nicht vollständig entkoppelt von menschlicher Kontrolle erfolgen, insbesondere bei personalrelevanten Maßnahmen.
  • Sicherheit
    Technische und organisatorische Maßnahmen müssen verhindern, dass Daten unbefugt weiterverwendet, rekombiniert oder offengelegt werden.

Diese Anforderungen sind keine bloßen Empfehlungen. Sie bilden den Maßstab für behördliche Prüfungen – und potenzielle Bußgeldverfahren.

4. Large-Language-Models: Speichern sie personenbezogene Daten?

Besonders kontrovers diskutiert wird die Frage, ob große Sprachmodelle selbst personenbezogene Daten „speichern“. Der Hamburgische Datenschutzbeauftragte vertritt in seinem Diskussionspapier eine differenzierte Position:

Ein Sprachmodell als solches enthält keine personenbezogenen Datensätze im klassischen Sinn. Es speichert keine Namen, Personalakten oder Profile wie eine Datenbank. Vielmehr bildet es statistische Wahrscheinlichkeiten ab.

Gleichzeitig betont das Papier jedoch klar: Die DSGVO greift bei allen Verarbeitungsvorgängen rund um das Modell. Dazu gehören insbesondere:

  • Eingaben von Nutzern (Prompts),
  • gespeicherte Konversationsverläufe,
  • Protokollierungen,
  • Weiterverwendung von Ausgaben in Entscheidungsprozessen.

Für die Praxis bedeutet das: Auch wenn das Modell selbst nicht „gelöscht“ werden kann, müssen konkrete Verarbeitungen kontrollierbar, dokumentiert und ggf. löschbar sein.

5. Betroffenenrechte und ihre praktische Bedeutung

Ein häufiger Irrtum in der Unternehmenspraxis besteht darin, Betroffenenrechte als theoretisches Risiko abzutun. Tatsächlich gewinnen Auskunfts-, Berichtigungs- und Löschungsansprüche im KI-Kontext erheblich an Bedeutung.

Beschäftigte können etwa verlangen:

  • Auskunft darüber, ob KI-Systeme zur Bewertung ihrer Leistung eingesetzt werden,
  • Informationen über Entscheidungslogiken,
  • Löschung unzulässig gespeicherter Eingaben oder Protokolle.

Unternehmen müssen organisatorisch in der Lage sein, solche Anfragen fristgerecht und substantiell zu beantworten. „Das System ist zu komplex“ genügt nicht.

6. Haftungs- und Organisationsrisiken für Führungskräfte

Für Geschäftsführer, Vorstände und leitende Angestellte ergeben sich daraus neue persönliche Risikodimensionen. Zwar haftet primär das Unternehmen. Doch Organisationsverschulden, mangelnde Kontrolle oder unterlassene Risikoanalysen können zu persönlichen Haftungstatbeständen führen.

Besonders kritisch sind:

  • fehlende Datenschutz-Folgenabschätzungen bei Hochrisiko-Anwendungen,
  • unzureichende Dokumentation von Auswahlentscheidungen,
  • blindes Vertrauen auf Anbieterangaben,
  • fehlende Schulung von HR- und Führungskräften.

KI-Compliance wird damit zu einer klassischen Managementaufgabe – vergleichbar mit Arbeitsschutz oder Compliance-Strukturen im Kartellrecht.

7. Fazit: KI braucht Governance – nicht nur Innovation

Die aktuellen Veröffentlichungen der Datenschutzbehörden machen deutlich: Der rechtliche Rahmen für KI im Unternehmenskontext wird enger, nicht lockerer. Innovation bleibt möglich, aber nur innerhalb klar definierter Leitplanken.

Unternehmen sind gut beraten, KI nicht als reines IT-Thema zu behandeln. Erforderlich sind:

  • klare Verantwortlichkeiten,
  • interdisziplinäre Prüfprozesse,
  • dokumentierte Risikoabwägungen,
  • kontinuierliches Monitoring.

Gerade im Arbeitsverhältnis entscheidet nicht die technische Raffinesse eines Systems, sondern seine rechtliche und organisatorische Einbettung. Wer hier frühzeitig strukturiert vorgeht, reduziert nicht nur Bußgeld- und Haftungsrisiken, sondern schafft auch Vertrauen bei Beschäftigten und Führungskräften.

Die Datenschutzkonferenz (DSK) hat am 17. Juni 2025 eine neue Orientierungshilfe zu technischen und organisatorischen Maßnahmen für KI-Systeme beschlossen. Sie richtet sich vor allem an Hersteller und Entwickler von KI-Systemen, die personenbezogene Daten verarbeiten. Das Papier konkretisiert die Anforderungen der DSGVO entlang des gesamten Lebenszyklus eines KI-Systems – von Planung und Entwicklung über Einführung und Betrieb bis hin zum laufenden Monitoring.

Zentrale Grundlage sind die sieben Gewährleistungsziele des Standard-Datenschutzmodells, darunter insbesondere Transparenz, Datenminimierung, Zweckbindung, Sicherheit und Intervenierbarkeit. Die Orientierungshilfe fordert u. a.:

  • konsequente Datenminimierung in allen Phasen,
  • regelmäßige Risiko- und Schutzbedarfsanalysen,
  • umfassende Dokumentations- und Nachweispflichten,
  • frühzeitige Prüfung von Datenschutz-Folgenabschätzungen,
  • robuste technische Schutzmaßnahmen gegen Datenlecks, Zweckentfremdung und ungewollte Verknüpfungen.

Parallel dazu hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit am 15. Juli 2024 ein Diskussionspapier zu Large-Language-Models und personenbezogenen Daten veröffentlicht. Dieses Papier ist ausdrücklich als Diskussionsimpuls gedacht und analysiert die datenschutzrechtliche Einordnung von Sprachmodellen aus technischer und rechtlicher Perspektive.

Kernthesen dieses Diskussionspapiers sind:

  • Ein Sprachmodell als solches speichert keine personenbezogenen Daten im Sinne der DSGVO, da es keine personenbezogenen Datensätze in klassischer Form enthält.
  • Die DSGVO greift dennoch bei allen Datenverarbeitungen rund um das Modell, etwa beim Training, bei Eingaben der Nutzer oder bei der Verwendung von Ausgaben in konkreten Anwendungssystemen.
  • Betroffenenrechte beziehen sich nicht auf das Modell selbst, sondern auf konkrete Verarbeitungsvorgänge im jeweiligen KI-System, etwa gespeicherte Prompts, Protokolle oder Entscheidungsfolgen.

Ziel des Diskussionspapiers ist es, Unternehmen und öffentliche Stellen eine sachlich fundierte Grundlage für den Einsatz von LLM-basierten Systemen zu geben – insbesondere in sensiblen Kontexten wie Personalmanagement, Bewerbungsverfahren, Leistungsbeurteilungen oder internen Assistenzsystemen.

Kurz zusammengefasst:
Die deutschen Datenschutzaufsichtsbehörden verlagern den Fokus von abstrakten KI-Leitlinien hin zu konkreten technischen, organisatorischen und dokumentarischen Anforderungen. Zugleich wird die rechtliche Einordnung von Sprachmodellen differenzierter betrachtet, was für Compliance-Strategien, Haftungsfragen und Governance-Modelle von erheblicher Bedeutung ist.

Read Entire Article
  1. Homepage
  2. AI News DE
  3. Neue Vorgaben für KI-Datenschutz

Related

KI-Modelle sollen lernen, ihre eigenen Schwächen zu erkennen und zu beheben

KI-Modelle sollen lernen, ihre eigenen Schwächen zu erkennen...

1 hour ago 0
EU-Bürger zahlen für die Korruption in Zypern – jetzt kommt alles ans Licht!

EU-Bürger zahlen für die Korruption in Zypern – jetzt kommt ...

4 hours ago 0
Lightricks macht KI-Videomodell LTX-2 offen und fordert Sora und Veo heraus

Lightricks macht KI-Videomodell LTX-2 offen und fordert Sora...

4 hours ago 0