GDPR und KI-Tools treffen sich an einem entscheidenden Punkt für jede Organisation, die personenbezogene Daten europäischer Einwohner mithilfe von Systemen der künstlichen Intelligenz verarbeitet. Die Verordnung gilt vollumfänglich für KI-Implementierungen. Das bedeutet, dass jedes Tool, das personenbezogene Daten erhebt, verarbeitet oder darauf reagiert, die Anforderungen der GDPR an Rechtsgrundlage, Transparenz und Datenminimierung erfüllen muss – andernfalls drohen erhebliche behördliche Maßnahmen.
Viele Organisationen haben die Einführung von KI rasch vorangetrieben, ohne sich zu fragen, ob ihre neuen Tools nach europäischem Datenschutzrecht überhaupt zulässig sind. Die Antwort ist nicht immer angenehm. KI bringt Datenverarbeitungsaktivitäten mit sich, die in der GDPR nicht explizit geregelt sind, aber dennoch vollständig in ihren bestehenden Rahmen fallen. Automatisiertes Profiling, die großflächige Verarbeitung personenbezogener Daten, durch Cloud-KI-Infrastruktur ausgelöste grenzüberschreitende Datenübermittlungen und intransparente Entscheidungssysteme fallen alle eindeutig in den regulatorischen Anwendungsbereich der GDPR. Genau zu verstehen, wo die Pflichten liegen und wie KI-Implementierungen aufgebaut werden müssen, die ihnen gerecht werden, ist für Unternehmen, die in europäischen Märkten tätig sind oder dorthin verkaufen, nicht mehr optional. Dieser Leitfaden erläutert, was Compliance tatsächlich erfordert und an welchen Stellen die meisten Teams gewöhnlich scheitern.
Warum die GDPR für KI-Tools weitreichender gilt, als die meisten Teams annehmen
Jede KI-Interaktion mit personenbezogenen Daten ist ein Verarbeitungsvorgang
Die GDPR definiert Datenverarbeitung sehr weitreichend. Jede Operation, die mit personenbezogenen Daten durchgeführt wird – einschließlich Erhebung, Speicherung, Abruf, Nutzung, Offenlegung und Löschung – fällt in den Anwendungsbereich der Verordnung. Wenn ein KI-Tool einen Namen, eine E-Mail-Adresse, ein Verhaltensmuster, eine Sprachaufnahme oder andere Informationen erhält, die sich auf eine identifizierbare Person beziehen, verarbeitet es ab dem Moment, in dem die Daten in das System gelangen, personenbezogene Daten im Sinne der GDPR-Definition.
Dies überrascht viele Organisationen, da das intuitive mentale Modell der GDPR-Compliance auf Datenbanken und Speicherung ausgerichtet ist. Sie speichern Kundendaten, Sie halten die Speicherregeln ein. Doch KI-Verarbeitung ist Verarbeitung – unabhängig davon, ob etwas dauerhaft gespeichert wird. Ein KI-Tool, das ein Kundenservice-Transkript analysiert, um die Stimmung zu klassifizieren, und das Transkript anschließend sofort verwirft, hat dennoch personenbezogene Daten verarbeitet. Die Rechtsgrundlage dafür sowie die damit einhergehenden Transparenzpflichten gelten für diese Interaktion.
Die praktische Konsequenz ist, dass Ihre GDPR-Compliance-Prüfung nicht bei Ihren Datenbanken und CRM-Systemen aufhören darf. Jedes KI-Tool, das Ihre Organisation einsetzt, muss daraufhin bewertet werden, welche personenbezogenen Daten es berührt, auf welcher Rechtsgrundlage und unter welchen Bedingungen.
Das Problem der Rechtsgrundlage bei KI-Tools
Die GDPR verlangt, dass jede Verarbeitungstätigkeit, die personenbezogene Daten betrifft, eine gültige Rechtsgrundlage hat. Die sechs verfügbaren Grundlagen sind Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Für die meisten kommerziellen KI-Implementierungen kommen Einwilligung, Vertragserfüllung und berechtigte Interessen in Betracht.
Die Schwierigkeit bei KI-Tools besteht darin, dass die von ihnen durchgeführten Verarbeitungsvorgänge oft schwer so konkret zu beschreiben sind, dass sie die Transparenzanforderungen der GDPR für eine Einwilligung oder die Abwägung berechtigter Interessen erfüllen. Den Nutzern mitzuteilen, dass ihre Daten zur Verbesserung des Dienstes von KI-Systemen verarbeitet werden, ist nicht spezifisch genug. Was die Verordnung tatsächlich verlangt, ist eine genaue Erklärung, welche Daten durch welches KI-System fließen, zu welchem Zweck, wie lange gespeichert, mit welchen Auftragsverarbeitern geteilt und für welche Entscheidungen herangezogen werden.
Organisationen, die ihre KI-Datenflüsse nicht im Detail abgebildet haben, können diese Anforderung nicht erfüllen, weil sie schlichtweg nicht wissen, was sie offenlegen. Die Compliance-Arbeit und die Transparenzarbeit sind ein und dieselbe Arbeit.
| Rechtsgrundlage | Wann sie auf KI Anwendung findet | Schlüsselanforderung |
|---|---|---|
| Einwilligung | KI-Verarbeitung nicht für den Dienst erforderlich, eindeutig optional | Freiwillig, spezifisch, informiert, unmissverständlich |
| Vertragserfüllung | KI direkt erforderlich für die Erbringung einer vertraglich vereinbarten Leistung | Verarbeitung beschränkt auf das, was der Vertrag verlangt |
| Berechtigte Interessen | Unternehmerischer Nutzen besteht und überwiegt nicht die Rechte der Einzelperson | Abwägung der berechtigten Interessen dokumentiert |
| Rechtliche Verpflichtung | KI zur Erfüllung einer gesetzlichen Pflicht eingesetzt | Konkrete rechtliche Verpflichtung muss bestehen und dokumentiert sein |
| Öffentliche Aufgabe | Behörden und Organisationen mit öffentlichem Auftrag | Muss im Unionsrecht oder im Recht der Mitgliedstaaten verankert sein |
Die Abstimmung der Dokumentation von AI security und Rechtsgrundlage zu einem frühen Zeitpunkt der Implementierung verhindert die Situation, in der ein technisch sicheres KI-System auf einer rechtlich unsoliden Grundlage betrieben wird.
Was die Änderungen der GDPR speziell für KI bedeuten
Die sich weiterentwickelnde regulatorische Auslegung
Die GDPR wurde 2016 finalisiert und trat 2018 in Kraft – mehrere Jahre vor der aktuellen Generation von Large Language Models. Im Verordnungstext werden generative KI, Foundation Models oder Inference-Pipelines nicht erwähnt. Was er aber enthält, ist ein prinzipienbasierter Rahmen, der weit genug ist, um diese Technologien zu erfassen. Die Datenschutzbehörden in den EU-Mitgliedstaaten geben kontinuierlich Leitlinien heraus, die klarstellen, wie diese Prinzipien anzuwenden sind.
Die Durchsetzungsmaßnahme der italienischen Datenschutzbehörde gegen ChatGPT im Jahr 2023 war das deutlichste Signal, dass die Aufsichtsbehörden bereit sind, bei KI-spezifischen GDPR-Bedenken einzugreifen. Im Mittelpunkt stand das Fehlen einer klaren Rechtsgrundlage von OpenAI für die Verarbeitung von Daten italienischer Nutzer, das Fehlen von Mechanismen zur Altersverifizierung sowie unzureichende Transparenz darüber, wie personenbezogene Daten im Modelltraining verwendet werden. Das Tool wurde in Italien vorübergehend ausgesetzt und erst nach spezifischen Compliance-Anpassungen durch OpenAI wieder zugelassen.
Andere nationale Datenschutzbehörden in der EU haben seitdem Leitlinien herausgegeben, die KI-Trainingsdaten, automatisierte Entscheidungsfindung sowie die Bedingungen behandeln, unter denen KI-generierte Ausgaben eine Verarbeitung personenbezogener Daten der Personen darstellen, deren Daten zum Trainieren des Modells verwendet wurden.
Die Entwicklungsrichtung ist klar. Die GDPR-Durchsetzung dringt zunehmend in KI-spezifisches Terrain vor, und Organisationen, die KI-Compliance als zukünftiges Problem behandelt haben, stellen fest, dass es zu einem gegenwärtigen geworden ist.
Wie der EU AI Act sich über die GDPR legt
Der EU AI Act, der 2024 in Kraft getreten ist, fügt eine parallele regulatorische Ebene hinzu, die neben der GDPR existiert und sie nicht ersetzt. Während die GDPR regelt, was mit personenbezogenen Daten geschieht, regelt der AI Act die Eigenschaften und das Verhalten der KI-Systeme selbst, insbesondere derjenigen, die als hochriskant eingestuft werden.
Für Unternehmen, die KI-Tools einsetzen, die mit personenbezogenen Daten interagieren, gelten beide Rahmenwerke gleichzeitig. Ein KI-System, das im Bewerbungsverfahren, in der Kreditwürdigkeitsprüfung oder in der medizinischen Triage eingesetzt wird, unterliegt den Anforderungen des AI Act in Bezug auf Transparenz, menschliche Aufsicht und Genauigkeit – und gleichzeitig den Anforderungen der GDPR für jedes von ihm verarbeitete personenbezogene Datum.
Zu verstehen, wie sich Entscheidungen zur AI architecture auf die Compliance unter beiden Rahmenwerken auswirken, hilft Organisationen, Systeme zu entwerfen, die das gesamte regulatorische Bild erfüllen, statt eine Regulierung auf Kosten der anderen zu optimieren.
Artikel 22 und automatisierte Entscheidungsfindung
Was Artikel 22 tatsächlich verbietet
Artikel 22 der GDPR räumt natürlichen Personen das Recht ein, nicht einer ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies ist eine der direkt KI-relevantesten Bestimmungen der Verordnung und zugleich eine der am häufigsten missverstandenen.
Das Verbot bezieht sich nicht auf den Einsatz von KI in Entscheidungsprozessen. Es bezieht sich konkret auf Entscheidungen, die ausschließlich durch automatisierte Systeme getroffen werden, wenn kein Mensch das Ergebnis vor der Auswirkung auf die betroffene Person sinnvoll überprüft. Eine Kreditbewertungs-KI, die eine Empfehlung erstellt, die von einem menschlichen Sachbearbeiter geprüft und entweder bestätigt oder überstimmt wird, löst Artikel 22 nicht aus. Ein System, das Kreditanträge auf Basis algorithmischer Ergebnisse ohne menschliche Beteiligung am Entscheidungsprozess automatisch genehmigt oder ablehnt, hingegen schon.
Für KI-Tools, die in HR, Kundensegmentierung, Betrugserkennung und ähnlichen Kontexten eingesetzt werden, ist die Analyse nach Artikel 22 unverzichtbar. Wenn Ihr KI-Tool Entscheidungen trifft, die den Zugang von Menschen zu Dienstleistungen, Beschäftigungsmöglichkeiten oder Finanzprodukten beeinflussen, und kein Mensch diese Entscheidungen tatsächlich überprüft, bevor sie wirksam werden, haben Sie ein Compliance-Problem im Sinne von Artikel 22.
Die drei Ausnahmen von Artikel 22 sind Vertragsnotwendigkeit, ausdrückliche Einwilligung und gesetzliche Ermächtigung. Jede erfordert spezifische zusätzliche Voraussetzungen, einschließlich des Rechts auf menschliche Überprüfung, des Rechts auf Anfechtung der Entscheidung und des Rechts auf Erläuterung der zugrunde liegenden Logik.
| Art der automatisierten Entscheidung | Artikel 22 ausgelöst? | Compliance-Weg |
|---|---|---|
| KI-Empfehlung wird vor der Maßnahme von einem Menschen überprüft | Nein | Standard-GDPR-Verarbeitungspflichten gelten |
| Vollständig automatisierte Genehmigung oder Ablehnung mit Rechtswirkung | Ja | Muss sich auf eine Ausnahme mit Recht auf menschliche Überprüfung stützen |
| Automatisiertes Profiling zur Segmentierung von Marketing-Listen | Hängt von der Erheblichkeit ab | Beurteilen, ob die Auswirkungen rechtlich erheblich sind |
| KI-generierter Bewertungs-Score, der eine Personalentscheidung beeinflusst | Ja | Vertrags- oder Einwilligungsausnahme plus menschliche Überprüfung |
| Betrugsverdachtsmeldung, die vor einer Kontoaktion menschliche Ermittlung erfordert | Nein | Menschliche Überprüfung durchbricht die rein automatisierte Kette |
Eine Überprüfung der AI features in Tools, deren Einsatz Sie erwägen, hilft dabei zu erkennen, welche sinnvolle menschliche Kontrollpunkte enthalten und welche Entscheidungen automatisch ohne menschliche Überprüfung ausführen.
Artikel 37 und die Pflicht zur Bestellung eines Datenschutzbeauftragten
Wann KI-Implementierungen einen DPO erfordern
Artikel 37 der GDPR verpflichtet bestimmte Organisationen zur Benennung eines Data Protection Officer (DPO). Die Pflicht gilt für Behörden und öffentliche Stellen, für Organisationen, deren Kerntätigkeit eine umfangreiche systematische Überwachung von Personen erfordert, sowie für Organisationen, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten zu strafrechtlichen Verurteilungen besteht.
KI-Tools lösen diese Bewertung häufig aus. Ein Einzelhandelsunternehmen, das KI für Verhaltensanalysen über Millionen von Kundeninteraktionen einsetzt, führt eine umfangreiche systematische Überwachung durch. Eine Gesundheitsorganisation, die KI zur skalierten Verarbeitung von Patientenakten einsetzt, verarbeitet besondere Kategorien personenbezogener Daten in großem Umfang. Beide Szenarien führen zur Pflicht zur Bestellung eines DPO.
Selbst wenn die DPO-Pflicht nicht strikt zwingend ist, ist die Funktion, die er erfüllt – Aufsicht über Datenverarbeitungsaktivitäten, Verbindung zu Aufsichtsbehörden und unabhängige Compliance-Beratung – für Organisationen, die KI-Systeme mit erheblichen personenbezogenen Datenmengen betreiben, praktisch unverzichtbar. Viele Unternehmen, die formal nicht zur Bestellung eines DPO verpflichtet sind, tun dies dennoch, weil der operative Nutzen es rechtfertigt.
Der DPO muss in KI-Implementierungen einbezogen werden, bevor sie produktiv gehen – nicht erst dann, wenn Probleme auftreten. Die Einbindung des DPO in die Tool-Bewertung, die Data Protection Impact Assessment und die Prüfung von Anbieterverträgen schafft den dokumentierten Aufsichtsweg, den Aufsichtsbehörden erwarten.
Data Protection Impact Assessments für KI
Artikel 35 der GDPR verlangt eine Data Protection Impact Assessment, bevor eine Verarbeitung eingesetzt wird, die voraussichtlich ein hohes Risiko für die betroffenen Personen mit sich bringt. KI-Systeme, die umfangreiches Profiling, systematische Überwachung oder automatisierte Entscheidungsfindung mit erheblichen Auswirkungen umfassen, lösen diese Anforderung fast immer aus.
Eine ordnungsgemäße DPIA für ein KI-Tool umfasst, welche personenbezogenen Daten das System aus welchem Grund verarbeitet, die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, die Risiken für die betroffenen Personen und deren Minderungsmaßnahmen sowie die zur Demonstration der Compliance ergriffenen Maßnahmen. Es ist kein einmaliges Dokument. Wenn sich das KI-Tool ändert, sich die Dateninputs ändern oder sich der Geschäftskontext wesentlich ändert, muss die DPIA überarbeitet werden.
Ein praktischer AI guide zur DPIA-Methodik für KI-Systeme hilft Compliance-Teams, Bewertungen so zu strukturieren, dass sie den Erwartungen der Aufsichtsbehörden gerecht werden – statt eine Dokumentation zu erstellen, die zwar gründlich wirkt, die substantielle Risikoanalyse aber verfehlt, nach der die Behörden suchen.
Wissenswertes
Einige wichtige Punkte zu GDPR und KI-Tools, die häufig erst auftauchen, nachdem Probleme bereits eingetreten sind:
Das Trainieren von KI-Modellen mit personenbezogenen Daten erfordert eine eigene Beurteilung der Rechtsgrundlage. Wenn Sie ein Modell mit Kundendaten, Mitarbeiterdaten oder anderen personenbezogenen Daten Ihrer Organisation feinabstimmen, ist diese Trainingsaktivität ein eigenständiger Verarbeitungszweck, der eine eigene Rechtsgrundlage benötigt – getrennt vom ursprünglichen Erhebungszweck.
Die Rechte der betroffenen Personen gelten auch für KI-verarbeitete Daten. Einzelpersonen behalten das Recht auf Auskunft, Berichtigung, Löschung und Portierung ihrer personenbezogenen Daten – auch wenn diese durch ein KI-System verarbeitet wurden. Wenn Ihr KI-Tool diese Rechte operativ nicht unterstützen kann, ist dies eine Compliance-Lücke, unabhängig davon, wie gut die anderen Sicherheitskontrollen des Tools sind.
Auftragsverarbeiter und Unterauftragsverarbeiter müssen dokumentiert werden. Jeder KI-Anbieter, der personenbezogene Daten in Ihrem Auftrag verarbeitet, muss in Ihrem Verzeichnis von Verarbeitungstätigkeiten aufgeführt sein. Ihre Unterauftragsverarbeiter – Infrastrukturanbieter, Hosting-Unternehmen und andere Anbieter, auf die sie angewiesen sind – müssen in den Auftragsverarbeitungsverträgen mit ihnen offengelegt werden.
Pseudonymisierung reduziert das Risiko, beseitigt aber nicht die GDPR-Pflichten. Daten, die pseudonymisiert wurden, also Daten, deren Identifikatoren durch Codes ersetzt wurden, sind nach GDPR weiterhin personenbezogene Daten, sofern eine Re-Identifizierung vernünftigerweise möglich ist. KI-Tools, die pseudonymisierte Daten verarbeiten, verarbeiten weiterhin personenbezogene Daten.
Grenzüberschreitende Übermittlungen, die durch KI-Infrastruktur ausgelöst werden, erfordern Übermittlungsmechanismen. Wenn Ihr KI-Anbieter Daten auf einer Infrastruktur außerhalb der EU oder des EWR verarbeitet, benötigen Sie einen gültigen Übermittlungsmechanismus wie Standardvertragsklauseln oder eine Transfer Impact Assessment. Viele Cloud-KI-Dienste leiten die Verarbeitung standardmäßig über US-amerikanische oder asiatische Rechenzentren.
Für KI-verarbeitete Daten müssen Aufbewahrungsfristen definiert werden. Die GDPR verlangt, dass personenbezogene Daten nicht länger als notwendig aufbewahrt werden. KI-Systeme, die Konversationsprotokolle, Eingabedaten oder Ausgabedaten ohne dokumentierten Aufbewahrungsplan unbegrenzt speichern, sind unabhängig von anderen Sicherheitsmaßnahmen nicht konform.
Aufbau einer GDPR-konformen KI-Praxis
Die Organisationen, die GDPR und KI-Tools erfolgreich meistern, verfolgen einen gemeinsamen Ansatz. Sie prüfen die Compliance vor und nicht nach der Implementierung, sie pflegen eine lebende Dokumentation ihrer KI-Datenflüsse und sie behandeln GDPR-Compliance als fortlaufende operative Disziplin und nicht als Projekt mit einem Enddatum.
Das regulatorische Umfeld rund um KI in Europa wird strenger, nicht lockerer. Die Kombination aus einer zunehmend KI-fokussierten GDPR-Durchsetzung und dem EU AI Act, der einen parallelen Rahmen schafft, führt dazu, dass Organisationen mit schwachen KI-Governance-Grundlagen mit jedem neuen Tool, das sie einsetzen, Compliance-Risiken anhäufen.
Dieses Fundament aufzubauen, ist nicht so komplex, wie es klingt. Bilden Sie Ihre Datenflüsse ab. Etablieren Sie Rechtsgrundlagen. Dokumentieren Sie Ihre Verarbeitung. Bewerten Sie Ihre hochriskanten Implementierungen. Bringen Sie Ihre Anbieterverträge in Ordnung. Dies sind etablierte Compliance-Praktiken, angewandt auf eine neue Kategorie von Technologie. Organisationen, die dies systematisch angehen, stellen fest, dass Compliance und effektive KI-Einführung sich nicht ausschließen. Richtig umgesetzt, verstärken sie sich gegenseitig.
Häufig gestellte Fragen
Unterliegen KI-Tools der GDPR?
Ja, KI-Tools unterliegen vollumfänglich der GDPR, sobald sie personenbezogene Daten von Personen in der EU verarbeiten, unabhängig davon, wo das KI-Unternehmen ansässig ist oder wo sich seine Server befinden. Die Verordnung gilt nach dem Standort der betroffenen Personen, nicht nach dem Standort des Technologieanbieters. Das bedeutet, dass jedes KI-Tool, das auf europäische Kunden- oder Mitarbeiterdaten angewendet wird, konform sein muss.
Was ist die 30-Prozent-Regel für KI?
Die 30-Prozent-Regel für KI ist eine praktische Leitlinie, die nahelegt, dass KI-Automatisierung etwa 30 Prozent eines Workflows abdecken sollte, während menschliches Urteilsvermögen und Aufsicht die verbleibenden 70 Prozent übernehmen. Im Kontext der GDPR ist diese Sichtweise besonders nützlich für die Einhaltung von Artikel 22, da sie Organisationen dabei hilft, KI-Implementierungen so zu gestalten, dass Menschen wirklich in Entscheidungen eingebunden bleiben, anstatt automatisierte Ergebnisse bloß abzunicken.
Welche Änderungen gibt es in der GDPR für KI?
Die GDPR selbst wurde nicht förmlich für KI geändert, aber die Datenschutzbehörden in der gesamten EU haben zunehmend spezifische Leitlinien veröffentlicht, in denen bestehende GDPR-Prinzipien auf KI-Systeme angewandt werden, insbesondere im Hinblick auf Rechtsgrundlagen für Trainingsdaten, automatisierte Entscheidungsfindung und Transparenzanforderungen für KI-generierte Ausgaben. Der EU AI Act, der neben der GDPR und nicht statt ihrer wirkt, fügt zusätzliche Pflichten für hochriskante KI-Systeme hinzu, die personenbezogene Daten verarbeiten.
Was ist Artikel 22 der GDPR und KI?
Artikel 22 der GDPR gibt natürlichen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche oder ähnlich erhebliche Auswirkungen entfaltet. Dies gilt unmittelbar für KI-Systeme, die folgenreiche Entscheidungen über Menschen treffen, ohne dass eine sinnvolle menschliche Überprüfung erfolgt. Organisationen, die KI in Kreditbewertung, Bewerbungsverfahren oder Zugang zu Dienstleistungen einsetzen, müssen sicherstellen, dass entweder ein Mensch KI-Ausgaben tatsächlich überprüft, bevor Entscheidungen wirksam werden, oder dass eine der drei gesetzlichen Ausnahmen mit allen erforderlichen zusätzlichen Schutzmaßnahmen greift.
Was ist Artikel 37 der GDPR?
Artikel 37 der GDPR begründet die Pflicht für bestimmte Organisationen, einen Datenschutzbeauftragten zu benennen – eine Rolle, die für jedes Unternehmen, das KI-Systeme mit großen Mengen personenbezogener Daten betreibt oder systematische Verhaltensüberwachung durchführt, praktisch unverzichtbar wird. Organisationen, deren KI-Kernaktivitäten umfangreiches Profiling, die Verarbeitung besonderer Kategorien personenbezogener Daten oder systematische Überwachung von Einzelpersonen umfassen, lösen wahrscheinlich die zwingende Pflicht zur Bestellung eines DPO nach diesem Artikel aus.