AREE - stock.adobe.com
Datenschutzprüfung bei KI: Konkrete Fälle aus der Praxis
Reale Beispiele zeigen, worauf Datenschutzaufsichtsbehörden bei Einsatz von künstlicher Intelligenz (KI) achten. Dies kann für Unternehmen bei Projekten hilfreich sein.
Die Datenschutz-Grundverordnung (DSGVO) ist von grundsätzlicher Bedeutung für die Nutzung von KI (Künstlicher Intelligenz), sie wird nicht etwa durch die KI-Verordnung (KI-VO, AI Act der EU) verdrängt. Aus gutem Grund also veröffentlichen die Aufsichtsbehörden für den Datenschutz in hoher Frequenz Hinweise und Leitlinien zu KI. Ein aktuelles Beispiel ist die „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung unk beim Betrieb von KI-Systemen“ (PDF).
KI ist auch regelmäßig Thema in den Tätigkeitsberichten der Aufsichtsbehörden. Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Denis Lehmkemper, zum Beispiel hat einen umfassenden Bericht zum datenschutzkonformen Einsatz von künstlicher Intelligenz (KI) an die Präsidentin des Niedersächsischen Landtags übermittelt. Der Bericht fasst die Ergebnisse eines mehrstufigen Expertendialogs zusammen und formuliert konkrete Empfehlungen an Landesgesetzgeber und Landesregierung.
„Künstliche Intelligenz ist längst keine Zukunftsvision mehr, sondern bereits gelebte Praxis – in Unternehmen, Verwaltungen, Schulen und Hochschulen“, betonte Lehmkemper (PDF). „Damit der Einsatz dieser Systeme auch in Niedersachsen datenschutzkonform und grundrechtsfreundlich gelingt, müssen klare politische und rechtliche Rahmenbedingungen geschaffen werden.“
Wie es um die Einhaltung dieser Rahmenbedingungen bestellt ist, das sehen sich die Datenschutzaufsichtsbehörden auch zunehmend an, nicht nur bei ChatGPT oder DeepSeek.
Datenschutz und KI in der Praxis
Zum einen soll praktisches Wissen über KI-Modelle für die aufsichtsrechtliche Bewertung für alle zur Verfügung gestellt werden: Für die Entwicklung praktikabler und erfolgversprechender datenschutzrechtlicher Ansätze sollen Erfahrungen, Herausforderungen und Lösungen aus der Praxis sichtbar gemacht werden, wie die Bundesdatenschutzbeauftragte (BfDI) erklärte. Die BfDI startete eine öffentliche Konsultation zu KI-Modellen. „Ich möchte unrealistische und unklare Regelungen vermeiden - doch dafür bin ich auf die Mithilfe der Anbieter und Forschenden angewiesen", so Prof. Dr. Louisa Specht-Riemenschneider. Die BfDI nutzt öffentliche Konsultationen auch, um Rechtssicherheit für alle Beteiligten durch Transparenz und Dialog zu gewährleisten.
Doch es finden auch bereits konkrete Prüfungen statt, die zeigen, worauf schon heute die Datenschutzaufsichtsbehörden bei KI-Nutzung achten. Für Unternehmen ist dies gut zu wissen, um eigene KI-Projekte entsprechend datenschutzgerecht umzusetzen.
Beispiele für Datenschutzprüfungen bei KI-Einsatz
Die Berliner Datenschutzbeauftragte hat mehrere konkrete Fälle genannt, bei denen Datenschutzprüfungen zu KI durchgeführt wurden:
Bei einem Unternehmen, das ein KI-basiertes Forderungsmanagement anbietet, wurde unter anderem geprüft, ob die vorgebliche Anonymisierung der Daten der Schuldner zum Training der eingesetzten KI-Modelle tatsächlich zu anonymen Daten ohne Re-Identifizierungsmöglichkeit führt. Das Unternehmen setzt die betreffenden KI-Systeme in erster Linie ein, um eine personalisierte Ansprache zur erfolgreicheren Eintreibung von Forderungen zu ermöglichen. Zusätzlich hatte sich die Aufsicht auf die Profilbildung einzelner Schuldner und eine etwaig damit zusammenhängende verbotene automatisierte Entscheidungsfindung über die Einleitung gerichtlicher Schritte des Unternehmens gegen die Schuldner fokussiert.
In einem weiteren Fall prüfte die Aufsicht eine kommerzielle Fotoplattform, die nach derzeitiger Kenntnis bereits ins Internet hochgeladene Fotos, die zumindest zum Teil als personenbezogen einzustufen waren, Unternehmen gegen Bezahlung unter anderem für das Training von KI-Modellen anbot. Dieses Vorgehen war nur teilweise in der Datenschutzerklärung der Plattform abgebildet.
Bei einer Immobilienvermittlungsplattform ist im Rahmen eines Beschwerdeverfahrens aufgefallen, dass der Betreiber die abgeschlossene und neu hinzukommende Kommunikation mit Kunden für das Training eines KI-Systems zur effizienteren Bearbeitung von Kundenanfragen nutzte, ohne jedoch die Kunden auf diese Verarbeitung hinzuweisen.
Diese Beispiele zeigen, wie bereits KI-Dienste konkret zum Einsatz kommen und welche Datenschutz-Fehler dabei insbesondere auftreten können. Wie die Aufsicht betont, standen bei den Prüfungen insbesondere zwei Fragen im Fokus, die sich jedes Unternehmen vor der KI-Nutzung auch stellen sollte: Welche Rechtsgrundlage wird für die Verarbeitung von personenbezogenen Daten (mittels KI) genutzt? Wird die Entwicklung oder der Einsatz von KI gegenüber den betroffenen Personen transparent gemacht?
Ohne Zweifel werden weitere Prüfungen zur KI-Nutzung durch die Aufsichtsbehörden stattfinden, denn KI ist ein klarer Schwerpunkt bei den Datenschützern geworden.
Erfahren Sie mehr über Datenschutz und Compliance
-
![]()
Per Manipulation werden personenbezogene Daten gesammelt
Von: Oliver Schonschek
-
![]()
KI-Training mit personenbezogenen Daten: Das ist zu beachten
Von: Oliver Schonschek
-
![]()
Wie sich Datenrisiken gefahrlos bestimmen lassen
Von: Oliver Schonschek
-
![]()
Datenschutz: Was bei KI-Diensten wie DeepSeek zu prüfen ist
Von: Oliver Schonschek
