DSGVO und KI — die Grundlagen

Was ist personenbezogen?

Personenbezogene Daten = alle Informationen, die sich auf eine identifizierbare Person beziehen.

Nicht nur Name und E-Mail. Auch: IP-Adresse, Standortdaten, Kaufverhalten, Klickmuster, Gerätekennungen — und alle Kombinationen, die zur Identifikation führen können.

KI-Systeme verarbeiten fast immer personenbezogene Daten. Die DSGVO gilt.

Die 6 Grundsätze — kompakt

Grundsatz	Was er verlangt	KI-Relevanz
Rechtmäßigkeit	Rechtsgrundlage für jede Verarbeitung	Einwilligung, Vertrag oder legitimes Interesse explizit festlegen
Zweckbindung	Nur für den angegebenen Zweck	KI-Training ≠ Nutzungsrecht für andere Zwecke
Datensparsamkeit	Minimum an Daten	Feature-Engineering: nur relevante Variablen
Richtigkeit	Daten aktuell halten	Veraltete Trainingsdaten → veraltete Diskriminierung
Speicherbegrenzung	Nicht länger als nötig	Retention-Policy für Trainingsdaten
Integrität & Vertraulichkeit	Schutz vor Missbrauch	Zugriffskontrollen, Verschlüsselung

Ihre Rechte als betroffene Person

Recht	Art.	Was Sie verlangen können
Auskunft	15	Welche Daten? Wozu? Wie lange?
Berichtigung	16	Falsche Daten korrigieren
Löschung	17	„Recht auf Vergessenwerden"
Einschränkung	18	Verarbeitung vorübergehend stoppen
Widerspruch	21	Gegen Verarbeitung widersprechen
Keine Vollautomatisierung	22	Menschliche Überprüfung bei erheblichen Entscheidungen

Art. 22 ist für KI besonders relevant: Automatisierte Entscheidungen mit erheblicher Wirkung auf Personen (Kreditablehnung, Jobabsage, Versicherungspreis) müssen anfechtbar sein.

Besondere Datenkategorien — erhöhter Schutz

Diese Daten dürfen grundsätzlich nicht verarbeitet werden — außer mit expliziter Einwilligung:

• Gesundheitsdaten
• Ethnische Herkunft
• Politische Meinungen
• Religiöse Überzeugungen
• Gewerkschaftszugehörigkeit
• Biometrische Daten
• Sexuelle Orientierung

Für KI-Entwickler: Wenn Trainingsdaten auch nur implizit Rückschlüsse auf diese Kategorien ermöglichen — erhöhtes Risiko.

DSGVO-Pflichten beim KI-Einsatz

Vor dem Start: Drei Pflichten

1. Rechtsgrundlage festlegen

Keine Datenverarbeitung ohne Grundlage. Die wichtigsten für KI:

Grundlage	Wann geeignet	Vorsicht
Einwilligung (Art. 6 Abs. 1 a)	Klar freiwillig, spezifisch	Muss jederzeit widerrufbar sein
Vertrag (Art. 6 Abs. 1 b)	KI zur Vertragserfüllung nötig	Nur wenn wirklich erforderlich
Legitimes Interesse (Art. 6 Abs. 1 f)	Interne Optimierung	Interessenabwägung dokumentieren

Achtung: „Wir wollen die KI verbessern" ist kein legitimes Interesse, das automatisch greift. Es bedarf einer dokumentierten Interessenabwägung.

2. DPIA prüfen — wann ist sie Pflicht?

Eine Datenschutz-Folgenabschätzung (DPIA) ist nach Art. 35 DSGVO verpflichtend bei:

• Systematischer Profilierung von Personen
• Verarbeitung besonderer Datenkategorien (→ Modul 1)
• Automatisierten Entscheidungen mit erheblicher Wirkung
• KI-gestütztem Monitoring von Mitarbeitern

Wie umfangreich? Die DPIA dokumentiert: Was wird verarbeitet? Warum? Welche Risiken entstehen? Welche Schutzmaßnahmen greifen?

3. Betroffene informieren

Vor der Verarbeitung müssen Betroffene wissen:

1. Wer verarbeitet die Daten (Name, Kontakt)
2. Warum (Zweck und Rechtsgrundlage)
3. Wie lange
4. An wen weitergegeben wird
5. Ob automatisierte Entscheidungen stattfinden (Art. 13 Abs. 2 f)

Im Betrieb: Zwei kritische Pflichten

Datenpannen melden (Art. 33)

Bei Datenverlust, Diebstahl oder unberechtigtem Zugriff:

• 72 Stunden zur Meldung an die Datenschutzaufsichtsbehörde
• Bei hohem Risiko für Betroffene: auch direkte Information der Betroffenen (Art. 34)

Keine Ausnahme für KI-Systeme. Ein Datenleck aus einem KI-System löst dieselben Pflichten aus.

Retention-Policies einhalten

KI-Trainingsdaten unterliegen denselben Löschpflichten wie alle anderen personenbezogenen Daten. „Wir brauchen die Daten zum Nachtraining" ist kein unbegrenzter Aufbewahrungsgrund.

Praxisfall: Der lernende Chatbot

Ein Kundenservice-Chatbot protokolliert alle Gespräche „um besser zu werden". In Gesprächen werden gelegentlich Gesundheitsdaten erwähnt.

DSGVO-Verstöße:

1. Fehlendes Einverständnis für Gesundheitsdaten (Art. 9 — besondere Kategorie)
2. Zweckbindung verletzt: Gespräch zur Kundenbetreuung ≠ Einwilligung zum KI-Training
3. Betroffene wurden nicht über KI-Nutzung informiert

Was zu tun ist:

• Gesundheitsdaten sofort aus Trainingsdaten entfernen
• Datenschutzbehörde informieren (bei erheblichem Risiko)
• Prozess anpassen: Einwilligung vor Nutzung für Training

Zusammenfassung: Die DSGVO-Checkliste für KI

CODEKopieren
Vor dem Einsatz:
  ☐ Rechtsgrundlage dokumentiert
  ☐ DPIA geprüft (und ggf. durchgeführt)
  ☐ Betroffene informiert
  ☐ Datenkategorien geprüft (besondere Kategorien?)

Im Betrieb:
  ☐ Retention-Policy definiert und umgesetzt
  ☐ Zugriffskontrollen aktiv
  ☐ Prozess für Datenpannen vorhanden (72h-Frist!)
  ☐ Betroffenenrechte-Prozess definiert