Einsteiger

GDPR & KI — Datenschutz verstehen

⏱ ~30 Dauer · 7 Modul
Warum ist das relevant?

KI verarbeitet Unmengen von Daten — oft über Menschen die das nicht wissen. GDPR gibt dir als Betroffenen Rechte. Als Betreiber hast du Pflichten. Beides zu kennen ist Grundvoraussetzung für verantwortungsvollen KI-Einsatz.

Was du lernst

Du verstehst die 6 GDPR-Grundsätze, kennst deine Rechte als Betroffener und weißt welche Datenschutzpflichten beim KI-Einsatz entstehen.

Lesen

GDPR und KI — die Grundlagen

~15 Min

DSGVO und KI — die Grundlagen

Was ist personenbezogen?

Personenbezogene Daten = alle Informationen, die sich auf eine identifizierbare Person beziehen.

Nicht nur Name und E-Mail. Auch: IP-Adresse, Standortdaten, Kaufverhalten, Klickmuster, Gerätekennungen — und alle Kombinationen, die zur Identifikation führen können.

KI-Systeme verarbeiten fast immer personenbezogene Daten. Die DSGVO gilt.

Die 6 Grundsätze — kompakt

Grundsatz Was er verlangt KI-Relevanz
Rechtmäßigkeit Rechtsgrundlage für jede Verarbeitung Einwilligung, Vertrag oder legitimes Interesse explizit festlegen
Zweckbindung Nur für den angegebenen Zweck KI-Training ≠ Nutzungsrecht für andere Zwecke
Datensparsamkeit Minimum an Daten Feature-Engineering: nur relevante Variablen
Richtigkeit Daten aktuell halten Veraltete Trainingsdaten → veraltete Diskriminierung
Speicherbegrenzung Nicht länger als nötig Retention-Policy für Trainingsdaten
Integrität & Vertraulichkeit Schutz vor Missbrauch Zugriffskontrollen, Verschlüsselung

Ihre Rechte als betroffene Person

Recht Art. Was Sie verlangen können
Auskunft 15 Welche Daten? Wozu? Wie lange?
Berichtigung 16 Falsche Daten korrigieren
Löschung 17 „Recht auf Vergessenwerden"
Einschränkung 18 Verarbeitung vorübergehend stoppen
Widerspruch 21 Gegen Verarbeitung widersprechen
Keine Vollautomatisierung 22 Menschliche Überprüfung bei erheblichen Entscheidungen

Art. 22 ist für KI besonders relevant: Automatisierte Entscheidungen mit erheblicher Wirkung auf Personen (Kreditablehnung, Jobabsage, Versicherungspreis) müssen anfechtbar sein.

Besondere Datenkategorien — erhöhter Schutz

Diese Daten dürfen grundsätzlich nicht verarbeitet werden — außer mit expliziter Einwilligung:

  • Gesundheitsdaten
  • Ethnische Herkunft
  • Politische Meinungen
  • Religiöse Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Biometrische Daten
  • Sexuelle Orientierung

Für KI-Entwickler: Wenn Trainingsdaten auch nur implizit Rückschlüsse auf diese Kategorien ermöglichen — erhöhtes Risiko.

Weiter: Pflichten für Betreiber →

Quiz

Kurzer Check

1. Welcher GDPR-Grundsatz verlangt dass nur notwendige Daten erhoben werden?

2. Was bedeutet GDPR Art. 22?

Merke

GDPR auf einen Blick

  • 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
  • Art. 15: Du kannst fragen welche Daten gespeichert sind
  • Art. 16: Du kannst falsche Daten korrigieren lassen
  • Art. 17: Du kannst Löschung beantragen
  • Art. 22: Automatische Entscheidungen können angefochten werden
Lesen

GDPR im KI-Einsatz — Pflichten für Betreiber

~15 Min

DSGVO-Pflichten beim KI-Einsatz

Vor dem Start: Drei Pflichten

1. Rechtsgrundlage festlegen

Keine Datenverarbeitung ohne Grundlage. Die wichtigsten für KI:

Grundlage Wann geeignet Vorsicht
Einwilligung (Art. 6 Abs. 1 a) Klar freiwillig, spezifisch Muss jederzeit widerrufbar sein
Vertrag (Art. 6 Abs. 1 b) KI zur Vertragserfüllung nötig Nur wenn wirklich erforderlich
Legitimes Interesse (Art. 6 Abs. 1 f) Interne Optimierung Interessenabwägung dokumentieren

Achtung: „Wir wollen die KI verbessern" ist kein legitimes Interesse, das automatisch greift. Es bedarf einer dokumentierten Interessenabwägung.

2. DPIA prüfen — wann ist sie Pflicht?

Eine Datenschutz-Folgenabschätzung (DPIA) ist nach Art. 35 DSGVO verpflichtend bei:

  • Systematischer Profilierung von Personen
  • Verarbeitung besonderer Datenkategorien (→ Modul 1)
  • Automatisierten Entscheidungen mit erheblicher Wirkung
  • KI-gestütztem Monitoring von Mitarbeitern

Wie umfangreich? Die DPIA dokumentiert: Was wird verarbeitet? Warum? Welche Risiken entstehen? Welche Schutzmaßnahmen greifen?

3. Betroffene informieren

Vor der Verarbeitung müssen Betroffene wissen:

  1. Wer verarbeitet die Daten (Name, Kontakt)
  2. Warum (Zweck und Rechtsgrundlage)
  3. Wie lange
  4. An wen weitergegeben wird
  5. Ob automatisierte Entscheidungen stattfinden (Art. 13 Abs. 2 f)

Im Betrieb: Zwei kritische Pflichten

Datenpannen melden (Art. 33)

Bei Datenverlust, Diebstahl oder unberechtigtem Zugriff:

  • 72 Stunden zur Meldung an die Datenschutzaufsichtsbehörde
  • Bei hohem Risiko für Betroffene: auch direkte Information der Betroffenen (Art. 34)

Keine Ausnahme für KI-Systeme. Ein Datenleck aus einem KI-System löst dieselben Pflichten aus.

Retention-Policies einhalten

KI-Trainingsdaten unterliegen denselben Löschpflichten wie alle anderen personenbezogenen Daten. „Wir brauchen die Daten zum Nachtraining" ist kein unbegrenzter Aufbewahrungsgrund.

Praxisfall: Der lernende Chatbot

Ein Kundenservice-Chatbot protokolliert alle Gespräche „um besser zu werden". In Gesprächen werden gelegentlich Gesundheitsdaten erwähnt.

DSGVO-Verstöße:

  1. Fehlendes Einverständnis für Gesundheitsdaten (Art. 9 — besondere Kategorie)
  2. Zweckbindung verletzt: Gespräch zur Kundenbetreuung ≠ Einwilligung zum KI-Training
  3. Betroffene wurden nicht über KI-Nutzung informiert

Was zu tun ist:

  • Gesundheitsdaten sofort aus Trainingsdaten entfernen
  • Datenschutzbehörde informieren (bei erheblichem Risiko)
  • Prozess anpassen: Einwilligung vor Nutzung für Training

Zusammenfassung: Die DSGVO-Checkliste für KI

Vor dem Einsatz:
  ☐ Rechtsgrundlage dokumentiert
  ☐ DPIA geprüft (und ggf. durchgeführt)
  ☐ Betroffene informiert
  ☐ Datenkategorien geprüft (besondere Kategorien?)

Im Betrieb:
  ☐ Retention-Policy definiert und umgesetzt
  ☐ Zugriffskontrollen aktiv
  ☐ Prozess für Datenpannen vorhanden (72h-Frist!)
  ☐ Betroffenenrechte-Prozess definiert

Zurück: DSGVO-Grundlagen | Assessment starten →

Praxisfall

Praxisfall: Der Chatbot und die sensiblen Daten

Situation

Ein Kundenservice-Chatbot sammelt Gesprächsverläufe um "besser zu werden". Ein Nutzer beschwert sich dass der Chatbot seine Gesundheitsdaten aus einem früheren Gespräch kennt — obwohl er nie explizit zugestimmt hat dass diese gespeichert werden.

Welche GDPR-Verletzungen liegen vor und was muss das Unternehmen tun?
Lösung anzeigen

Mindestens zwei GDPR-Verstöße:

  1. Fehlende Rechtsgrundlage (Art. 6): Für Gesundheitsdaten (Art. 9 — besondere Kategorie) braucht es explizite Einwilligung. "Trainingsdaten sammeln" ist keine ausreichende Grundlage.
  2. Verletzung der Zweckbindung (Art. 5): Daten aus einem Gespräch dürfen nicht ohne weiteres für Training genutzt werden.

Was das Unternehmen tun muss:

  • Sofort: Gesundheitsdaten aus Trainingsdaten entfernen
  • Betroffenen informieren (Art. 34 wenn hohes Risiko)
  • Datenschutzbehörde melden wenn Verletzung erheblich (Art. 33, 72h-Frist)
  • Prozess anpassen: Einwilligung vor Training-Nutzung einholen
Häufige Fehler:
✗ Nichts tun — der Nutzer hat die AGB akzeptiert
AGB-Klauseln die GDPR-Rechte einschränken sind nichtig. Explizite Einwilligung für sensible Daten ist Pflicht.
Reflexion

Deine Daten

Bei welchen digitalen Diensten hast du das Gefühl dass sie mehr über dich wissen als sie sollten?

Beispiele:
  • Werbung die zu gut zu meinen Gesprächen passt
  • Empfehlungen die zeigen dass mein Verhalten beobachtet wird
  • Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
Wird nur in deinem Browser gespeichert.
Merke

Das nimmst du mit

  • Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
  • Zweckbindung: Daten nur für den angegebenen Zweck nutzen
  • DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
  • ⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren

Bereit für das Assessment?

Kurs abgeschlossen! Assessment starten.

Assessment starten →