📖 Lerntext
DSGVO und KI — die Grundlagen
Was ist personenbezogen?
Personenbezogene Daten = alle Informationen, die sich auf eine identifizierbare Person beziehen.
Nicht nur Name und E-Mail. Auch: IP-Adresse, Standortdaten, Kaufverhalten, Klickmuster, Gerätekennungen — und alle Kombinationen, die zur Identifikation führen können.
KI-Systeme verarbeiten fast immer personenbezogene Daten. Die DSGVO gilt.Die 6 Grundsätze — kompakt
| Grundsatz | Was er verlangt | KI-Relevanz |
|---|---|---|
| Rechtmäßigkeit | Rechtsgrundlage für jede Verarbeitung | Einwilligung, Vertrag oder legitimes Interesse explizit festlegen |
| Zweckbindung | Nur für den angegebenen Zweck | KI-Training ≠ Nutzungsrecht für andere Zwecke |
| Datensparsamkeit | Minimum an Daten | Feature-Engineering: nur relevante Variablen |
| Richtigkeit | Daten aktuell halten | Veraltete Trainingsdaten → veraltete Diskriminierung |
| Speicherbegrenzung | Nicht länger als nötig | Retention-Policy für Trainingsdaten |
| Integrität & Vertraulichkeit | Schutz vor Missbrauch | Zugriffskontrollen, Verschlüsselung |
Ihre Rechte als betroffene Person
| Recht | Art. | Was Sie verlangen können |
|---|---|---|
| Auskunft | 15 | Welche Daten? Wozu? Wie lange? |
| Berichtigung | 16 | Falsche Daten korrigieren |
| Löschung | 17 | „Recht auf Vergessenwerden" |
| Einschränkung | 18 | Verarbeitung vorübergehend stoppen |
| Widerspruch | 21 | Gegen Verarbeitung widersprechen |
| Keine Vollautomatisierung | 22 | Menschliche Überprüfung bei erheblichen Entscheidungen |
Besondere Datenkategorien — erhöhter Schutz
Diese Daten dürfen grundsätzlich nicht verarbeitet werden — außer mit expliziter Einwilligung:
- Gesundheitsdaten
- Ethnische Herkunft
- Politische Meinungen
- Religiöse Überzeugungen
- Gewerkschaftszugehörigkeit
- Biometrische Daten
- Sexuelle Orientierung
✓ Zwischen-Check
Kurzer Check — kein Druck, nur zum Festigen.
1. Welcher GDPR-Grundsatz verlangt dass nur notwendige Daten erhoben werden?
2. Was bedeutet GDPR Art. 22?
💡 Key Takeaways
⚖️ 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
🔍 Art. 15: Du kannst fragen welche Daten gespeichert sind
✏️ Art. 16: Du kannst falsche Daten korrigieren lassen
🗑️ Art. 17: Du kannst Löschung beantragen
👤 Art. 22: Automatische Entscheidungen können angefochten werden
📖 Lerntext
DSGVO-Pflichten beim KI-Einsatz
Vor dem Start: Drei Pflichten
1. Rechtsgrundlage festlegen
Keine Datenverarbeitung ohne Grundlage. Die wichtigsten für KI:| Grundlage | Wann geeignet | Vorsicht |
|---|---|---|
| Einwilligung (Art. 6 Abs. 1 a) | Klar freiwillig, spezifisch | Muss jederzeit widerrufbar sein |
| Vertrag (Art. 6 Abs. 1 b) | KI zur Vertragserfüllung nötig | Nur wenn wirklich erforderlich |
| Legitimes Interesse (Art. 6 Abs. 1 f) | Interne Optimierung | Interessenabwägung dokumentieren |
2. DPIA prüfen — wann ist sie Pflicht?
Eine Datenschutz-Folgenabschätzung (DPIA) ist nach Art. 35 DSGVO verpflichtend bei:
- Systematischer Profilierung von Personen
- Verarbeitung besonderer Datenkategorien (→ Modul 1)
- Automatisierten Entscheidungen mit erheblicher Wirkung
- KI-gestütztem Monitoring von Mitarbeitern
3. Betroffene informieren
Vor der Verarbeitung müssen Betroffene wissen:
- Wer verarbeitet die Daten (Name, Kontakt)
- Warum (Zweck und Rechtsgrundlage)
- Wie lange
- An wen weitergegeben wird
- Ob automatisierte Entscheidungen stattfinden (Art. 13 Abs. 2 f)
Im Betrieb: Zwei kritische Pflichten
Datenpannen melden (Art. 33)
Bei Datenverlust, Diebstahl oder unberechtigtem Zugriff:
- 72 Stunden zur Meldung an die Datenschutzaufsichtsbehörde
- Bei hohem Risiko für Betroffene: auch direkte Information der Betroffenen (Art. 34)
Retention-Policies einhalten
KI-Trainingsdaten unterliegen denselben Löschpflichten wie alle anderen personenbezogenen Daten. „Wir brauchen die Daten zum Nachtraining" ist kein unbegrenzter Aufbewahrungsgrund.
Praxisfall: Der lernende Chatbot
Ein Kundenservice-Chatbot protokolliert alle Gespräche „um besser zu werden". In Gesprächen werden gelegentlich Gesundheitsdaten erwähnt.
DSGVO-Verstöße:- Fehlendes Einverständnis für Gesundheitsdaten (Art. 9 — besondere Kategorie)
- Zweckbindung verletzt: Gespräch zur Kundenbetreuung ≠ Einwilligung zum KI-Training
- Betroffene wurden nicht über KI-Nutzung informiert
- Gesundheitsdaten sofort aus Trainingsdaten entfernen
- Datenschutzbehörde informieren (bei erheblichem Risiko)
- Prozess anpassen: Einwilligung vor Nutzung für Training
Zusammenfassung: Die DSGVO-Checkliste für KI
Vor dem Einsatz:
☐ Rechtsgrundlage dokumentiert
☐ DPIA geprüft (und ggf. durchgeführt)
☐ Betroffene informiert
☐ Datenkategorien geprüft (besondere Kategorien?)
Im Betrieb:
☐ Retention-Policy definiert und umgesetzt
☐ Zugriffskontrollen aktiv
☐ Prozess für Datenpannen vorhanden (72h-Frist!)
☐ Betroffenenrechte-Prozess definiert
🏢 Praxisbeispiel
Situation
Ein Kundenservice-Chatbot sammelt Gesprächsverläufe um "besser zu werden". Ein Nutzer beschwert sich dass der Chatbot seine Gesundheitsdaten aus einem früheren Gespräch kennt — obwohl er nie explizit zugestimmt hat dass diese gespeichert werden.
❓ Welche GDPR-Verletzungen liegen vor und was muss das Unternehmen tun?
🪞 Reflexion
Bei welchen digitalen Diensten hast du das Gefühl dass sie mehr über dich wissen als sie sollten?
Beispiele:
- Werbung die zu gut zu meinen Gesprächen passt
- Empfehlungen die zeigen dass mein Verhalten beobachtet wird
- Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
🔒 Deine Antwort bleibt in deinem Browser — sie wird nicht übermittelt.
💡 Key Takeaways
📋 Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
🎯 Zweckbindung: Daten nur für den angegebenen Zweck nutzen
📊 DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren
Kurs abgeschlossen! Assessment starten.
Assessment starten →