Wenn ein Unternehmen ein KI-System zur Verarbeitung personenbezogener Daten einsetzen möchte, sollte dem Unternehmen bewusst sein, dass es eine Vielzahl von datenschutzrechtlichen Vorgaben zu beachten gibt. 

Wichtige datenschutzrechtliche Vorgaben, die es zu beachten gilt:

• Rechtsgrundlage nach Art. 6 DSGVO definieren
• Auftragsverarbeitungsvertrag abschließen, falls es sich beim Anbieter um eine Auftragsverarbeiter nach Art. 28 DSGVO handelt (z.B. Verarbeitung im Rechenzentrum)
• Überprüfung, ob Übermittlung in Drittländer stattfindet
• Informationspflichten nach Art. 13 DSGVO und ggf. Art. 22 DSGVO (automatisierte Entscheidungsfindung)
• Risikobewertung und Datenschutzfolgeabschätzung
• Vorgaben nach Art. 25 DSGVO (Privacy by Design und Privacy by Default)

Einhaltung wichtiger DSGVO-Grundsätze, die es zu beachten gilt:

• Zweckbindung
• Datenminimierung
• Recht auf Auskunft und Löschung
• Transparenz und Erklärbarkeit
• Sicherheit und geeignete technische und organisatorische Maßnahmen (z.B. Anonymisierung und Pseudonymisierung)

Um die Risiken im Zusammenhang mit KI im Blick zu halten, empfiehlt es sich, den internen Einsatz in einer KI-Richtlinie zu regeln.  

• Vorlage einer Gliederung für eine Leitlinie zur Nutzung von KI-gestützten Anwendungen

KI-Fragenkatalog der BfDI

Der "KI-Fragenkatalog Version 1.0" (Stand Mai 2024), erstellt von der Projektgruppe KI, ist ein umfassender Leitfaden zur Prüfung und Bewertung von KI-Anwendungen. Sein Hauptziel ist es, eine detaillierte Übersicht und datenschutzrechtliche Einordnung von KI-Systemen zu ermöglichen.

Der KI-Fragenkatalog ist ein detailliertes Instrument, das Organisationen dabei unterstützt, ihre KI-Anwendungen systematisch auf Konformität mit Datenschutzbestimmungen und ethischen Standards zu überprüfen und zu dokumentieren.

Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen

Die Datenschutzkonferenz (DSK) eine Orientierungshilfe zu technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO für die Entwicklung und den Betrieb von KI-Systemen verabschiedet. Das Dokument adressiert die mit der umfassenden Verarbeitung personenbezogener Daten durch KI-Systeme verbundenen, potenziell hohen Risiken. Es dient Herstellern, Entwicklern und Betreibern als praxisorientierte Handreichung zur Sicherstellung des Datenschutzniveaus über den gesamten Lebenszyklus eines Systems.

Die Struktur orientiert sich an den vier Phasen: Design, Entwicklung, Einführung sowie Betrieb und Monitoring. Jede Phase enthält spezifische Empfehlungen, wie beispielsweise die Gewährleistung datenschutzkonformer Datenquellen, Maßnahmen zur Prävention von Re-Identifikation, die Durchführung von Bias-Analysen sowie die Implementierung von Intervenierbarkeit, etwa durch die Löschbarkeit von Trainingsdaten.

Zur Auswahl adäquater TOM verweist die DSK explizit auf das Standard-Datenschutzmodell (SDM). Dessen Gewährleistungsziele, darunter Vertraulichkeit, Datenminimierung, Integrität und Transparenz, bilden den normativen Rahmen für eine systematische Risikoanalyse und -adressierung, um die effektive Wahrung von Betroffenenrechten zu gewährleisten.

Vor allem hinsichtlich der Datenschutzrisiken und möglichen Datenschutzvorfälle ist es empfehlenswert, den Datenschutzbeauftragten gleich bei der Erstellung der KI-Richtlinie aktiv mit einzubinden, damit alle relevanten datenschutzrechtlichen Themen bedacht werden. Auch bei möglichen Datenpannen sollte der DSB dann für die Risikobewertung und Meldung bei der Aufsichtsbehörde hinzugezogen werden.  Die entsprechende gesetzliche Regelungen findet sich hierfür in Art. 38 DSGVO.

Art. 38 DSGVO – Stellung des Datenschutzbeauftragten  

(1)Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2)Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.

Zusätzliche Anhaltspunkte liefert hier der Kommentar Paal/Pauly/Paal:

„Der Verantwortliche bzw. Auftragsverarbeiter muss … sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, wobei die Beurteilungskompetenz darüber, ob eine derartige Frage vorliegt, bei Verantwortlichem und Auftragsverarbeiter liegt (Helfrich in HK-DS-GVO Art. 38 Rn. 35 ff.). Wann eine Einbindung als ordnungsgemäß und frühzeitig angesehen werden kann, konkretisiert die DS-GVO allerdings nicht.“ (Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 38 Rn. 4, beck-online)

„Vor dem Hintergrund der Aufgabenzuweisung in Art. 39 (→ Art. 39 Rn. 4 ff.) wird die Einbindung hinsichtlich Zeitpunkt und Umf. jedenfalls so auszugestalten sein, dass der Datenschutzbeauftragte sämtliche ihm nach Maßgabe der DS-GVO übertragenen Aufgaben und Pflichten vollumfänglich erfüllen kann. Eine frühzeitige Einbindung dürfte dabei regelmäßig erfordern, dass der Datenschutzbeauftragte proaktiv bereits im Stadium der Planung bzw. Konzeption beteiligt wird, um seinen Standpunkt einbringen zu können (s. Bergt in Kühling/Buchner DS-GVO Art. 38 Rn. 14.; Heberlein in Ehmann/Selmayr DS-GVO Art. 38 Rn. 8; Klug in Gola DS-GVO Art. 38 Rn. 3; Laue/Kremer Neues DatenschutzR § 6 Rn. 29; Moos in BeckOK DatenschutzR DS-GVO Art. 38 Rn. 4).“ (Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 38 Rn. 4, beck-online)

„Vor dem Hintergrund der Aufgabenzuweisung in Art. 39 (→ Art. 39 Rn. 4 ff.) wird die Einbindung hinsichtlich Zeitpunkt und Umf. jedenfalls so auszugestalten sein, dass der Datenschutzbeauftragte sämtliche ihm nach Maßgabe der DS-GVO übertragenen Aufgaben und Pflichten vollumfänglich erfüllen kann. Eine frühzeitige Einbindung dürfte dabei regelmäßig erfordern, dass der Datenschutzbeauftragte proaktiv bereits im Stadium der Planung bzw. Konzeption beteiligt wird, um seinen Standpunkt einbringen zu können (s. Bergt in Kühling/Buchner DS-GVO Art. 38 Rn. 14.; Heberlein in Ehmann/Selmayr DS-GVO Art. 38 Rn. 8; Klug in Gola DS-GVO Art. 38 Rn. 3; Laue/Kremer Neues DatenschutzR § 6 Rn. 29; Moos in BeckOK DatenschutzR DS-GVO Art. 38 Rn. 4).“ (Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 38 Rn. 4, beck-online).

„Eine spezielle Verpflichtung zur Einbindung im Rahmen der Datenschutz-Folgenabschätzung ergibt sich aus Art. 35 Abs. 2 (→ Art. 35 Rn. 58).“ (Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 38 Rn. 4, beck-online)

Fazit für die Praxis:

--> Das verantwortliche Unternehmen hat demnach bei DFAs zwingend, aber auch in allen anderen Fällen gemäß DSGVO die Pflicht, den DSB von Beginn an beim Erlass einer KI-Richtlinie miteinzubinden, da personenbezogene Daten umfangreich berührt sein könnten.

Art. 4 KI-VO - KI-Kompetenz

• "Die Anbieter und Betreiber von KI‑Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI‑Systemen befasst sind, über ein ausreichendes Maß an KI‑Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI‑Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI‑Systeme eingesetzt werden sollen, zu berücksichtigen sind."

Was genau versteht aber nun die EU unter der in der KI-Verordnung geforderten „KI-Kompetenz“?

Seit die KI-Verordnung im August 2024 in Kraft trat, stellte diese Frage viele Unternehmen vor eine Herausforderung. Zudem gibt es viele Ausbildungsangebote auf dem Markt dazu.

Nun liefert ein Fragen-Katalog der EU-Kommission konkrete Antworten und erläutert die Pflichten von Anbietern und Betreibern gemäß Artikel 4.

• FAQ der Europäischen Kommission zum Thema KI-Kompetenz

Zum Thema Schulungspflicht wird gesagt:

„Dies hängt von den Antworten der Organisation auf die in Frage 1 genannten Erwägungen ab. In vielen Fällen kann es jedoch unwirksam und unzureichend sein, sich einfach auf die Gebrauchsanweisungen der KI-Systeme zu verlassen oder das Personal aufzufordern, sie zu lesen. Artikel 4 des KI-Gesetzes soll Schulungen und Orientierungshilfen bieten, die auf der Grundlage des Kenntnisstands und der Art des Wissens jeder Zielgruppe sowie des Kontexts und des Zwecks der in der Organisation verwendeten KI-Systeme am besten geeignet sind.

Dies steht auch im Einklang mit anderen Bestimmungen des KI-Gesetzes. In Artikel 26 wird beispielsweise eine Verpflichtung für Betreiber von Hochrisikosystemen eingeführt, sicherzustellen, dass das mit den KI-Systemen befasste Personal in der Praxis ausreichend geschult ist, um mit dem System umzugehen und die menschliche Aufsicht zu gewährleisten. Sich auf die Gebrauchsanweisung zu verlassen, reicht daher nicht aus, weitere Maßnahmen sind erforderlich.“

Ergebnis: in den meisten Fällen ist eine Schulung notwendig.

Stand: Juli 2025