Wenn ein Unternehmen ein KI-System zur Verarbeitung personenbezogener Daten einsetzen möchte, sollte dem Unternehmen bewusst sein, dass es eine Vielzahl von datenschutzrechtlichen Vorgaben zu beachten gibt. 

Wichtige datenschutzrechtliche Vorgaben, die es zu beachten gilt:

• Rechtsgrundlage nach Art. 6 DSGVO definieren
• Auftragsverarbeitungsvertrag abschließen, falls es sich beim Anbieter um eine Auftragsverarbeiter nach Art. 28 DSGVO handelt (z.B. Verarbeitung im Rechenzentrum)
• Überprüfung, ob Übermittlung in Drittländer stattfindet
• Informationspflichten nach Art. 13 DSGVO und ggf. Art. 22 DSGVO (automatisierte Entscheidungsfindung)
• Risikobewertung und Datenschutzfolgeabschätzung
• Vorgaben nach Art. 25 DSGVO (Privacy by Design und Privacy by Default)

Einhaltung wichtiger DSGVO-Grundsätze, die es zu beachten gilt:

• Zweckbindung
• Datenminimierung
• Recht auf Auskunft und Löschung
• Transparenz und Erklärbarkeit
• Sicherheit und geeignete technische und organisatorische Maßnahmen (z.B. Anonymisierung und Pseudonymisierung)

Um die Risiken im Zusammenhang mit KI im Blick zu halten, empfiehlt es sich, den internen Einsatz in einer KI-Richtlinie zu regeln.  

• Vorlage einer Gliederung für eine Leitlinie zur Nutzung von KI-gestützten Anwendungen

Vor allem hinsichtlich der Datenschutzrisiken und möglichen Datenschutzvorfälle ist es empfehlenswert, den Datenschutzbeauftragten gleich bei der Erstellung der KI-Richtlinie aktiv mit einzubinden, damit alle relevanten datenschutzrechtlichen Themen bedacht werden. Auch bei möglichen Datenpannen sollte der DSB dann für die Risikobewertung und Meldung bei der Aufsichtsbehörde hinzugezogen werden.  Die entsprechende gesetzliche Regelungen findet sich hierfür in Art. 38 DSGVO.

Art. 38 DSGVO – Stellung des Datenschutzbeauftragten  

(1)Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2)Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.

Zusätzliche Anhaltspunkte liefert hier der Kommentar Paal/Pauly/Paal:

„Der Verantwortliche bzw. Auftragsverarbeiter muss … sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, wobei die Beurteilungskompetenz darüber, ob eine derartige Frage vorliegt, bei Verantwortlichem und Auftragsverarbeiter liegt (Helfrich in HK-DS-GVO Art. 38 Rn. 35 ff.). Wann eine Einbindung als ordnungsgemäß und frühzeitig angesehen werden kann, konkretisiert die DS-GVO allerdings nicht.“ (Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 38 Rn. 4, beck-online)

„Vor dem Hintergrund der Aufgabenzuweisung in Art. 39 (→ Art. 39 Rn. 4 ff.) wird die Einbindung hinsichtlich Zeitpunkt und Umf. jedenfalls so auszugestalten sein, dass der Datenschutzbeauftragte sämtliche ihm nach Maßgabe der DS-GVO übertragenen Aufgaben und Pflichten vollumfänglich erfüllen kann. Eine frühzeitige Einbindung dürfte dabei regelmäßig erfordern, dass der Datenschutzbeauftragte proaktiv bereits im Stadium der Planung bzw. Konzeption beteiligt wird, um seinen Standpunkt einbringen zu können (s. Bergt in Kühling/Buchner DS-GVO Art. 38 Rn. 14.; Heberlein in Ehmann/Selmayr DS-GVO Art. 38 Rn. 8; Klug in Gola DS-GVO Art. 38 Rn. 3; Laue/Kremer Neues DatenschutzR § 6 Rn. 29; Moos in BeckOK DatenschutzR DS-GVO Art. 38 Rn. 4).“ (Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 38 Rn. 4, beck-online)

„Vor dem Hintergrund der Aufgabenzuweisung in Art. 39 (→ Art. 39 Rn. 4 ff.) wird die Einbindung hinsichtlich Zeitpunkt und Umf. jedenfalls so auszugestalten sein, dass der Datenschutzbeauftragte sämtliche ihm nach Maßgabe der DS-GVO übertragenen Aufgaben und Pflichten vollumfänglich erfüllen kann. Eine frühzeitige Einbindung dürfte dabei regelmäßig erfordern, dass der Datenschutzbeauftragte proaktiv bereits im Stadium der Planung bzw. Konzeption beteiligt wird, um seinen Standpunkt einbringen zu können (s. Bergt in Kühling/Buchner DS-GVO Art. 38 Rn. 14.; Heberlein in Ehmann/Selmayr DS-GVO Art. 38 Rn. 8; Klug in Gola DS-GVO Art. 38 Rn. 3; Laue/Kremer Neues DatenschutzR § 6 Rn. 29; Moos in BeckOK DatenschutzR DS-GVO Art. 38 Rn. 4).“ (Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 38 Rn. 4, beck-online).

„Eine spezielle Verpflichtung zur Einbindung im Rahmen der Datenschutz-Folgenabschätzung ergibt sich aus Art. 35 Abs. 2 (→ Art. 35 Rn. 58).“ (Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 38 Rn. 4, beck-online)

Fazit für die Praxis:

--> Das verantwortliche Unternehmen hat demnach bei DFAs zwingend, aber auch in allen anderen Fällen gemäß DSGVO die Pflicht, den DSB von Beginn an beim Erlass einer KI-Richtlinie miteinzubinden, da personenbezogene Daten umfangreich berührt sein könnten.

Stand: Mai 2025