Einleitung – Orientierung in einer dynamischen Technologielandschaft
Künstliche Intelligenz (KI) verändert nicht nur Geschäftsmodelle, sondern auch Prozesse, Entscheidungsstrukturen und das Verhältnis zwischen Mensch und Maschine. Mit der rasanten Verbreitung von KI-Systemen – insbesondere durch generative Modelle wie Chatbots oder Sprachgeneratoren – rücken Fragen des Datenschutzes immer stärker in den Fokus. Unternehmen, Entwickler:innen und Behörden stehen vor der Herausforderung, innovative Systeme rechtskonform und verantwortungsvoll zu gestalten.
Die im Juni 2025 veröffentlichte Orientierungshilfe der Datenschutzkonferenz (DSK) setzt genau hier an: Sie bietet eine strukturierte, praxisnahe Anleitung für die datenschutzkonforme Umsetzung von KI-Systemen – vom ersten Konzept bis zum laufenden Betrieb.
Die sieben Datenschutz-Ziele als konstanter MaĂźstab
Zentrale Grundlage der neuen Orientierungshilfe ist das sogenannte Standard-Datenschutzmodell (SDM), das sieben grundlegende Ziele definiert, die ĂĽber den gesamten Lebenszyklus eines KI-Systems hinweg berĂĽcksichtigt werden mĂĽssen:
- Datenminimierung
- Vertraulichkeit
- Integrität
- VerfĂĽgbarkeit
- Transparenz
- Intervenierbarkeit
- Nichtverkettung
Diese Ziele konkretisieren die Anforderungen der DSGVO und helfen, technische und organisatorische Maßnahmen nicht nur formal zu erfüllen, sondern in der praktischen Umsetzung sinnvoll auszurichten. Sie dienen als Kompass für jede Phase eines KI-Projekts – unabhängig davon, ob es sich um ein einfaches Klassifikationsmodell oder ein komplexes generatives System handelt.
Phase 1: Konzeption – Datenschutz von Anfang an mitdenken
Bereits in der Planungsphase empfiehlt die DSK, den konkreten Zweck des KI-Einsatzes festzulegen und zu prüfen, auf welcher Rechtsgrundlage personenbezogene Daten verarbeitet werden dürfen. Mechanismen zur Auskunft, Korrektur oder Löschung sollten frühzeitig mitgedacht werden. Der bewusste Einsatz von anonymisierten, pseudonymisierten oder synthetischen Daten kann das Risiko für Betroffene deutlich verringern und die Rechtskonformität stärken.
Phase 2: Entwicklung – Technik gestalten, Risiken minimieren
In der technischen Umsetzungsphase liegt der Schwerpunkt auf der datenschutzfreundlichen Architektur des KI-Systems. Neben der Auswahl geeigneter und zulässiger Trainingsdaten empfiehlt die DSK den Einsatz innovativer Verfahren wie Bias-Analysen, differenzielle Privatsphäre oder federated learning. Ziel ist es, potenzielle Diskriminierungen zu erkennen, zu minimieren und gleichzeitig Datenschutzprinzipien wie Privacy by Design effektiv umzusetzen.
Phase 3: Einführung – Prozesse regeln, Verantwortung klären
Vor dem produktiven Einsatz eines KI-Systems sollten Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA)durchführen – insbesondere, wenn sensible Daten verarbeitet werden oder automatisierte Entscheidungen getroffen werden. Ebenso entscheidend sind klar definierte Zuständigkeiten, interne Leitlinien und die Schulung der Mitarbeitenden. Datenschutz wird so nicht zur einmaligen Pflicht, sondern zur gelebten Praxis.
Phase 4: Betrieb & Monitoring – Überwachung schafft Vertrauen
Im laufenden Betrieb muss ein KI-System kontinuierlich überprüft und weiterentwickelt werden. Die DSK betont die Bedeutung von Monitoring-Strukturen, die etwa Fehlklassifikationen, Verzerrungen oder Halluzinationen frühzeitig erkennen. Auch Schutzmaßnahmen gegen gezielte Angriffe – wie sogenannte Evasion-Attacken – sollten etabliert werden. Ein besonderes Augenmerk liegt auf der dauerhaften Sicherstellung von Transparenz und Interventionsmöglichkeiten für betroffene Personen.
Fazit – Ein praktischer Rahmen für verantwortungsvolle KI
Mit ihrer neuen Orientierungshilfe bietet die DSK einen durchdachten, praxisnahen Rahmen für die datenschutzkonforme Gestaltung und Nutzung von KI-Systemen. Der phasenbasierte Aufbau erlaubt es Organisationen, Datenschutz systematisch und proaktiv in alle Projektabschnitte zu integrieren – nicht als Hemmnis, sondern als Qualitätsmerkmal.
Wer KI entwickeln oder einsetzen will, findet in diesem Dokument eine verlässliche Grundlage, um rechtliche Anforderungen mit technischer Innovation in Einklang zu bringen – heute und im Hinblick auf kommende Regulierungen wie die EU-KI-Verordnung.
Kommen Sie bei Fragen dazu gerne auf uns zu – wir stehen Ihnen für weitergehende Informationen und Unterstützung zur Verfügung.
Folgende Beiträge könnten Sie auch interessieren:
- NIS2-Umsetzungsgesetz Verzögert Sich – Handlungsbedarf Für Unternehmen Bleibt Bestehen
- Barrierefreiheit Wird Pflicht – Was Das Barrierefreiheitsstärkungsgesetz (BFSG) Für Datenschutz Und Digitale Angebote Bedeutet
- Cyber Resilience Act – Neue Anforderungen Für Die Informationssicherheit In Europa