Am 11. November 2025 hat der Europäische Datenschutzbeauftragte (EDPS) die Guidance for Risk Management of Artificial Intelligence Systems veröffentlicht, die praktische Empfehlungen zur Identifikation, Bewertung und Minderung technischer Risiken bei der Nutzung von künstlicher Intelligenz bietet. Diese Guidance richtet sich in erster Linie an EU‑Institutionen, Körperschaften, Ämter und Agenturen (EUIs), die als verantwortliche Stellen KI‑gestützte Systeme entwickeln, beschaffen oder einsetzen. Sie verfolgt das Ziel, Risiken nicht nur für personenbezogene Daten, sondern auch für grundlegende Rechte und Freiheiten systematisch zu adressieren und Datenverantwortliche bei der rechtskonformen Steuerung und Überwachung von KI‑Prozessen zu unterstützen. Die Veröffentlichung erfolgt in Ausübung der datenschutzrechtlichen Aufsichtskompetenz des EDPS und steht in engem methodischen Zusammenhang mit etablierten Risikomanagementstandards wie der ISO 31000:2018, ist jedoch rechtlich eigenständig und unabhängig von anderen europäischen Regelwerken wie dem EU AI Act.
Zielsetzung und Adressaten
Die Guidance dient als praktischer Leitfaden zur Integration von Risikoüberlegungen in den gesamten Lebenszyklus von KI‑Systemen, beginnend bei der Planung und Entwicklung über die Beschaffung und Implementierung bis hin zu Betrieb, Monitoring und Außerdienststellung. Der EDPS betont, dass der dokumentierte und wiederholbare Umgang mit Risiken als Grundlage für verantwortlichen KI‑Einsatz verstanden werden muss, um systematische Risiken für personenbezogene Daten und fundamentale Rechte frühzeitig zu erkennen und zu begrenzen. Während die Zielgruppe zunächst auf EU‑Institutionen und ‑Einrichtungen begrenzt ist, unterstreicht der EDPS zugleich, dass die darin beschriebenen Prinzipien und Maßnahmen auch für andere öffentliche Stellen und private Organisationen von hoher Relevanz sind, die KI‑Systeme entwickeln oder einsetzen.
Aufbau und Inhalte der Guidance
Die Guidance setzt auf ein strukturiertes Risikomanagement, das sich an anerkannten Standards orientiert und die Besonderheiten der KI‑Technologie berücksichtigt. Zunächst wird ein Rahmenwerk beschrieben, das Risikoidentifikation, Risikobewertung und Risikobehandlung systematisch in den Entscheidungsprozess einbindet. Dabei wird der gesamte Lebenszyklus der KI‑Systeme in den Blick genommen, sodass bereits in der Design‑ und Planungsphase potenzielle Risiken analysiert und geeignete Maßnahmen zur Minderung vorgesehen werden. Dies gilt gleichermaßen für die Phasen der Entwicklung und Implementierung wie für die fortlaufende Überwachung und regelmäßige Neubewertung im operativen Einsatz. Besonders hervorgehoben wird die Bedeutung der interpretierbaren und erklärbaren KI, da mangelnde Transparenz von Modellen systematisch zu Fehlbewertungen, Diskriminierungen oder unvorhergesehenen Entscheidungen führen kann und damit nicht nur datenschutzrechtliche, sondern auch rechtliche und ethische Risiken begründet.
Ein zentraler Bestandteil der Guidance ist die Verknüpfung klassischer Datenschutzprinzipien mit technischen Risikobetrachtungen. Hierzu zählen Fairness, die auf die Vermeidung von Verzerrungen und Diskriminierung abzielt, sowie Genauigkeit und Datenminimierung, die sowohl die Qualität der genutzten Daten als auch die Zweckbindung und den Umfang der Datenverarbeitung betreffen. Sicherheit und Integrität der Datenverarbeitung werden als integrale Elemente des Risikomanagements dargestellt, wobei Maßnahmen zur Verhinderung von Datenlecks, unbefugtem Zugriff oder Fehlfunktionen von Systemen beschrieben werden. Zugleich wird auf die Bedeutung eines dokumentierten Monitorings im laufenden Betrieb hingewiesen, das es ermöglicht, Risiken kontinuierlich zu bewerten und technische wie organisatorische Gegenmaßnahmen fortlaufend anzupassen.
Integration in bestehende Rechtsrahmen und Governance-Strukturen
Die Guidance wird als ergänzendes Instrument verstanden, das die Anforderungen des geltenden Datenschutzrechts – insbesondere der Verordnung (EU) 2018/1725 – praktikabel umsetzt, ohne dem EU AI Act vorgreifend zu sein. Der EDPS betont, dass sie keinen Ersatz für rechtliche Verpflichtungen darstellt, sondern eine systematische Herangehensweise zur Unterstützung der Verantwortlichen bietet, um den umfangreichen datenschutzrechtlichen Anforderungen gerecht zu werden. In diesem Zusammenhang ist zu beachten, dass die Guidance nicht als abschließende Checkliste für Konformität verstanden werden sollte, sondern als strukturierter Ansatz, der an die spezifischen Umgebungen, Risiken und Einsatzszenarien von KI‑Systemen angepasst werden muss, da jede Verarbeitungssituation eigene Herausforderungen und rechtliche Implikationen mit sich bringt.
Praktische Umsetzung in Organisationen
Für Organisationen, die KI‑Systeme einsetzen, bedeutet die Anwendung der Guidance, Risiken nicht als isolierte technische Probleme zu betrachten, sondern als integralen Bestandteil von Governance und Compliance. In der Praxis erfordert dies eine enge Zusammenarbeit zwischen Datenschutz‑, IT‑Sicherheits‑, Entwicklungs‑ und Compliance‑Teams, um bereits in frühen Phasen der Systemgestaltung Risiken zu identifizieren, dokumentierte Bewertungen durchzuführen und technische sowie organisatorische Gegenmaßnahmen zu implementieren. Entscheidend ist dabei, dass Risikoanalysen nicht punktuell, sondern iterativ über den gesamten Lebenszyklus eines Systems erfolgen, um auch nach der Einführung weiterhin angemessen auf Veränderungen in Funktionsumfang, Datenqualität oder regulatorischen Anforderungen reagieren zu können. Ein Beispiel für eine strukturierte Implementierung besteht darin, bereits bei der Ausschreibung oder Beschaffung von KI‑Lösungen sicherzustellen, dass Anbieter geeignete Risikoanalysen und Nachweise zur datenschutzgerechten Gestaltung vorlegen, und diese in vertragliche Anforderungen zu integrieren. Dies schafft eine Grundlage für Transparenz und Verantwortlichkeit über die gesamte Nutzungsdauer hinweg.
Fazit
Die neue EDPS‑Guidance zur Risikosteuerung von KI‑Systemen bietet einen klaren und methodisch fundierten Rahmen, um die Herausforderungen datenschutzbezogener Risiken systematisch zu adressieren. Sie erweitert das Risikomanagement klassischer Datenschutz‑Compliance um technische Perspektiven, die für KI‑basierte Systeme charakteristisch sind, und legt den Fokus auf Transparenz, Fairness, Sicherheit und Nachvollziehbarkeit der Systeme. Indem sie bewährte Risikomanagementstandards mit den Anforderungen des europäischen Datenschutzrechts verknüpft, schafft die Guidance eine praktische Grundlage, auf der EU‑Institutionen und andere verantwortliche Organisationen ihre Strategien und Prozesse zur KI‑Governance weiterentwickeln und anpassen können. Letztlich stärkt sie die Fähigkeit von Organisationen, den zunehmenden regulatorischen und gesellschaftlichen Erwartungen an verantwortungsvollen, rechtssicheren KI‑Einsatz gerecht zu werden.
Bei Fragen zu Risiken und Nebenwirkungen – fragen Sie …
Folgende Beiträge könnten Sie auch interessieren: