Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Thomas Fuchs hat gemeinsam mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD SH) kürzlich den Entwurf des Diskussionspapiers „The Bridge Blueprint“ veröffentlicht. Das Diskussionspapier versteht sich als Impuls für einen breiten Dialog in Wirtschaft, Zivilgesellschaft und Anwaltschaft. Es zielt darauf ab, eine Brücke zwischen der Datenschutz-Grundverordnung (DSGVO) und der KI-Verordnung (KI-VO) zu schlagen, indem es die abstrakten Prinzipien der DSGVO durch die konkreten technischen Anforderungen der KI-VO praktikabel und anwendbar macht.
Die Notwendigkeit eines Brückenschlags
Zentraler Ansatz des „Bridge Blueprint“ ist die Überwindung der Rechtsunsicherheit, die in der europäischen KI-Debatte häufig als Gegensatz zwischen Grundrechtsschutz und Innovation wahrgenommen wird. Diese Unsicherheit resultiert weniger aus Defiziten der DSGVO als vielmehr aus fehlenden Leitplanken für deren Umsetzung im KI-Kontext. Das Papier versteht die DSGVO daher als „Brückenrecht“, das Prinzipien mit fachrechtlichen Vorgaben verbindet und damit eine Basis für wertegeleitete KI-Innovation schafft. Besonders relevant ist dies beim Einsatz von KI-Systemen, wo die Risiken für Grundrechte unmittelbar zutage treten.
Zentrale Problemfelder
Dabei adressiere das Papier des HmbBfDI mehrere zentrale Problemfelder in der praktischen Anwendung der DSGVO im KI-Kontext.
Datenschutzgrundsätze als Qualitätsauftrag
Ein häufiges Missverständnis sei die Auffassung, Datenschutzgrundsätze wie Datenminimierung und Datenrichtigkeit seien Innovationshemmnisse. Das Papier argumentiert jedoch, dass diese Grundsätze vielmehr einen Auftrag zur Qualität und Sicherheit beim Einsatz von KI-Systemen darstellten. So könne die Verarbeitung umfangreicher Datensätze zur Minderung diskriminierender Ergebnisse eine positive Rechtspflicht sein, um Fairness und Datenintegrität zu gewährleisten. Der Grundsatz „Datenschutz durch Technikgestaltung“ (Art. 25 DSGVO) werde durch die spezifischen Design-Anforderungen der KI-Verordnung für Hochrisiko-KI-Systeme weiter gestärkt, sodass Datenschutz von Beginn an in die Architektur von KI-Systemen integriert werde.
Verlässliche Rechtsgrundlagen für den KI-Einsatz
Die Unsicherheit bezüglich der passenden Rechtsgrundlage, insbesondere für die Verarbeitung sensibler Daten, wird im Papier als Hauptursache für Stagnation identifiziert. Eine zu enge Auslegung der DSGVO könnte paradoxerweise die notwendigen Schritte zur Gewährleistung von Sicherheit und Fairness von KI-Systemen verhindern. Das Papier plädiert für einen klaren, verlässlichen Standard, indem es das berechtigte Interesse (Art. 6 DSGVO) eng mit den vernünftigen Erwartungen der betroffenen Personen verknüpfe, die durch die Vorgaben der KI-Verordnung geprägt werden. Dies schaffe eine Rechtsgrundlage für Datenverarbeitungen, die zur Validierung von Qualitäts- und Risikomanagementsystemen erforderlich sei. Auch die Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) wird neu bewertet.
Das Papier argumentiert, dass ein „erhebliches öffentliches Interesse“ an der Verarbeitung sensibler Daten bestehen könne, um gesellschaftliche Verzerrungen (Bias) in KI-Systemen zu identifizieren und zu korrigieren, die sonst zu Diskriminierung führen könnten. Dies sei nicht allein im kommerziellen Eigeninteresse der Verantwortlichen, sondern erfülle ein erhebliches öffentliches Interesse an Sicherheitsmaßnahmen.
Automatisierte Entscheidungen und Betroffenenrechte
Der Einsatz von KI-Systemen berge die Gefahr von „Computer-sagt-nein“-Szenarien ohne ausreichende Transparenz oder Rechtsbehelfe. Grundsätzlich schafft die KI-Verordnung hier Abhilfe, indem sie geeignete Schutzmaßnahmen regelt wie beispielsweise verpflichtende menschliche Aufsicht. Statt menschenähnliche Erklärungen von „Blackbox“-Modellen zu fordern, plädiere das Papier für eine transparente und nachvollziehbare Kette des gesamten Entscheidungsprozesses auf Systemebene, um Betroffenenrechte wirksam durchzusetzen, da direkte Eingriffe auf Modellebene technisch oft nicht verlässlich oder machbar seien.
Die Datenschutz-Folgenabschätzung als strategisches Instrument
Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO solle nach dem HmbBfDI nicht als bloße Compliance-Hürde verstanden werden. Im Kontext von KI setze sie die dargelegten Ansätze operativ um und diene als strategisches Instrument zur Bewertung kontextueller und atypischer Risiken sowie gesellschaftlicher und individueller Schäden. Dazu gehörten Fehlinformationen, Deepfakes, Manipulationen und die unbeabsichtigte Preisgabe von Trainingsdaten oder früheren Nutzereingaben. Eine DSFA müsse das effektive Management dieser Risiken für die betroffenen Personen dokumentieren und nicht nur abstrakte Gefahren benennen.
Einordnung
Das Diskussionspapier reiht sich in Veröffentlichungen von DSK, EDSA, LfD Niedersachsen und Bitkom ein. Im Unterschied zu einer restriktiven Linie des EDSA beim „berechtigten Interesse“ kann der Blueprint stärker der Position des Bitkom eingeordnet werden, der für eine pragmatische Auslegung plädiert. So könne die Erfüllung von KI-VO-Pflichten selbst ein berechtigtes Interesse begründen. Zugleich lasse sich über das erhebliche öffentliche Interesse eine legitime Basis für die Verarbeitung sensibler Daten schaffen. Diese Sichtweise teilt der Bitkom, der zudem vor Innovationshemmnissen durch eine zu enge Rechtsauslegung warnt. Der LfD Niedersachsen betont ähnlich wie der Blueprint die frühzeitige Integration von Datenschutz in KI-Systeme, verweist aber auf praktische Hürden wie unvollständige Anonymisierung oder Halluzinationen. Auch diese Risiken greift der Blueprint auf, indem er systemische Probleme wie Datenrichtigkeit und Fehloutputs adressiert.
Fazit
Der „Bridge Blueprint“ versteht sich als konsistenter Vorschlag, die fragmentierte Debatte zwischen Datenschutz und KI-Regulierung zusammenzuführen. Insgesamt setzt der HmbBfDI einen wertvollen Impuls für die Harmonisierung von DSGVO und KI-VO, bleibt jedoch in Teilen abstrakt. Ob die vorgeschlagenen Brückenschläge tatsächlich die gewünschte Rechts- und Planungssicherheit schaffen, hängt maßgeblich von der Rezeption durch den Gesetzgeber, weitere Aufsichtsbehörden und Gerichte ab. Schließlich wird das Diskussionspapier den Konflikt zwischen Innovationsförderung und strengen Datenschutzvorgaben letztlich nicht vollständig auflösen können.
Ihnen fällt es schwer, den Brückenschlag bei Ihrem KI-Projekt zu meistern? Oder haben Sie konkrete Fragen zur datenschutzkonformen Nutzung eines KI-Tools? Unsere Experten unterstützen in allen Fragen mit fundierter datenschutzrechtlicher Expertise und praxisorientierter KI-Beratung.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
