Die Integration von Künstlicher Intelligenz (KI) in Unternehmensprozesse birgt enorme Chancen für Innovation und Effizienz. Gleichzeitig stellt sie Unternehmen vor komplexe Herausforderungen im Bereich des Datenschutzes. Um hier Klarheit und Sicherheit zu schaffen, hat der Digitalverband Bitkom einen umfassenden Praxisleitfaden „Künstliche Intelligenz & Datenschutz“ veröffentlicht.
Dieser Leitfaden, federführend erstellt von Mitgliedern des Bitkom-Arbeitskreises Datenschutz, darunter Experten von Kanzleien und Großunternehmen, dient als wertvolles Nachschlagewerk für Datenschutzbeauftragte, IT- und Compliance-Verantwortliche sowie Entwickler und Anwender von KI-Systemen. Er bietet praxisnahe Anleitungen, um die datenschutzkonforme Nutzung und Implementierung von KI-Technologien sicherzustellen und die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DS-GVO) und anderen relevanten Vorschriften zu gewährleisten.
Vorschläge geeigneter organisatorischer Maßnahmen
Der Bitkom-Leitfaden beleuchtet detailliert die datenschutzrechtlichen Anforderungen und ethischen Überlegungen bei der Nutzung von KI. Insbesondere betont er die Bedeutung geeigneter organisatorischer Maßnahmen, die Unternehmen unabhängig von der konkreten KI-Anwendung implementieren können. Im Folgenden geben wir einen Überblick welche Auffassung Bitkom auf interne KI-Richtlinien, Schulungen oder Datenschutz-Folgenabschätzungen hat. Darüber hinaus gehen wir detailliert auf die Ausführungen zur Meldung von Datenschutzvorfällen und der rechtmäßigen Verarbeitung personenbezogener Daten für das KI-Training ein.
Interne KI-Richtlinien als Fundament
Bitkom empfiehlt Unternehmen als Grundstein klare, interne Richtlinien zur Nutzung von (generativer) KI zu etablieren, um datenschutzrechtliche Anforderungen zuverlässig zu erfüllen. Dazu zählen Vorgaben zur rechtmäßigen und zweckgebundenen Verarbeitung personenbezogener Daten, zur Anonymisierung oder Pseudonymisierung sowie zur Eingrenzung von Datenverarbeitung auf das notwendige Maß. Ergänzt durch detaillierte Standards ermöglichen solche Richtlinien flexible Anpassungen und enthalten idealerweise Regelungen zu Zuständigkeiten, Transparenz, Genehmigungen und Sanktionen.
Darüber hinaus sieht Bitkom verbindliche Verhaltensregeln für die Nutzung von KI als entscheidend an. Insbesondere für die Eingabe und Weiterverwendung personenbezogener Daten. Besondere Kategorien sensibler Daten sollten ausdrücklich adressiert und ihre Eingabe klar geregelt werden, etwa über Nutzungsbedingungen oder einen unternehmensweiten Verhaltenskodex.
Der KINAST „KI-Beauftragte“
Ihre Lösung für rechtssichere KI-Compliance
Sensibilisierung und Schulung der Beschäftigten
Eine weitere essenzielle organisatorische Maßnahme liegt, wie der Bitkom-Leitfaden bestätigt, in der Sensibilisierung und Schulung der Beschäftigten. Mitarbeiter sollten durch Schulungen und Informationsmaterial dabei unterstützt werden, ihre Eingaben in KI-Anwendungen möglichst datensparsam zu gestalten. Zudem ist eine Sensibilisierung für die Risiken der Nutzung von allgemein verfügbaren Online-KI-Anwendungen notwendig. Insbesondere wenn keine gesonderten vertraglichen Vereinbarungen bezüglich Vertraulichkeit und Zweckbindung mit den Anbietern bestehen. Es ist entscheidend, dass Mitarbeiter die relevanten Regelungen kennen und anwenden können. Ein ausreichendes Maß an KI-Kompetenz fordert nicht zuletzt auch Artikel 4 der KI-Verordnung.
Datenschutz-Folgenabschätzung und Grundrechte-Folgenabschätzung
Nach Auffassung von Bitkom ist bei der Verwendung von KI-Systemen und -Modellen in der Regel eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO erforderlich. Dies gilt insbesondere dann, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht – etwa durch automatisierte Entscheidungen, Profiling oder fehlende Transparenz hinsichtlich der Datenverarbeitung. Die Entscheidung für oder gegen die Durchführung einer DSFA muss stets nachvollziehbar dokumentiert werden.
Zusätzlich zur DSFA sieht die neue KI-Verordnung der EU für Hochrisiko-KI-Systeme eine eigenständige Grundrechte-Folgenabschätzung (FRIA) vor. Diese umfasst weitergehende Prüfungen zur Vereinbarkeit mit Grundrechten, insbesondere auch hinsichtlich der Auswirkungen auf marginalisierte oder schutzbedürftige Personengruppen. Beide Prüfverfahren – DSFA und FRIA – können sich inhaltlich überschneiden, sind aber rechtlich getrennt zu betrachten und verpflichtend durchzuführen.
Die Datenschutzkonferenz (DSK) hat eine verbindliche Liste („Muss-Liste“) veröffentlicht, die konkrete Verarbeitungstätigkeiten nennt, für die zwingend eine DSFA vorzunehmen ist. Diese Liste nennt explizit den Einsatz von Künstlicher Intelligenz zur Bewertung persönlicher Aspekte oder zur Interaktion mit betroffenen Personen – etwa im Kontext von KI-gestütztem Kundensupport oder bei der automatisierten Analyse von Gesprächsinhalten.
Bitkom betont, dass insbesondere Unternehmen, die KI-basierte Produkte Dritter nutzen, dennoch selbst für die Durchführung einer DSFA verantwortlich sein können – trotz mangelnder Transparenz hinsichtlich der eingesetzten Algorithmen oder Datenverarbeitungslogiken. In der Praxis kann die Umsetzung einer DSFA drei bis sechs Monate dauern, abhängig von der Komplexität des Projekts. Vor dem Start der Verarbeitung personenbezogener Daten sollte daher ausreichend Zeit für Planung und Durchführung eingeplant werden.
Meldung von Datenschutzvorfällen bei KI-Anwendungen
Laut Bitkom unterscheidet sich der Prozess zur Behandlung von Datenschutzvorfällen beim Einsatz von KI grundsätzlich nicht vom allgemeinen Vorgehen nach Art. 33 und 34 DSGVO. Dennoch ergeben sich durch die spezifischen Eigenheiten von KI-Systemen besondere Herausforderungen. So liegt ein besonderes Augenmerk auf der schnellen und fundierten Analyse, da die 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde für Verantwortliche – und die Pflicht zur unverzüglichen Benachrichtigung bei hohem Risiko für die Betroffenen – auch bei KI-Vorfällen gilt. Bitkom benennt typische Anwendungsfälle, etwa unbeabsichtigte Datenoffenbarungen durch fehlerhafte KI-Funktionen, KI-gestützte Cyberangriffe oder diskriminierende Entscheidungen durch automatisierte Prozesse.
Als zentrale Herausforderungen identifiziert Bitkom dabei die mangelnde Transparenz vieler KI-Systeme, die unzureichende Nachvollziehbarkeit bei der Fehleranalyse, sowie unklare Verantwortlichkeiten bei komplexen Auftragsverarbeitungsverhältnissen. Hinzu kommt die begrenzte praktische Erfahrung vieler Unternehmen mit Datenschutzverletzungen im KI-Kontext sowie unterschiedliche Positionierungen der Datenschutzaufsichtsbehörden. Bitkom empfiehlt daher, Verantwortlichkeiten frühzeitig zu klären, KI-Integrationsarten präzise zu dokumentieren, technische und organisatorische Maßnahmen (z. B. Privacy by Design, Verschlüsselung, sichere Speicherung) konsequent umzusetzen und vertragliche Regelungen bei KI-Einkauf genau zu prüfen. Bei Unsicherheiten kann ein schrittweises Meldeverfahren nach Art. 33 Abs. 4 DSGVO genutzt werden, wenn noch nicht alle Informationen vorliegen.
Der „KI-Beauftragte“ – Ihre Lösung für rechtssichere KI-Compliance
Welche Rechtsgrundlagen gelten für KI-Trainingsdaten?
Bitkom betont, dass die rechtmäßige Verarbeitung personenbezogener Daten für das Training von KI-Modellen eine gültige Rechtsgrundlage voraussetzt – ein zentraler Schritt zur DSGVO-Konformität. In der Praxis kommen grundsätzlich drei Optionen in Betracht: die informierte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und die Verarbeitung auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Am relevantesten in der Unternehmenspraxis ist laut Bitkom die das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Diese erfordert jedoch eine detaillierte Prüfung: Das Trainingsinteresse muss legitim und erforderlich sein, und es dürfen keine überwiegenden schutzwürdigen Interessen der betroffenen Personen entgegenstehen. Aspekte wie Datenart, Verarbeitungsdauer und Transparenz spielen hierbei eine zentrale Rolle.
Dabei strukturiert sie die Prüfung dieser Rechtsgrundlage anhand eines dreistufigen Tests, der sich inhaltlich dem „Drei-Stufen-Test“ der Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zu KI-Modellen ähnelt.
1. Zweck-Test (berechtigtes Interesse)
Im ersten Schritt – dem sogenannten Zweck-Test – muss ein berechtigtes Interesse vorliegen. Bitkom sieht dieses etwa in wirtschaftlichen oder technischen Zielsetzungen wie der Verbesserung der Leistungsfähigkeit, der Sicherheit, der Nutzbarkeit oder der Vermarktbarkeit von KI-Systemen. Auch Effizienzsteigerungen in Geschäftsprozessen können ein legitimes Interesse darstellen. Diese Herangehensweise ist weit gefasst, bewegt sich jedoch im Rahmen dessen, was der EDSA unter einem konkreten, spezifischen und legitimen Zweck versteht. Bitkom folgt also dem grundsätzlichen Anspruch des EDSA, erweitert jedoch die Bandbreite der als legitim anerkannten Interessen um praxisnahe Aspekte aus Wirtschaft und Technologie.
2. Erforderlichkeitsprüfung
Die zweite Stufe betrifft die Erforderlichkeitsprüfung. Hierbei ist laut Bitkom zu prüfen, ob die Datenverarbeitung notwendig ist, um das angestrebte Interesse zu verwirklichen. Aus Sicht der Bitkom liegt Erforderlichkeit dann vor, wenn keine realistischen, weniger eingreifenden Alternativen bestehen, die gleichwertig wirksam, effizient oder wirtschaftlich wären. Dabei weist sie auf den Gestaltungsspielraum des Verantwortlichen hin – insbesondere im Hinblick auf die Tatsache, dass der Betrieb oder das Training von KI-Systemen häufig auf personenbezogene Daten angewiesen ist. Dieses Verständnis deckt sich mit dem EDSA-Kriterium der „strikten Notwendigkeit“, wird aber bei Bitkom stärker an der technischen Unvermeidbarkeit der Datenverarbeitung im KI-Kontext argumentativ ausgerichtet.
3. Abwägungsprüfung
Die dritte Stufe bildet die Interessenabwägung. Bitkom betont, dass die Interessen, Rechte und Freiheiten der betroffenen Personen mit den berechtigten Interessen des Verantwortlichen sorgfältig gegeneinander abgewogen werden müssen. Dabei nennt sie eine Vielzahl von Kriterien, die der EDSA ebenfalls für entscheidend hält: etwa Art, Menge und Quelle der Daten, die Dauer und Häufigkeit der Verarbeitung, die Anzahl der beteiligten Verarbeiter, die Sicherheitsmaßnahmen sowie die vernünftigen Erwartungen der betroffenen Personen. Zudem stellt Bitkom auf die faktische Erwartbarkeit der Datenverarbeitung ab – beispielsweise durch die breite öffentliche Verfügbarkeit von Daten im Internet oder die Bekanntheit von Datennutzungen für KI-Zwecke. Dadurch könne es nachvollziehbar sein, dass Betroffene mit einer Verarbeitung rechnen müssen. Auch Maßnahmen wie Datenminimierung, Anonymisierung oder Pseudonymisierung werden als Mittel zur Reduktion der Eingriffsintensität genannt.
Insgesamt folgt Bitkom dem Prüfungsrahmen des EDSA formal, betont jedoch stärker praxisnahe, technologiegetriebene Erwägungen. Die Position ist industriefreundlich, bleibt aber nicht ohne Anforderungen. Eine substanzielle, dokumentierte Auseinandersetzung mit den betroffenen Interessen sowie flankierende Schutzmaßnahmen werden ausdrücklich gefordert. Die Einhaltung der Vorgaben des Art. 9 DSGVO für besondere Datenkategorien bleibt davon unberührt – hier kann Art. 6 Abs. 1 lit. f DSGVO allein keine ausreichende Grundlage bilden.
KI in der Praxis: Anwendungsbeispiele & Checkliste
Anhand anschaulicher Praxisbeispiele – etwa dem Einsatz von KI zur Entwicklung autonomer Fahrfunktionen in der Automobilindustrie – zeigt der Bitkom-Leitfaden, wie sich rechtliche Anforderungen wie Datenminimierung und Datenschutz-Folgenabschätzungen mit den technologischen Erfordernissen vereinbaren lassen. Er verdeutlicht dabei, dass auch sensible Daten verarbeitet werden dürfen, wenn ein übergeordnetes öffentliches Interesse – etwa die Erhöhung der Verkehrssicherheit – besteht.
Gleichzeitig bleibt der Leitfaden in dynamischen Themenfeldern wie dem Training eigener KI-Modelle bewusst zurückhaltend, verweist aber auf eine kontinuierliche Weiterentwicklung. Ergänzend liefert eine detaillierte Checkliste konkrete Handlungsanleitungen zu Datenschutzprinzipien, Dokumentationspflichten und technischen Schutzmaßnahmen – sowohl für die Nutzung bestehender KI-Systeme als auch für eigene Entwicklungen. Damit positioniert sich der Leitfaden als Wegweiser für eine verantwortungsvolle und rechtskonforme KI-Nutzung im Unternehmensalltag.
Kontinuierliche Überprüfung
Bitkom appelliert an Unternehmen, umgesetzte technische und organisatorische Maßnahmen (TOM) kontinuierlich zu überprüfen und gegebenenfalls anzupassen. Nur so kann aktuellen Risiken und technologischen Entwicklungen Rechnung getragen werden. Der Umfang und die Auswahl der TOM bemisst sich stets an den mit dem konkreten Anwendungsfall verbundenen Risiken und Umständen.
Fazit
Der Bitkom-Leitfaden „KI & Datenschutz“ macht deutlich, dass die datenschutzkonforme Nutzung von KI eine ganzheitliche und proaktive Herangehensweise erfordert. Die frühzeitige Implementierung robuster organisatorischer Maßnahmen, gepaart mit einer fundierten rechtlichen Bewertung und kontinuierlicher Überprüfung, ist nicht nur eine gesetzliche Pflicht, sondern auch entscheidend, um Vertrauen bei Nutzern und Stakeholdern aufzubauen und die vielfältigen Vorteile der KI verantwortungsbewusst zu nutzen. Unternehmen sollten daher nicht zögern, diese Empfehlungen in ihre KI-Strategien zu integrieren und dabei gegebenenfalls externe rechtliche Expertise hinzuzuziehen.
Ob Sie eine KI selbst trainieren, anbieten oder nutzen wollen – unsere spezialisierten KI-Beauftragten bei KINAST begleiten Sie. Rechtssicher, strategisch und praxisnah.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
