Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Denis Lehmkemper, hat dem Niedersächsischen Landtag einen umfassenden Bericht zum datenschutzkonformen Einsatz von Künstlicher Intelligenz (KI) übermittelt. Die Analyse basiert auf einem KI-Expertendialog. Der Bericht enthält konkrete Empfehlungen an den Landesgesetzgeber und die Landesregierung, um den KI-Einsatz in Niedersachsen grundrechtskonform, transparent und verantwortungsvoll zu gestalten.
LfD Niedersachsen legt umfassenden KI-Bericht vor
Der von Denis Lehmkemper übermittelte Bericht fasst die Ergebnisse eines Expertendialogs zusammen und formuliert konkrete Empfehlungen an den Landesgesetzgeber sowie die Landesregierung. Lehmkemper betont in einer Pressemitteilung, dass KI in Unternehmen, Verwaltungen, Schulen und Hochschulen längst Realität ist und somit klare politische und rechtliche Rahmenbedingungen notwendig sind, um den Einsatz in Niedersachsen datenschutzkonform und grundrechtsfreundlich zu gestalten. Der LfD Niedersachsen befasst sich bereits seit Ende 2023, verstärkt durch die Veröffentlichung von generativen KI-Systemen wie ChatGPT, intensiv mit dem Thema KI und hat hierzu eine Stabsstelle eingerichtet sowie sich an Forschungsprojekten beteiligt.
Herausforderungen im Spannungsfeld von KI-VO und DSGVO
Die europäische KI-Verordnung ist seit dem 1. August 2024 in Kraft. Die DSGVO greift bei der Verarbeitung personenbezogener Daten vollumfänglich. Dennoch ergeben sich zahlreiche datenschutzrechtliche Fragestellungen, da die DSGVO aus einer Zeit stammt, als KI noch weitgehend unbekannt war. Die Expertengespräche haben den Forschungs- und Entwicklungsbedarf für datenschutzkonforme KI verdeutlicht. Insbesondere wurde diskutiert, dass für KI-Modelle sehr große Datenmengen benötigt werden und trotz technischer Möglichkeiten eine vollständige Anonymisierung insbesondere bei unstrukturierten Datensätzen kaum erreichbar sei. Dadurch bestehe ein erhebliches Risiko der Deanonymisierung. Die Nutzung synthetischer Daten kann zwar den Umfang personenbezogener Daten reduzieren, ihre Eignung als adäquater Ersatz für Realdaten ist jedoch vom Anwendungsbereich und Herstellungsprozess abhängig und erfordert weitere Forschung.
Datenschutzrisiken durch KI-Output und Halluzinationen
Ein weiteres zentrales Thema des Berichts ist der Output von KI-Systemen. KI-Systeme können sogenannte Halluzinationen erzeugen. Das sind Outputs, bei denen sie überzeugende, aber objektiv falsche Ergebnisse liefern. Halluzinationen können dabei auch personenbezogene Daten enthalten, obwohl das Datenschutzrecht die Richtigkeit dieser Daten fordert. Die Korrektur und Löschung solcher Fehler stellt bislang eine ungelöste Herausforderung dar. Der Expertenbericht kommt zu dem Ergebnis, dass eine gezielte Löschung einzelner Parameter aus neuronalen Netzen wie denen von Large Language Modellen (LLMs) aktuell nicht möglich sei. Techniken wie Finetuning können jedoch dazu eingesetzt werden, den Output bezüglich der Ausgabe personenbezogener oder unrichtiger Daten zu optimieren. Auch die Entwicklung von KI-Parametern, die die Zufälligkeit der Antworten beeinflussen, sowie verbesserte Filtersysteme könnten die Datenschutzkonformität des Outputs erhöhen.
Regelungsbedarf für KI-spezifischen Datenschutz
Die Experten sind sich einig, dass ein rechtlicher Regelungsbedarf für KI-spezifische Datenschutzvorschriften besteht. Die Auslegung der DSGVO stoße an ihre Grenzen. Es wird betont, dass primär der europäische Gesetzgeber in der Verantwortung stehe. Bund und Länder sollten aber die bestehenden Regelungsspielräume der DSGVO nutzen sollten, insbesondere für den öffentlichen Bereich. Die wichtigsten Regelungsbedarfe umfassen datenschutzrechtliche Regelungen für das Training von KI-Modellen mit personenbezogenen Daten. Darüber hinaus die Konkretisierung von Informationspflichten sowie des Rechts auf Auskunft und Löschung in Bezug auf KI-Systeme.
Gesetzgebung und Begleitmaßnahmen
Die landespolitischen Forderungen des Berichts umfassen zum einen die Empfehlung an den Landesgesetzgeber, Rechtsgrundlagen für das Training von KI-Modellen mit personenbezogenen Daten für öffentliche Stellen zu schaffen und klare gesetzliche Regelungen zum KI-Einsatz in der Landesverwaltung zu erlassen. Zum anderen werden der Landesregierung begleitende Maßnahmen vorgeschlagen. Dazu zählt die aktive Begleitung der KI-Implementierung in der niedersächsischen Verwaltung durch Rahmenbedingungen und Standardisierungen oder die Förderung der KI-Forschung zur Gewährleistung von Transparenz und der Umsetzung von Löschungsrechten. Auch empfiehlt Lehmkemper die verstärkte Unterstützung von Unternehmen, insbesondere KMU, bei der KI-Implementierung. Der LfD Niedersachsen unterstreicht, dass Datenschutz von Anfang an in die KI-Entwicklung einfließen muss, um spätere Defizite zu vermeiden.
Fazit
Ob es – wie vom LfD Niedersachsen gefordert – zu gezielten Anpassungen der DSGVO für KI-Systeme kommt, bleibt abzuwarten. Fest steht jedoch: Bereits heute müssen Unternehmen die Grundsätze und Pflichten der DSGVO mit der technologischen Entwicklung und neuen Regelwerken wie KI-VO, Data Act und weiterer Digitalgesetzgebung in eine stringente KI-Compliance überführen. Wer frühzeitig handelt, minimiert rechtliche Risiken, stärkt das Vertrauen von Kunden und Partnern und sichert sich einen Vorsprung in einem zunehmend regulierten Markt.
Zentrale Erfolgsfaktoren sind klare Verantwortlichkeiten, kontinuierliche Risikoanalysen und gelebte Datenschutzkultur. Ein Baustein kann die Benennung eines spezialisierten „KI-Beauftragten“ sein. Diese Fachperson übernimmt eine Schlüsselrolle in der Umsetzung von KI-Compliance: Sie bewertet Risiken, begleitet die Einführung neuer KI-Tools, sorgt für die Schulung der Mitarbeitenden im Umgang mit KI-Systemen und stellt sicher, dass ethische und rechtliche Anforderungen durchgängig eingehalten werden.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
