Schutz oder Risiko: Wie Sie Ihre KI-Projekte DSGVO-konform gestalten können

1. Juli 2025

Neueste Empfehlung der Datenschutzkonferenz zur DSGVO-Konformität bei KI-Projekten

Im Juni 2025 hat die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzbehörden, eine Orientierungshilfe veröffentlicht, die Unternehmen und Entwickler anleitet, wie sie die Datenschutz-Grundverordnung (DSGVO) bei KI-Projekten einhalten können. Diese Richtlinien zeigen, wie Datenschutzpflichten in jeder Phase eines KI-Projekts angewendet werden – von der Planung bis zum Betrieb.

Der Fokus der neuen Orientierungshilfe

Die „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“ richtet sich hauptsächlich an Entwickler und Hersteller von KI-Lösungen. Ziel ist es, von Anfang an datenschutzkonforme KI-Projekte zu gestalten. Im Mittelpunkt stehen technische und organisatorische Maßnahmen (TOM), die den Schutz von Daten gewährleisten. Basierend auf dem Standard-Datenschutzmodell (SDM) der Datenschutzkonferenz werden abstrakte DSGVO-Anforderungen in greifbare Schritte umgewandelt.

Was beinhaltet das Standard-Datenschutzmodell?

Das Standard-Datenschutzmodell (SDM) ist ein Instrument der Datenschutzbehörden, das die Prinzipien der DSGVO in verständliche und anwendbare Schritte übersetzt. Es identifiziert sieben zentrale Datenschutzziele, wie Datenminimierung und Transparenz, und bietet Anleitungen, wie diese in jeder Phase eines Projekts umgesetzt werden können.

Vier Phasen der KI-Projektentwicklung und ihre Datenschutzanforderungen

Jedes KI-Projekt besteht laut der DSK aus vier Phasen: Design (Planung und Datenwahl), Entwicklung (KI-Training und -Test), Einführung (Roll-out und Konfiguration) sowie Betrieb und Monitoring (laufende Nutzung und Überwachung).

Die Designphase: Der Start mit klaren Datenschutzregeln

Bereits in der Planungsphase eines KI-Systems ist es entscheidend, den Verwendungszweck der KI sowie die benötigten Daten zu definieren. Die Rechtsgrundlagen der Datenerhebung müssen festgelegt und dokumentiert werden, idealerweise in einem „Datasheet“, das die Herkunft und den Zweck der Daten beschreibt. Bereits zu diesem Zeitpunkt sollte bedacht werden, wie zusätzliche Anfragen von Betroffenen, wie Löschanfragen, gehandhabt werden können.

Die Entwicklungsphase: Minimierung und Kontrolle

In der Entwicklungsphase werden die Daten zum Trainieren der KI aufbereitet. Es gilt, nur notwendige Daten zu verwenden und sämtliche Verarbeitungsschritte sorgfältig zu dokumentieren. Modelle müssen auf Fehler und Diskriminierung geprüft werden, während Schutzmechanismen gegen sensible oder falsche Daten implementiert werden. Ebenso muss sichergestellt sein, dass Informationen, die korrigiert oder gelöscht werden müssen, aus dem Modell und Datensatz entfernt werden können.

Datenschutzerwägungen in der Einführungs- und Betriebsphase

Vor der Inbetriebnahme eines KI-Systems liegt der Fokus auf datenschutzfreundlichen Einstellungen. KI-Modelle sollten ohne unnötige Daten in den Betrieb gehen. Wenn dies nicht möglich ist, müssen die Daten verschlüsselt und beschränkt sein. Einstellungen wie Protokollierungen sollten den Datenschutz ohne nachträgliche Anpassungen gewährleisten.

Betrieb und Monitoring: Einhaltung und Anpassung

Im laufenden Betrieb ist die regelmäßige Überwachung der KI-Qualität essenziell. Bei Änderungen der Datenlage, neuen Rechtsvorschriften oder unvorhergesehenen Fehlern muss schnell gehandelt werden können. Die Rechte der Betroffenen, zum Beispiel auf Auskunft oder Löschung, müssen jederzeit technisch realisierbar sein. Zusätzlich sind Schutzmaßnahmen gegen Angriffe, die die Extraktion von Trainingsdaten aus dem Modell zum Ziel haben, notwendig, wie z. B. Zugriffsbeschränkungen oder die Ausführung der KI beim Nutzer.

Diese Orientierungshilfe verdeutlicht, dass Datenschutz ein zentraler Baustein jedes KI-Projekts ist. Wer von Beginn an umfassend dokumentiert, Daten sparsam verwendet, und dauerhaft für Transparenz sorgt, erfüllt nicht nur die behördlichen Anforderungen, sondern gewinnt auch das Vertrauen der Kunden und Mitarbeiter.

Benötigen Sie Unterstützung bei der Umsetzung dieser Vorgaben? Kontaktieren Sie uns gerne. Unser Team steht Ihnen mit Rat und Tat zur Seite!

Letzte Beiträge

Abstrakte Darstellung von Natural Language Processing mit digitalen Schlüsseln und Algorithmen

Die geheimen Schlüssel zur Sprache: Entdecken Sie die faszinierende Welt des Natural Language Processing

18. April 2026

Person am Schreibtisch prüft Laptop-Daten zur Nutzung von Auskunfts- und Löschrechten nach der DSGVO.

Entfesseln Sie Ihre Datenrechte: So meistern Sie Auskunfts- und Löschbegehren nach der DSGVO

16. April 2026

Kundenservicemitarbeiter mit Headset nutzt KI-unterstützte Live-Transkription am Computer.

Wie KI-gestützte Live-Transkription Ihren Kundenservice revolutionieren kann – ohne Datenschutzrisiken

13. April 2026

Abstrakte Darstellung von KI-Prompts mit Symbolen für Datenschutz.

Die unsichtbaren Gefahren von KI-Prompts: Schützen Sie Ihr Unternehmen vor unerwarteten Datenschutzrisiken

9. April 2026

Kontaktieren Sie uns

Nehmen Sie Kontakt mit uns auf!

Sind Sie bereit, den Datenschutz in Ihrem Unternehmen auf das nächste Level zu heben? Lassen Sie uns gemeinsam Ihre Daten schützen und Ihre rechtliche Sicherheit gewährleisten. Kontaktieren Sie uns noch heute für eine unverbindliche Beratung!