Im Juni 2025 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine umfassende Orientierungshilfe zu den technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen veröffentlicht. Das Papier setzt neue Maßstäbe für Datenschutz und Datensicherheit im KI-Zeitalter und richtet sich insbesondere an Hersteller, Entwickler und Verantwortliche, die KI-Systeme datenschutzkonform gestalten und betreiben wollen.
Warum ist Datenschutz bei KI so wichtig?
KI-Systeme verarbeiten häufig große Mengen personenbezogener Daten – oft mit hohem Risiko für die betroffenen Personen. Die DSK betont daher, dass Datenschutz von Anfang an („data protection by design“) in die Entwicklung und Anwendung von KI-Systemen integriert werden muss. Ziel ist es, die Rechte und Freiheiten natürlicher Personen bestmöglich zu schützen.
Lebenszyklusphasen von KI-Systemen: Datenschutz von Anfang bis Ende
Die Orientierungshilfe unterscheidet vier zentrale Phasen im Lebenszyklus eines KI-Systems:
- Design: Auswahl und Dokumentation der Daten, erste Planung technischer und organisatorischer Schutzmaßnahmen.
- Entwicklung: Aufbereitung, Training und Validierung der KI-Modelle – hier ist besonders auf Datenminimierung, Integrität und Transparenz zu achten.
- Einführung: Softwareverteilung und Updates, inklusive datenschutzfreundlicher Voreinstellungen („data protection by default“).
- Betrieb und Monitoring: Kontinuierliche Überwachung, regelmäßige Prüfung der Ausgaben und Anpassung an neue Anforderungen.
Rechtliche Grundsätze und das Standard-Datenschutzmodell (SDM)
Die DSGVO-Grundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Sicherheit bilden die Basis der Orientierungshilfe. Das Standard-Datenschutzmodell (SDM) hilft dabei, diese Anforderungen in konkrete technische und organisatorische Maßnahmen zu übersetzen. Zu den zentralen Gewährleistungszielen zählen:
- Datenminimierung
- Verfügbarkeit
- Vertraulichkeit
- Integrität
- Intervenierbarkeit (z. B. Umsetzung von Betroffenenrechten)
- Transparenz
- Nichtverkettung (Vermeidung unerlaubter Datenverknüpfungen)
Empfohlene Maßnahmen für die Praxis
Die DSK gibt zahlreiche konkrete Empfehlungen, darunter:
- Sorgfältige Auswahl und Dokumentation der verwendeten Datenquellen
- Einsatz von Privacy-Preserving-Technologien wie Differential Privacy
- Klare Prozesse zur Umsetzung von Auskunfts-, Berichtigungs- und Löschrechten
- Regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden
- Monitoring und regelmäßige Überprüfung der KI-Systeme auf Risiken und Diskriminierungspotenziale
Die neue DSK-Orientierungshilfe ist ein wichtiger Leitfaden für alle, die KI-Systeme verantwortungsvoll einsetzen wollen. Sie bietet nicht nur rechtliche Klarheit, sondern auch praktische Hilfestellungen, um Datenschutz und Datensicherheit von Anfang an zu gewährleisten. Wer KI-Systeme entwickelt oder betreibt, sollte sich jetzt intensiv mit den Empfehlungen der DSK auseinandersetzen und die eigenen Prozesse entsprechend anpassen