Klick Web Unna

Klick Web Unna

Datenschutz und KI: Neue Orientierungshilfe der DSK für 2025

Klick Web 30. Juni 2025
    30. Juni 2025

Datenschutz und KI: Neue Orientierungshilfe der DSK für 2025

Im Juni 2025 hat die Datenschutzkonferenz (DSK), der Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, eine aktualisierte Orientierungshilfe veröffentlicht. Diese gibt konkrete Empfehlungen, wie Unternehmen und Entwickler ihre KI-Projekte datenschutzkonform gestalten können – von der Planung bis zum laufenden Betrieb.

Was behandelt die neue Orientierungshilfe?

Die Publikation mit dem Titel „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“ richtet sich primär an Entwickler und Hersteller von KI-Lösungen. Ziel ist es, technische und organisatorische Maßnahmen (TOM) aufzuzeigen, die für einen DSGVO-konformen Umgang mit personenbezogenen Daten erforderlich sind. Grundlage hierfür ist das sogenannte Standard-Datenschutzmodell (SDM), das dabei hilft, die rechtlichen Anforderungen in praktische Umsetzungsschritte zu übersetzen.

Ergänzend empfiehlt sich ein Blick in die DSK-Veröffentlichung „Künstliche Intelligenz und Datenschutz“, die weiterführende rechtliche Aspekte wie Zweckbindung, Betroffenenrechte oder Datenschutz-Folgenabschätzung vertieft.

Was ist das Standard-Datenschutzmodell (SDM)?

Das SDM ist ein Werkzeug der deutschen Aufsichtsbehörden, mit dem sich die Datenschutzgrundsätze der DSGVO in konkrete Maßnahmen überführen lassen. Es definiert sieben grundlegende Schutzziele – etwa Datenminimierung, Transparenz oder Verfügbarkeit – und zeigt, wie diese Ziele in verschiedenen Phasen eines KI-Projekts umgesetzt werden können.

Vier Phasen, sieben Schutzziele

Die DSK unterteilt KI-Projekte in vier zentrale Phasen:

  1. Planung und Design

  2. Entwicklung und Training

  3. Einführung (Rollout)

  4. Betrieb und Monitoring

Für jede Phase gibt die Orientierungshilfe konkrete Hinweise, wie sich die sieben Datenschutz-Ziele realisieren lassen:

  • Datenminimierung: Nur so viele Daten wie nötig verwenden

  • Verfügbarkeit: Systeme und Daten müssen zuverlässig funktionieren

  • Vertraulichkeit: Schutz vor unbefugtem Zugriff

  • Integrität: Manipulationen vermeiden

  • Intervenierbarkeit: Betroffenenrechte technisch ermöglichen

  • Transparenz: Nachvollziehbarkeit gewährleisten

  • Nichtverkettung: Zweckbindung der Daten sicherstellen

Planung: Datenschutz beginnt mit der Idee

Bereits in der Entwurfsphase sollten Unternehmen klären, welchen Zweck das KI-System erfüllt und welche Daten dafür notwendig sind. Die Herkunft, Art und Nutzung der Daten sollten transparent dokumentiert werden – zum Beispiel in Form eines sogenannten "Datasheets". Ebenso wichtig: Frühzeitig Mechanismen einplanen, um später etwa Löschanfragen umsetzen zu können.

Entwicklung: Effizient und verantwortungsbewusst mit Daten umgehen

In der Entwicklungsphase steht das Training der KI im Fokus. Hier gilt das Prinzip der Datenminimierung: Es dürfen nur solche Daten verwendet werden, die für das Training notwendig sind. Gleichzeitig ist auf Fairness und Fehlerfreiheit zu achten – das bedeutet auch, Diskriminierungspotenziale zu identifizieren und zu vermeiden. Verarbeitungsprozesse müssen dokumentiert und Schutzmaßnahmen implementiert werden, um sensible oder fehlerhafte Daten auszuschließen. Auch eine nachträgliche Entfernung von Daten aus Modellen sollte möglich sein.

Einführung: Datenschutzfreundliche Grundeinstellungen

Vor dem Live-Betrieb sollten KI-Systeme datenschutzfreundlich vorkonfiguriert sein. Trainingsdaten, wenn notwendig, müssen geschützt und auf ein Minimum reduziert werden. Logging- und Filterfunktionen sind so zu gestalten, dass sie den Datenschutz automatisch berücksichtigen, ohne dass zusätzliche manuelle Eingriffe nötig sind.

Betrieb: Überwachung und Anpassung als Daueraufgabe

Im laufenden Betrieb müssen Qualität und Funktionsweise des KI-Systems regelmäßig überprüft werden. Ändern sich die Rahmenbedingungen – etwa durch neue Datenquellen oder gesetzliche Vorgaben – muss das System entsprechend angepasst werden. Zugleich müssen die Rechte der Nutzer technisch durchsetzbar bleiben. Schutzmechanismen gegen sogenannte Modellinversionsangriffe – also das Auslesen von Trainingsdaten aus einem Modell – sind ebenfalls Bestandteil der Empfehlungen. Hierzu zählen z. B. Zugangsbeschränkungen oder lokale Ausführung von Modellen beim Nutzer.

Fazit: Datenschutz als integraler Bestandteil jedes KI-Projekts

Die neue Orientierungshilfe der DSK unterstreicht: Datenschutz darf nicht erst im Nachhinein berücksichtigt werden, sondern sollte integraler Bestandteil jedes KI-Projekts sein. Wer frühzeitig plant, sorgsam mit Daten umgeht und Transparenz schafft, stellt nicht nur die Einhaltung gesetzlicher Anforderungen sicher – sondern gewinnt auch das Vertrauen von Kunden, Nutzern und Mitarbeitenden.

Bildrechte: kostenloses Bild von Pixabay: Ai Künstliche Intelligenz - Kostenloses Bild auf Pixabay
Inhaltslizenz: Inhaltslizenz - Pixabay