Die neuen Leitlinien der Datenschutzkonferenz (DSK) stellen klare Anforderungen für die Entwicklung und den Betrieb von KI-Systemen auf, um Datenschutzrisiken zu minimieren. Unternehmen sind gefordert, datenrechtliche Standards langfristig zu implementieren und Verantwortung zu übernehmen.
In einer Zeit, in der Künstliche Intelligenz (KI) zunehmend zur Anwendung kommt, steigen die datenschutzrechtlichen Herausforderungen signifikant. Die DSK hat im Juni 2025 Leitlinien herausgegeben, die konkrete und verbindliche Anforderungen an technische und organisatorische Maßnahmen darstellen, um den Datenschutz während des gesamten Lebenszyklus eines KI-Systems sicherzustellen. Diese Entscheidung hat weitreichende Implikationen für Unternehmen aller Größen, insbesondere in Bezug auf Verantwortlichkeiten und Haftung.
Datenschutzanforderungen im gesamten Lebenszyklus von KI-Systemen
Die neuen DSK-Leitlinien bringen einen strukturierten Ansatz, der die datenschutzrechtlichen Anforderungen entlang des gesamten Lebenszyklus eines KI-Systems betrachtet. Diese Anforderungen sind in sieben Gewährleistungsziele unterteilt: Datenminimierung, Transparenz, Vertraulichkeit, Integrität, Verfügbarkeit, Intervenierbarkeit und Nichtverkettung. Ein zentraler Aspekt ist die Dokumentation aller Schritte, von der initialen Konzeption über die Datenaufbereitung und Modellierung bis hin zur Einführung und dem Betrieb der Systeme.
Besonderheiten in der Designphase
Die datenschutzrechtliche Bewertung beginnt bereits in der Designphase. Unternehmen müssen sicherstellen, dass der Verarbeitungszweck klar definiert und eine rechtliche Grundlage vorhanden ist. Es wird empfohlen, standardisierte Verfahren wie „Datasheets for Datasets“ zu nutzen, um alle relevanten Informationen systematisch zu dokumentieren. Der Fokus auf Datenminimierung erfordert eine kritische Prüfung jeder Informationsquelle, um sicherzustellen, dass nur die notwendigen Daten für den angestrebten Zweck verarbeitet werden. Der Einsatz anonymisierter oder synthetisch generierter Daten sollte geprüft werden, um Risiken für die Persönlichkeitsrechte zu minimieren.
Entwicklungsphase – Datenschutz im Fokus
In der Entwicklungsphase erfolgt die tatsächliche Verarbeitung der Trainingsdaten und ist daher datenschutzrechtlich besonders sensibel. Die DSK fordert eine strikte Ausrichtung an dem festgelegten Verarbeitungszweck, wobei alle Transformationen und organisatorischen Zuordnungen transparent dokumentiert werden müssen. Unnötige personenbezogene Merkmale sind zu entfernen, und es sollten klare Rahmenbedingungen für die Modellvalidierung und -qualität definiert werden.
Einführung und Betrieb von KI-Systemen
Die Überführung eines KI-Systems in die Produktivumgebung bringt neue datenschutzrechtliche Verantwortlichkeiten mit sich. Alle Einsatzentscheidungen müssen transparent dokumentiert werden. Die Festlegung von Datenschutzstandards sowie die Prinzipien der datenschutzfreundlichen Voreinstellung sind von entscheidender Bedeutung, um die Rechte der Betroffenen von Anfang an zu schützen. Betreiber von KI-Systemen sind gefordert, kontinuierlich die konformitätsgerechte Nutzung zu überprüfen und bei Veränderungen im Betriebsablauf schnelle Anpassungen vorzunehmen.
Risiken und geschäftliche Relevanz
Die DSK-Leitlinien klären nicht nur über rechtliche Anforderungen auf; sie zeigen auch, wie wichtig eine ganzheitliche Betrachtung der IT-Sicherheit ist. Unternehmen müssen Sicherheitsstrategien regelmäßig anpassen und weiterentwickeln, um gegen neue Bedrohungen gewappnet zu sein. Die Verantwortung kein Datenleck oder -verlust zuzusehen, hat sowohl wirtschaftliche als auch reputationsschädigende Auswirkungen. Ein proaktives Management durch regelmäßige Sicherheitschecks und eine klare Definition von Standards sind daher unerlässlich.
Zusammenfassung der DSK-Leitlinien
Die DSK-Leitlinien verdeutlichen die datenschutzrechtlichen Anforderungen im Zusammenhang mit der Entwicklung und dem Betrieb von KI-Systemen. Unternehmen, die Künstliche Intelligenz einsetzen, müssen sich ständigen Prüfungen und Anpassungen unterziehen. Die Sicherstellung von Transparenz, Datenminimierung und Intervenierbarkeit ist für den Erfolg unerlässlich und schützt nicht nur die Rechte der Betroffenen, sondern auch die eigene Unternehmensintegrität.
Um die Herausforderungen im Bereich IT-Sicherheit effektiv anzugehen, sind regelmäßige Sicherheitsüberprüfungen und die Anpassung der Sicherheitsstrategien entscheidend. Unternehmen sollten IT-Sicherheit als strategische Aufgabe betrachten und präventive Maßnahmen zur Verhinderung von Datenverlusten und Cyberangriffen implementieren. Es ist unverzichtbar, dass die Geschäftsführung sich aktiv mit diesen Themen auseinandersetzt, um wirtschaftliche Schäden zu vermeiden und das Vertrauen der Kunden zu sichern.
Rufen Sie uns an
Bei Fragen zur Implementierung der DSK-Leitlinien und zur Sicherstellung Ihrer Datenorganisation ist Tulos der kompetente Partner. Besuchen Sie unsere Seite für weiterführende Informationen zu:
Datenschutz, Informationssicherheit und externe Datenschutzbeauftragte.
