DSK veröffentlicht Orientierungshilfe für datenschutzkonformen KI‑Einsatz
Die Datenschutzkonferenz (DSK) hat im Mai 2025 die erste innerhalb der DSK abgestimmte Orientierungshilfe zum Einsatz künstlicher Intelligenz im Einklang mit der DS-GVO vorgestellt. Sie dient Verantwortlichen in Behörden und Unternehmen als Checkliste entlang der drei Phasen: Konzeption und Auswahl, Implementierung sowie Nutzung von KI-Systemen.
Zentral ist dabei die Analyse von Risiken für Betroffenenrechte, insbesondere bei Large Language Models (LLMs) wie ChatGPT. Diese KI-Anwendungen unterliegen der DS-GVO, da selbst pseudonymisierte Eingaben häufig als personenbezogen gelten. Vor dem Einsatz müssen Einsatzzwecke klar definiert, datenschutzrechtliche Prüfungen durchgeführt und geeignete Rechtsgrundlagen hergeleitet werden, beispielsweise für automatisierte Entscheidungen nach Art. 22 DS-GVO.
In der Implementierungsphase empfiehlt die DSK klare Verantwortlichkeiten, interne Leitlinien, Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DS-GVO sowie Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default). Sensibilisierung von Beschäftigten und transparente Dokumentation der Datenverarbeitung sind verbindlich vorgesehen.
Während der Nutzung sind besondere Vorsichtsmaßnahmen bei der Eingabe personenbezogener Daten geboten – insbesondere solche besonderer Kategorien. Zudem müssen Ausgaben auf Richtigkeit geprüft und auf mögliche Diskriminierung kontrolliert werden. Die DSK betont, dass unrichtige Ergebnisse zu unzulässigen Datenverarbeitungen führen können und regulatorisch unmittelbar korrigierbar sein müssen, zum Beispiel durch Fine-Tuning.
Die Orientierungshilfe wurde von der DSK-Taskforce KI und dem 2024 gegründeten Arbeitskreis KI erarbeitet, der technische und rechtliche Expertise bündelt. Die Behörden zeigen sich bereit, in ihrer Funktion als Aufsichts- und Marktüberwachungsinstanzen gemäß der EU‑KI-Verordnung aktiv zu werden.
Die Veröffentlichung adressiert damit nicht nur unmittelbare Anforderungen der KI-Verordnung und der DS-GVO, sondern legt auch den Grundstein für eine datenmanagementbasierte Governance unter Beteiligung der Datenschutzbeauftragten und Betriebsräte. Die Orientierungshilfe versteht sich als lebendes Dokument, das künftig fortgeschrieben und an technologische Entwicklungen angepasst wird .
(Foto: nateejindakum – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
