KI und Datenschutz : Neues Papier ist Brückenschlag für die Praxis

Die Datenschutzgrundverordnung (DSGVO) umfasst 88 Seiten. Zusammen mit der neuen Verordnung für Künstliche Intelligenz (KI-Verordnung) ergibt sich ein Regelwerk von 232 Seiten, das die Zukunft der KI in Europa maßgeblich prägen wird. Entscheidend für die Praxis wird sein, wie diese beiden Gesetze zusammenspielen, denn es gibt deutliche Überlappungen. Das zeigt sich vor allem bei hochriskanten KI-Systemen: Die Gefahr, die von diesen für die Sicherheit und Grundrechte von Menschen ausgeht, hängt meist direkt mit der Verarbeitung personenbezogener Daten zusammen. Dies führt zu der Kernfrage: Wie genau wirken KI-Verordnung und Datenschutz zusammen – ergeben sich daraus nützliche Synergien?

Bridge Blueprint – Perspektivwechsel ermöglichen

Genau hier setzt das „Bridge Blueprint“-Papier an, das wir von der Hamburgischen Datenschutzbehörde zusammen mit Marit Hansen und Benjamin Walczack von der Datenschutzbehörde Schleswig-Holstein verfasst haben. Es beleuchtet die Wechselwirkung und zeigt auf, wie das Erfüllen der KI-Verordnung einen Mehrwert für die DSGVO-Konformität schafft. Das Papier schlägt eine Brücke für den Einsatz von KI-Systemen vor. Statt die Auswirkung der KI-Verordnung (VO) auf die DSGVO mit dem Gesetzeszitat „die DSGVO bleibt unberührt“ abzutun, füllen die konkreten, technischen Anforderungen der VO die abstrakten Vorgaben der DSGVO aus und machen sie anwendbar.

Datenminimierung wird oft als strikte Vorgabe „weniger Daten zu nutzen“ missverstanden. Doch die DSGVO gibt vor, dass alle für den Zweck erforderlichen Daten verarbeitet werden können. Abhängig davon, wie weit der Zweck reicht, kann damit auch eine sehr umfassende Datenverarbeitung vereinbar sein.

So auch im KI-Kontext: Die Datenverarbeitung zur Erfüllung von Sicherheitspflichten ist ein legitimer Zweck im Sinne der DSGVO. Er gebietet sogar, umfassend Daten zu verarbeiten. Verstärkt wird dies durch den Grundsatz der Datenrichtigkeit: Auch daraus kann sich die Verpflichtung ergeben, Einzelpersonen vor fehlerhaften Systemen zu schützen; wenn notwendig auch durch die Verarbeitung weiterer personenbezogener Daten.

Produktstandards beeinflussen DSGVO

Das führt direkt zur Frage der Rechtsgrundlage – jede personenbezogene Datenverarbeitung erfordert sie. In der Praxis ist für Unternehmen häufig das „berechtigte Interesse“ entscheidend. Bei KI-Systemen ist diese Rechtsgrundlage oftmals nicht leicht zu erfüllen. Der Grund: Die DSGVO fordert eine Abwägung mit den Erwartungen der Betroffenen im Einzelfall, was mit der umfangreichen Datenverarbeitung bei KI-Systemen kollidiert. Eine Einzelabwägung ist dabei schwierig umsetzbar.

Der Brückenschlag hier: Bürger:innen dürfen und müssen erwarten, dass geltende Produktstandards eingehalten werden. Verarbeitet ein Unternehmen also personenbezogene Daten zur Erfüllung von Pflichten nach der KI-VO (z.B. Risikomanagement), handelt es im Rahmen dieser Erwartung. So wird die Frage des „berechtigten Interesses“ von einer unsicheren Einzelfallabwägung auf ein stabiles Fundament gesetzt, das auf der Erfüllung europäischer Produktstandards gründet und den Grundsatz „Privacy by Design“ stärkt.

Umgang mit besonders sensiblen Daten

Die Krux liegt bei der Verarbeitung besonderer Datenkategorien, die im Datenschutzrecht besonders streng gehandhabt wird, etwa um Diskriminierungen vorzubeugen. Doch was, wenn die Datenverarbeitung gerade nötig ist, um Diskriminierungen entgegenzuwirken?

Beispiel Hautkrebs-Erkennung: Ein Hochrisikosystem muss so eingestellt werden können, dass die Erkennungsrate keine Benachteiligung im konkreten Anwendungsfall bedeutet, etwa wenn bestimmte Hauttypen nicht hinreichend im Trainingsdatensatz repräsentiert waren. Das erfordert eine Verarbeitung von besonders geschützten Daten, die nur ausnahmsweise erlaubt ist. Neben der oft untauglichen Einwilligung kann hier ein vom Gesetzgeber vorgegebenes „erhebliches öffentliche Interesse“ greifen – nämlich die in der KI-Verordnung festgelegten Maßnahmen zur Reduzierung von Diskriminierung.

KI-Transparenz als Chance

Bei derart leistungsfähigen Systemen rückt die Sorge vor Kontrollverlust in den Fokus. Die DSGVO erlaubt die automatisierte Einzelentscheidung über Menschen nur ausnahmsweise. Auch hier ist neben der Einwilligung die automatisierte Entscheidung zulässig, wenn Unionsrecht hierfür „geeignete Maßnahmen“ zum Schutz des Einzelnen vorsieht. Genau diese Maßnahmen definiert die KI-Verordnung: menschliche Aufsicht, robuste Systeme, Cybersicherheit und Transparenz.

So sorgen die Transparenzvorgaben der KI-VO für Verständlichkeit bei Entscheidungen und ermöglichen sie anzufechten. Ein Betroffener sollte etwa informiert werden, dass sein Wohnort maßgeblich dafür war, dass sein Kredit verweigert wurde. Somit kann er diese Entscheidung angreifen und fehlerhafte Annahmen des KI-Systems korrigieren lassen. Die KI-VO-Transparenz ermöglicht damit die Wahrnehmung der Datenschutzrechte.

Europas digitale Wettbewerbsfähigkeit entscheidet sich nicht allein durch die 232 Seiten von DSGVO und KI-Verordnung. Sie hängt vielmehr von der Fähigkeit ab, Innovation und Grundrechte als Einheit zu denken. Der hier skizzierte Brückenschlag ist eine Anregung für einen Perspektivwechsel. Er spricht sich am Beispiel der KI-Regulierung für einen ganzheitlichen Ansatz aus, um Wege für eine skalierbare, wertebasierte Innovation zu finden.

Der „Bridge Blueprint“ ist auf Deutsch und Englisch abrufbar. Die Fachöffentlichkeit ist eingeladen, Anmerkungen bis zum 15. November 2025 unter aibridge@datenschutz.hamburg.de einzureichen. Sie werden anschließend in die finale Version einfließen.

Thomas Fuchs ist Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI). Markus Wünschelbaum ist persönlicher Referent für Policy und Digitalstrategie beim HmbBfDI.