Die DSGVO bleibt als paralleles Regelwerk neben der KI-VO vollständig anwendbar. Dies betrifft insbesondere die Verarbeitung personenbezogener Daten beim Training und Einsatz von KI-Systemen. Im Folgenden werden die datenschutzrechtlichen Anforderungen und die Wechselwirkungen mit der KI-VO systematisch dargestellt. Ergänzt wird diese Darstellung durch aktuelle Erkenntnisse aus der Stellungnahme des Europäischen Datenschutzausschusses (EDPB) vom Dezember 2024. Der am 10.4.2025 und damit erst kurz vor Drucklegung veröffentlichte Bericht des Expertengremiums des EDPB zu LLMs wird ebenfalls noch kurz thematisiert.
1. Grundlegender Geltungsbereich der DSGVO
a) Parallelität von KI-VO und DSGVO
- Gem. Art. 2 Abs. 7 KI-VO bleibt die DSGVO uneingeschränkt anwendbar.
- ErwG 10 KI-VO stellt klar, dass die Verarbeitung personenbezogener Daten durch KI-Systeme die Prinzipien der DSGVO, wie Rechtmäßigkeit, Transparenz und Datenminimierung, einhalten muss.
b) Anwendungsbereich der DSGVO
- Materiell: Die DSGVO gilt bei der automatisierten Verarbeitung personenbezogener Daten, einschließlich des Trainings und der Nutzung von KI (Art. 2 DSGVO).
- Räumlich: Sie findet auch Anwendung auf nicht in der EU niedergelassene Anbieter, sofern sie Waren oder Dienstleistungen an EU-Bürger anbieten oder deren Verhalten beobachten (Art. 3 DSGVO).
c) Verarbeitung personenbezogener Daten in KI-Systemen
- Training: Personenbezogene Daten, die in Trainingsdatensätzen enthalten sind, unterliegen der DSGVO. Laut EDPB (Opinion 28/2024) können auch Parameter eines KI-Modells personenbezogene Daten indirekt enthüllen.
- Nutzung: Daten, die durch die Interaktion mit KI-Systemen generiert oder verarbeitet werden, wie Nutzereingaben oder Metadaten, müssen DSGVO-konform verarbeitet werden.
2. Datenschutzrechtliche Grundprinzipien
a) Transparenz und Rechtmäßigkeit
Verantwortliche müssen eine klare Rechtsgrundlage nach Art. 6 DSGVO nachweisen und betroffene Personen umfassend informieren (Art. 13 und 14 DSGVO).
b) Zweckbindung und Datenminimierung
- Daten dürfen nur für festgelegte und legitime Zwecke verarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO).
- Die Verarbeitung muss auf das notwendige Maß beschränkt werden (Art. 5 Abs. 1 lit. c DSGVO).
c) Speicherbegrenzung und Integrität
- Daten dürfen nur solange gespeichert werden, wie sie für den jeweiligen Zweck erforderlich sind (Art. 5 Abs. 1 lit. e DSGVO).
- Angemessene technische und organisatorische Maßnahmen müssen getroffen werden, um die Sicherheit der Daten zu gewährleisten (Art. 32 DSGVO).
3. Rechtsgrundlagen für die Datenverarbeitung
a) Rechtsgrundlagen für das Training von KI
- Einwilligung: Diese muss freiwillig, informiert und unmissverständlich erfolgen (Art. 6 Abs. 1 lit. a DSGVO).
- Berechtigtes Interesse: Laut EDPB eine häufig verwendete Grundlage (Art. 6 Abs. 1 lit. f DSGVO), insbesondere bei pseudonymisierten Daten. Die Interessenabwägung muss umfassend dokumentiert werden.
b) Besondere Kategorien personenbezogener Daten
- Art. 9 DSGVO erlaubt die Verarbeitung nur unter spezifischen Bedingungen, wie bei ausdrücklicher Einwilligung oder für Forschungszwecke.
- Art. 10 Abs. 5 KI-VO ergänzt dies für die Nutzung besonderer Datenkategorien zur Bias-Reduktion.
c) Automatisierte Entscheidungen
- Art. 22 DSGVO verbietet automatisierte Entscheidungen, die rechtliche Wirkungen entfalten, mit Ausnahmen für Einwilligungen oder gesetzliche Verpflichtungen.
- Das EuGH betont in seiner Entscheidung in der Rechtssache C‑203/22, dass betroffene Personen umfassend über die Logik solcher Entscheidungen informiert werden müssen.
4. Informations- und Betroffenenrechte
a) Informationspflichten
Verantwortliche müssen Betroffenen Informationen über die Verarbeitung bereitstellen, einschließlich Verarbeitungszweck, Empfänger und Rechte (Art. 13 und 14 DSGVO).
b) Rechte der Betroffenen
- Auskunft: Recht auf Informationen zu gespeicherten Daten (Art. 15 DSGVO).
- Berichtigung und Löschung: Daten müssen auf Verlangen berichtigt oder gelöscht werden, wenn der Verarbeitungszweck entfällt (Art. 16 und 17 DSGVO).
- Widerspruch: Verarbeitung kann bei berechtigtem Interesse abgelehnt werden (Art. 21 DSGVO).
Datenschutzorganisation
a) Technische und organisatorische Maßnahmen
- Verantwortliche müssen Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) sicherstellen (Art. 25 DSGVO).
- Dezentrale Trainingsmethoden wie Federated Learning reduzieren Datenschutzrisiken (ErwG 69 KI-VO).
b) Verzeichnis von Verarbeitungstätigkeiten
Verantwortliche und Auftragsverarbeiter müssen umfassende Dokumentationen zur Datenverarbeitung führen (Art. 30 DSGVO).
c) Datenschutz-Folgenabschätzung
Bei hohem Risiko für Rechte und Freiheiten ist eine Datenschutz-Folgenabschätzung notwendig (Art. 35 DSGVO).
d) Datenschutzbeauftragte
Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn sie regelmäßig besondere Datenkategorien verarbeiten oder systematische Überwachung durchführen (Art. 37 DSGVO).
6. Anforderungen an Datentransfers
a) Angemessenheitsbeschlüsse
Datenübertragungen sind ohne zusätzliche Garantien möglich, wenn ein Drittland ein angemessenes Datenschutzniveau bietet (Art. 45 DSGVO).
b) Standardvertragsklauseln und Garantien
Bei Transfers in Länder ohne Angemessenheitsbeschluss müssen Standardvertragsklauseln oder gleichwertige Garantien genutzt werden (Art. 46 DSGVO).
c) Ausnahmen für Einzelfälle
Datenübertragungen ohne Garantien sind nur unter engen Voraussetzungen zulässig (Art. 49 DSGVO).
7. Sanktionen und Schadensersatz
a) Sanktionen bei Verstoßen
Bei schweren Verstoßen drohen Bußgelder bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO).
b) Schadensersatzansprüche
Betroffene können Ersatz für materielle und immaterielle Schäden verlangen (Art. 82 DSGVO).
| Fazit und Herausforderungen Die DSGVO bildet die zentrale rechtliche Grundlage für die Verarbeitung personenbezogener Daten durch KI-Systeme. In Kombination mit der KI-VO und den aktuellen Leitlinien des EDPB werden hohe Anforderungen an Transparenz, Sicherheit und Datenschutzmanagement gestellt. Unternehmen sollten frühzeitig geeignete Maßnahmen ergreifen, um Compliance sicherzustellen und Risiken zu minimieren. |
8. Besonders relevant: Datenschutz und LLMs
Ein am 10.4.2025 veröffentlichter Bericht mit dem Titel „AI Privacy Risks & Mitigations Large Language Models (LLMs)“, herausgegeben im Rahmen des Support Pool of Experts Programme des Europäischen Datenschutzausschusses (EDPB), stellt eine umfassende Methodik für das Risikomanagement bei LLM-Systemen vor. Er beinhaltet praktische Maßnahmen zur Minderung gängiger Datenschutzrisiken und illustriert die Anwendung anhand von drei Anwendungsfällen (virtueller Assistent, System zur Lernfortschrittsüberwachung, Reise-/Terminplanungs-Assistent).
Dieser Bericht wurde erst am 10.4.2025 (aktualisiert März 2025, eingereicht Februar 2025) finalisiert und konnte daher für die vorliegende Schnellübersicht nicht mehr ausgewertet werden. Da die Rechts- und Technikentwicklung im Bereich KI sehr dynamisch ist, sollten Rechtsanwender die weiteren Entwicklungen aufmerksam verfolgen.
Besonders relevant für Anwender aus der Rechtsberatung sind jedenfalls folgende Aspekte des Berichts:
- Datenflüsse und Datenschutzrisiken je nach LLM-Servicemodell: Der Bericht analysiert unterschiedliche Bereitstellungsmodelle (z.B. LLM as a Service, Off-the-Shelf, Eigenentwicklung) und die damit verbundenen spezifischen Datenflüsse und Datenschutzrisiken. Dies ist relevant für die Beratung bei der Auswahl, Beschaffung oder Entwicklung von LLM-Systemen.
- Rollenverteilung nach KI-Verordnung und DSGVO: Ein eigener Abschnitt widmet sich der Zuordnung der Rollen (Anbieter, Bereitsteller nach KI-VO; Verantwortlicher, Auftragsverarbeiter nach DSGVO) je nach Servicemodell. Dies hat direkte Implikationen für die vertragliche Gestaltung, Haftungsfragen und die Zuweisung von Compliance-Pflichten.
- Methodik zur Risikobewertung: Der Bericht stellt Kriterien zur Identifizierung, Einschätzung (Wahrscheinlichkeit, Schweregrad) und Bewertung von Datenschutzrisiken vor. Das Verständnis dieser Methodik kann bei der Erstellung oder Prüfung von Datenschutz-Folgenabschätzungen (DSFA) gem. Art. 35 DSGVO und der Bewertung von Grundrechtsauswirkungen (FRIA nach Art. 27 KI-VO) unterstützen.
- Konkrete Datenschutzrisiken und Bezug zur DSGVO: Der Bericht listet spezifische Datenschutzrisiken im Zusammenhang mit LLMs auf und ordnet diese potenziellen Verstößen gegen DSGVO-Artikel zu (z.B. unrechtmäßige Verarbeitung, Verletzung von Betroffenenrechten, Speicherbegrenzung, Datensicherheit, Zweckbindung). Dies bietet eine Grundlage für die rechtliche Risikobewertung.
- Maßnahmen zur Risikominderung (Mitigation Measures): Es werden konkrete technische und organisatorische Maßnahmen zur Risikobehandlung vorgeschlagen. Diese sind relevant für die Beratung zur Umsetzung der Anforderungen aus Art. 25 DSGVO (Datenschutz durch Technikgestaltung) und Art. 32 DSGVO (Sicherheit der Verarbeitung) DSGVO. Beispiele umfassen Anonymisierung, Verschlüsselung, Zugriffskontrollen, Umgang mit Betroffenenrechten (insb. Löschung/Recht auf Vergessenwerden durch „Machine Unlearning“), Consent Management und Web Scraping Compliance.
- Diskussion übergreifender Rechtsprinzipien: Der Bericht thematisiert auch die Einhaltung grundlegender DSGVO-Prinzipien wie Rechtmäßigkeit, Fairness und Transparenz im Kontext von LLMs sowie Risiken durch Urheberrechtsverletzungen, übermäßige Abhängigkeit (Overreliance) und Manipulation.
Dieser Bericht scheint somit eine wertvolle Ressource für die datenschutzrechtliche Bewertung und das Risikomanagement beim Einsatz von LLM-Systemen zu sein, insbesondere im Hinblick auf die komplexen Verantwortlichkeiten nach DSGVO und KI-Verordnung.
Ein Auszug aus der eBroschüre: Alexander Schmalenberger, Schnellübersicht zur Umsetzung der KI-Verordnung, 1. Auflage, 2025, Rdn. 164-185.
Die eBroschüre finden Sie ebenfalls in unserer Onlinebibliothek Anwaltspraxis Wissen.
