BBfDI: Häufige Fehler beim KI-Einsatz in Unternehmen

11. Juni 2025

BBfDI warnt: Häufige Fehler beim KI-Einsatz in UnternehmenDer Einsatz von Künstlicher Intelligenz (KI) verspricht Effizienzsteigerungen und neue Geschäftsmodelle, birgt aber auch erhebliche datenschutzrechtliche Herausforderungen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BBfDI) hat in ihrem Newsletter 2/2025 erste Erkenntnisse aus laufenden Prüfverfahren zum Einsatz von KI-Anwendungen geteilt. Die BBfDI zeigt häufige Fehler beim KI-Einsatz in Unternehmen.

Die zentralen Fokusbereiche der BBfDI

Die BBfDI konzentriert sich in ihren Prüfverfahren auf zwei wesentliche Fragen, die beim Einsatz von KI-Systemen und der damit oft einhergehenden Verarbeitung großer Mengen personenbezogener Daten auftreten:

1. Die Rechtsgrundlage für die Datenverarbeitung:

Welche gesetzliche Grundlage wird herangezogen, um die Verarbeitung personenbezogener Daten im Kontext der KI-Nutzung zu legitimieren? Die BBfDI stellt fest, dass sich viele Unternehmen auf das berechtigte Interesse nach Art. 6 Abs. 1 Satz 1 lit. f der Datenschutz-Grundverordnung (DSGVO) stützen (so auch Meta oder eBay). Diese Rechtsgrundlage erfordert jedoch eine sorgfältige Abwägung: Die Verarbeitung muss zur Wahrung der berechtigten Interessen des Verantwortlichen oder Dritter erforderlich sein, und diese Interessen dürfen nicht durch die schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.

2. Die Transparenz gegenüber den Betroffenen:

Zum Anderen prüft die BBfDI, ob die betroffenen Personen über die Entwicklung oder den Einsatz der KI und die damit verbundene Datenverarbeitung informiert werden. Die BBfDI beobachtet, dass viele Unternehmen die Betroffenen bisher gar nicht oder nur unzureichend informieren. Als Beispiel werden KI-Chatbots auf Websites genannt, bei denen entsprechende Informationen fehlen.

Konsequenzen mangelnder Transparenz

Der Verstoß gegen die Informationspflichten nach Art. 13 bzw. Art. 14 DSGVO kann sich unmittelbar auf die Rechtmäßigkeit der gesamten Datenverarbeitung auswirken. Insbesondere wenn sich Verantwortliche auf das berechtigte Interesse als Rechtsgrundlage berufen. Dann geht die BBfDI davon aus, dass die Verarbeitung unzulässig ist, wenn die betroffenen Personen nicht einmal über das berechtigte Interesse informiert werden. Sie stützt sich dabei auf Urteile des Europäischen Gerichtshofs.

Beispiele aus laufenden Prüfverfahren

Um die Probleme zu veranschaulichen, nennt die BBfDI Beispiele aus ihren laufenden Prüfverfahren. Bei einem KI-basierten Forderungsmanagement wurde beispielsweise geprüft, ob die behauptete Anonymisierung von Schuldnerdaten zum Trainieren der KI-Modelle tatsächlich zur Anonymität führt. Im Fokus stand dabei auch die Profilbildung einzelner Schuldner und die Frage einer möglicherweise unzulässigen automatisierten Entscheidung über gerichtliche Schritte.

In zwei weiteren Verfahren geht es um Plattformen, die personenbezogene Inhalte wie Fotos oder Kundendialoge ohne ausreichende Information der Betroffenen zum Training von KI-Systemen nutzten. Diese Prüfverfahren dauern derzeit noch an. Weitere Details und Beispiele werden voraussichtlich im Jahresbericht 2024 der BBfDI veröffentlicht.

Relevanz für Datenschutzbeauftragte

Die Veröffentlichung dieser Erkenntnisse durch den Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) unterstreicht die hohe Relevanz dieser Themen für  Datenschutzbeauftragte (DSB). Die rasanten Entwicklungen im Bereich KI und die zunehmenden regulatorischen Anforderungen, wie beispielsweise durch die KI-Verordnung stellen neue Herausforderungen dar.  So sind DSBs in Unternehmen immer häufiger gefordert, die datenschutzkonforme Implementierung von KI-Systemen aktiv zu begleiten und auf die Einhaltung der Transparenz- und Rechenschaftspflichten zu drängen.

Fazit

Die ersten Erkenntnisse der BBfDI aus ihren Prüfverfahren zeigen deutlich auf, dass Unternehmen beim Einsatz von KI-Systemen grundlegende Fehler bei der Wahl der Rechtsgrundlage und insbesondere bei der Erfüllung der Informationspflichten begehen. Eine nicht ausreichende Transparenz kann die gesamte Datenverarbeitung unzulässig machen und zu empfindlichen Bußgeldern führen. Unternehmen sollten daher proaktiv ihre KI-Anwendungen datenschutzrechtlich prüfen. Betroffene Personen müssen umfassend informiert werden, um rechtliche Risiken zu minimieren.

Kategorien: Anonymisierung & Pseudonymisierung · DSGVO · EU-Datenschutzgrundverordnung · Europäisches Recht · Informationspflichten · KI-News · KI-Verordnung · Künstliche Intelligenz · Transparenz · Verantwortliche