Datenschutzkonferenz fordert KI-spezifische DSGVO-Reform

Datenschutzkonferenz fordert KI-spezifische DSGVO-Reform

Die Datenschutzkonferenz (DSK) hat sich in einer Entschließung zur Regulierung von Künstlicher Intelligenz (KI) geäußert und fordert gezielte Anpassungen der DSGVO. Im Kern geht es darum, dass Rechtssicherheit und Innovation Hand in Hand gehen müssen. Die Verarbeitung personenbezogener Daten beim Training und Betrieb von KI-Modellen ist datenschutzrechtlich schwierig. Für Unternehmen bedeutet dies, dass der bisherige technikneutrale Ansatz der Verordnung womöglich bald durch spezifische KI-Regeln ergänzt wird.

DSK zum Digital Omnibus

Die EU-Kommission hat weitreichende Änderungen vorgeschlagen, die erhebliche Auswirkungen auf den Schutz der Privatsphäre und personenbezogener Daten hätten. „Die vorgeschlagenen Regelungen sind an vielen Stellen nicht bis zu Ende gedacht und führen damit zu neuen Rechtsunsicherheiten“, erklärt Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und amtierende Vorsitzende der Datenschutzkonferenz. Zugleich lasse die Kommission einfache gesetzliche Anpassungen mit Entlastungspotenzial für kleine und mittlere Unternehmen unberücksichtigt. „Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht.“

Kritisch sieht die DSK zudem den hohen Zeitdruck des Omnibusverfahrens. Der Vorschlag beschränke sich nicht auf redaktionelle Änderungen, sondern enthalte grundlegende Eingriffe wie die Änderung der Definition personenbezogener Daten. „Gemeinsam mit den europäischen Datenschutzbehörden werden wir den Vorschlag der Kommission in den kommenden Wochen detailliert analysieren und eine Stellungnahme abgeben“, so Kamp.

Spezifische Rechtsgrundlagen für Training und Betrieb

Die DSK sieht einen dringenden Bedarf an neuen, spezifischen Rechtsgrundlagen für die Entwicklung und den Betrieb von KI-Systemen. Dies betrifft insbesondere kritische Bereiche wie das Web Scraping zur Gewinnung von Trainingsdaten oder die Weiterverarbeitung interner Datenbestände für domänenspezifische Modelle. Da die aktuelle Rechtslage oft Interpretationsspielräume lässt, sollen klare Voraussetzungen geschaffen werden. Diese sollen einerseits Innovationen ermöglichen und andererseits „rote Linien“ in Form von Verboten aufzeigen. Ziel ist ein eindeutiger Rechtsrahmen, der den Schutz der Grundrechte wahrt und gleichzeitig die Rechtssicherheit für Unternehmen erhöht.

Betroffenenrechte im Fokus der Systemgestaltung

Ein zentraler Aspekt der DSK-Forderungen ist die konsequente Umsetzung von „Betroffenenrechten by Design“ bereits bei der Einführung eines KI-Systems. Die Gewährleistung von Rechten wie Löschung oder Berichtigung in komplexen Modellen wie Large Language Models (LLMs) ist technisch oft mit unverhältnismäßigem Aufwand verbunden. Daher schlägt die DSK funktionale Äquivalente oder kompensatorische Schutzmaßnahmen vor. Zudem wird die Einführung expliziter Informationspflichten in der DSGVO angeregt, damit betroffene Personen klar darüber aufgeklärt werden, wenn ihre Daten in einem KI-Kontext verarbeitet werden.

Kritische Stimmen

Während die DSK den Vorstoß der EU-Kommission zur Schaffung von mehr Rechtssicherheit (Digital Omnibus) grundsätzlich begrüßt, warnen Experten in aktuellen Gutachten im Auftrag des Verbraucherzentrale Bundesverbands (vzbv) vor einer möglichen Aufweichung des Datenschutzniveaus durch den sogenannten „Digital Omnibus“-Entwurf. Kritisiert wird insbesondere, dass die geplante Ausnahme vom Verarbeitungsverbot sensibler Daten die bisherige Schutzsystematik der DSGVO gefährden könnte. Zudem besteht die Sorge, dass durch zu weite Definitionen von KI-Systemen uferlose Sonderrechtszonen entstehen, in denen wesentliche Schutzanforderungen für Nutzer nur noch in unverbindlichen Erwägungsgründen statt im verbindlichen Normtext verankert sind.

Handlungsbedarf für die Unternehmenspraxis

Unternehmen sollten ihre KI-Strategien an den sich abzeichnenden regulatorischen Trends ausrichten. Ein wesentlicher Fokus sollte dabei auf der proaktiven Transparenz und der Implementierung technischer Schutzmaßnahmen liegen. Nur so kann die Identifizierbarkeit von Personen in KI-Modellen minimiert werden. Da künftig vermutlich nachgewiesen werden muss, dass Verarbeitungszwecke nicht auch durch weniger eingreifende Mittel wie synthetische oder anonymisierte Daten erreicht werden können, gewinnt die Prüfung von Datenminimierungsstrategien massiv an Bedeutung. Die Dokumentation der Systemgrenzen und Datenflüsse wird zur Grundvoraussetzung, um die Konformität der eingesetzten KI-Infrastrukturen sicherzustellen.

Fazit

Die Initiative der DSK und die laufende Debatte um die DSGVO-Reform verdeutlichen, dass der KI-Einsatz in Unternehmen noch keinen finalen Regeln unterliegt. Während neue Rechtsgrundlagen das Potenzial haben, die Rechtsunsicherheit beim Training von Modellen zu verringern, müssen die Anforderungen an den Schutz der Betroffenenrechte hoch bleiben. Eine vorausschauende rechtliche und technische Beratung kann hierbei nicht nur Haftungsrisiken reduzieren, sondern auch den strategisch sinnvollen und innovationsfreundlichen Einsatz von KI nachhaltig absichern.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Im Trend

Datenschutzkonferenz fordert KI-spezifische DSGVO-Reform
Datenschutzkonferenz fordert KI-spezifische DSGVO-Reform
EDPS: So gelingt wirksame menschliche Aufsicht bei automatisierten Entscheidungssystemen
EDPS: So gelingt wirksame menschliche Aufsicht bei automatisierten Entscheidungssystemen
Was der Digital-Omnibus für die KI-Verordnung bedeutet 
Was der Digital-Omnibus für die KI-Verordnung bedeutet 
Kinderschutz vs. Datenschutz: Die geplante Chatkontrolle
Chatkontrolle in der EU: Regulierungspläne, Kritik und offene Rechtsfragen