Datenschutzkonforme KI-Modelle: Kernaussagen des BfDI-Konsultationsberichts 2026

Datenschutzkonforme KI-Modelle: Kernaussagen des BfDI-Konsultationsberichts 2026

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Bericht über das öffentliche Konsultationsverfahren zum datenschutzkonformen Umgang mit personenbezogenen Daten in KI-Modellen veröffentlicht. Ziel des Verfahrens war es, technische und rechtliche Fragen rund um KI-Modelle, insbesondere Large Language Models (LLMs) und deren datenschutzrechtliche Einordnung strukturiert zu beleuchten.

Dabei weist die BfDI ausdrücklich darauf hin, dass die im Bericht wiedergegebenen Ansichten nicht zwangsläufig ihre eigene Position widerspiegeln. Es handelt sich vielmehr um eine Dokumentation der im Rahmen der Konsultation eingegangenen Stellungnahmen. Auch Verweise auf Mehrheitsverhältnisse haben lediglich informatorischen Charakter. Im Folgenden werden die wesentlichen Kernaussagen des Berichts zusammengefasst.

Personenbezug und Anonymität von KI-Modellen

Zentral ist die Frage, ob und unter welchen Voraussetzungen KI-Modelle personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO enthalten.

Ausgangspunkt ist die Stellungnahme 28/2024 des Europäischen Datenschutzausschusses (EDSA), wonach KI-Modelle personenbezogene Daten enthalten können, wenn sie mit solchen Daten trainiert wurden.

Im Konsultationsverfahren zeigte sich hierzu ein differenziertes Meinungsbild. Während einige Stellungnehmende eine Anonymität von KI-Modellen grundsätzlich verneinten, da ein Personenbezug nicht sicher ausgeschlossen werden könne, sprach sich eine Mehrheit für eine kontext- und risikobasierte Betrachtung aus. Maßgeblich seien insbesondere technische und organisatorische Maßnahmen sowie das konkrete Risiko einer Identifizierung.

Rechtlich ist die Frage der Anonymität damit einzelfallbezogen unter Berücksichtigung realistischer Identifizierungsmöglichkeiten zu bewerten.

Memorisierung und datenschutzrechtliche Verarbeitung

Ein weiterer Schwerpunkt betrifft das Risiko der sogenannten „Memorisierung“, also der Möglichkeit, dass ein Modell im Training enthaltene personenbezogene Daten im Output reproduziert. Zahlreiche Stellungnahmen verwiesen auf technische Maßnahmen zur Risikominimierung, etwa Datenfilterung, Deduplizierung oder Differential Privacy. Mehrheitlich wurde dabei vertreten, dass eine rein quantitative Einschätzung der ausgegebenen personenbezogenen Daten aus dem LLM nicht zielführend sei.

Zur Frage, wann eine Verarbeitung personenbezogener Daten im Sinne der DSGVO vorliegt, vertrat eine Mehrheit die Auffassung, dass eine Verarbeitung memorisierter Daten erst dann anzunehmen sei, wenn entsprechende personenbezogene Daten tatsächlich im Output erscheinen. Diese Sichtweise knüpft an den weiten Verarbeitungsbegriff der DSGVO an und setzt einen konkreten Personenbezug voraus.

Betroffenenrechte und technische Umsetzbarkeit

Die Umsetzung der Betroffenenrechte nach Art. 12 ff. DSGVO wurde ebenfalls intensiv diskutiert. Empfohlen wurde, identifizierbare personenbezogene Trainingsdaten im Rahmen von Auskunftsansprüchen aufzulisten. Zudem sollten systemische Maßnahmen zur Löschung memorisierter Daten vorgesehen werden.

Gleichzeitig wurde darauf hingewiesen, dass sogenannte „Machine-Unlearning“-Verfahren derzeit nicht ausreichend entwickelt sind. Eine verlässliche und vollständige Löschung personenbezogener Daten aus komplexen Modellen kann damit bislang nicht sichergestellt werden. Die Umsetzung insbesondere von Löschansprüchen stellt daher weiterhin eine technische und organisatorische Herausforderung dar.

Fazit

Der Konsultationsbericht verdeutlicht, dass die datenschutzrechtliche Bewertung von KI-Modellen maßgeblich von technischen Details und konkreten Risikokonstellationen abhängt. Die datenschutzrechtlichen Grundprinzipien der DSGVO gelten uneingeschränkt auch im KI-Kontext.

Für Verantwortliche zeigt der Bericht, dass Fragen des Personenbezugs, der Risikominimierung und der praktischen Durchsetzung von Betroffenenrechten bei Entwicklung und Einsatz von KI-Systemen zu berücksichtigen sind. Der Bericht ersetzt keine eigenständige rechtliche Bewertung im Einzelfall, bietet jedoch einen Orientierungsrahmen für die datenschutzrechtliche Einordnung von KI-Modellen in der Unternehmenspraxis.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Im Trend

Datenschutzkonforme KI-Modelle: Kernaussagen des BfDI-Konsultationsberichts 2026
Datenschutzkonforme KI-Modelle: Kernaussagen des BfDI-Konsultationsberichts 2026
AG Nürnberg zur DSGVO: Wirksame Einwilligung trotz Vertragskopplung, zulässige Positivdatenübermittlung und hohe Hürden für immateriellen Schadensersatz.
DSGVO und Kopplungsverbot: AG Nürnberg bestätigt wirksame Einwilligung
EuGH: Online-Plattformen haften stärker für Datenschutzverstöße
Millionenstrafe nach Cyberangriff: Was Unternehmen von Capita lernen müssen