Datenschutz trifft KI: Neue DSK-Orientierungshilfe konkretisiert Anforderungen

Der Umgang mit personenbezogenen Daten in KI-Systemen stellt Unternehmen und Entwickler vor immer komplexere Herausforderungen. Mit ihrer im Juni 2025 veröffentlichten Orientierungshilfe gibt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) nun konkrete Empfehlungen für die datenschutzkonforme Entwicklung und den Betrieb von KI-Systemen.

Rückblick auf die DSK-Orientierungshilfe zu Thema KI vom 6. Mai 2024

Bereits im Mai 2024 veröffentlichte die DSK eine erste Orientierungshilfe zur datenschutzkonformen Nutzung von KI-Anwendungen, welche sich primär an Verantwortliche richtet. Sie enthält grundlegende Leitlinien zur Konzeption, Implementierung und Nutzung von KI-Systemen. Zwar enthielt die Orientierungshilfe auch erste Hinweise für Entwickler, Hersteller und Anbieter von KI-Systemen – konkrete, auf diese Zielgruppen zugeschnittene Empfehlungen blieben jedoch aus. 

Datenschutzrechtliche, technische und organisatorische Anforderungen an KI-Systeme

Die im Juni 2025 veröffentlichte Orientierungshilfe der DSK adressiert nun diese Lücke und richtet sich vorrangig an Entwickler und Hersteller von KI-Systemen. Sie definiert datenschutzrechtliche, technische und organisatorische Anforderungen entlang der vier Lebenszyklen eines KI-Systems - Design, Entwicklung, Einführung und Betrieb und ordnet diese den jeweiligen Gewährleistungszielen zu. 
Die nachfolgende Darstellung bildet lediglich einen Ausschnitt der Inhalte der Orientierungshilfe ab und erhebt keinen Anspruch auf Vollständigkeit. Sie dient ausschließlich der allgemeinen Information und ersetzt keine rechtliche Beratung.

(1) In der Designphase eines KI-Systems werden grundlegende Weichen gestellt – etwa zur Systemarchitektur, Modellwahl und technischen Infrastruktur. Besonders relevant ist die Auswahl und Erhebung der Daten für Training, Validierung und Testen des KI-Systems.

Für die Verarbeitung von Trainingsdaten ist eine Rechtsgrundlage erforderlich. Es muss sichergestellt werden, dass die Datenherkunft nicht rechtswidrig ist (z.B. keine illegale Datenquellen).

Die Datenherkunft muss transparent dokumentiert und nachvollziehbar sein. Zur frühzeitigen Prüfbarkeit empfiehlt die DSK zudem u.a. folgendes zu dokumentieren:  Zweck und Rechtsgrundlage, Notwendigkeit der Verarbeitung, Ziel und Funktion des KI-Systems, KI-System-Architektur.

Bereits in dieser Phase sind Maßnahmen zur Vertraulichkeit, Integrität, Intervenierbarkeit sowie zur Trennung von Datenbeständen zu treffen, um ungewollte Profilbildung zu vermeiden. Zudem ist im Sinne der Datenminimierung der Zweck des KI-Systems sowie der dafür erforderliche Datenumfang festzulegen.

Schließlich müssen Vorkehrungen zur Wahrung der Betroffenenrechte und zur Umsetzung behördlicher Anordnungen im Zusammenhang mit Trainingsdaten und Modellen getroffen werden.

(2) In der Entwicklungsphase stehen die Datenaufbereitung, das Training und die Validierung der KI-Systeme im Mittelpunkt. 

Die DSK empfiehlt, verwendete KI-Algorithmen für KI-Modelle zu dokumentieren. Zudem sollten u.a. Zielgrößen für KI-Modelle zu Validierungszwecken festgelegt und Testverfahren entwickelt werden, um die Zweckbindung von KI-Modellen sicherzustellen. 

Zur Wahrung der datenschutzrechtlichen Gewährleistungsziele dürfen nur solche Daten verwendet werden, die für den jeweiligen Verarbeitungszweck und konkreten Verarbeitungsschritt notwendig sind.

Zudem ist eine umfassende Dokumentation der Trainingsprozesse, Datenquellen und Modellentscheidungen erforderlich, um Transparenz und Rechenschaftspflichten zu erfüllen. 

Die Nachvollziehbarkeit und Anfechtbarkeit personenbezogener Daten und Ergebnisse sowie Interventionsmöglichkeiten müssen gewährleistet sein.

Es sind Schutzmaßnahmen gegen unbeabsichtigte oder böswillige Veränderungen zu treffen. Die Integrität und Vertraulichkeit eines KI-Systems umfasst die Unverfälschbarkeit und Korrektheit der verarbeiteten Daten sowie der erzeugten Ergebnisse. 

(3) In der Einführungsphase wird das KI-System in die Produktivumgebung überführt und für Nutzer bereitgestellt. Dabei ist besonders auf datenschutzrechtliche Voreinstellungen „data protection by default“ zu achten.  Das KI-System muss so vor eingestellt sein, dass es nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten verarbeitet. 

Zentrale Nutzungsentscheidungen – etwa zur Funktionsweise, zu Eingriffsmöglichkeiten durch Menschen und zu Betroffenenrechten -  sind transparent zu dokumentieren und bereitzustellen.

(4) Im Rahmen des Betriebs und Monitorings sollte die Qualität der Ausgaben von KI-Systemen kontinuierlich evaluiert werden. Es ist sicherzustellen, dass die im Vorfeld getroffenen Datenschutzmaßnahmen auch im laufenden Betrieb eingehalten werden, insbesondere Zweckbindung, Datenminimierung und Wirksamkeit der technischen und organisatorischen Maßnahmen. 

KI-Modellparameter und Verarbeitungsschritte sind zu dokumentieren. Bei Veränderungen und Updates muss das KI-System wiederholt geprüft und validiert werden. Werden mehr personenbezogene Daten verarbeitet als notwendig, sind Korrekturmaßnahmen zur Datenminimierung zu ergreifen.

Das KI-System muss die Betroffenenrechte wahren. Insbesondere müssen Daten im Falle einer Löschung vollständig entfernt werden können. Unter Umständen muss das KI-System nachtrainiert werden (Machine Unlearning). 

Zudem ist Einhaltung der Qualitätsanforderungen aus der Entwicklungsphase regelmäßig zu überprüfen und Verhaltensänderungen der KI-Systeme zu erkennen und zu bewerten. 
Die Integrität und Vertraulichkeit von Trainingsdaten und KI-Modellen muss gewährleistet sein – insbesondere bei öffentlich zugänglichen Systemen. 

Fazit 

Die aktuelle Orientierungshilfe der DSK stellt einen begrüßenswerten Schritt in die richtige Richtung dar, um den datenschutzkonformen Einsatz und Betrieb von KI-Systemen zu fördern. Sie bietet mit ihren Empfehlungen und enthaltenen Checklisten eine hilfreiche Grundlage für die Entwicklung, Herstellung und Nutzung von KI-Systemen. Insbesondere die Hinweise zur Transparenz und Dokumentation können dabei unterstützen, datenschutzrechtliche Anforderungen frühzeitig und strukturiert zu berücksichtigen und umzusetzen.
 

Quelle: DSK Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen, Version 1.0, Stand: Juni 2025