DSGVO im KI-Kontext (DSGVO)

Warum die DSGVO bei KI besonders relevant ist

Sprachmodelle verarbeiten die Inhalte, die ihnen als Kontext übergeben werden. Wenn eine Anfrage personenbezogene Daten enthält — etwa Kundennamen, Mitarbeiterdaten oder Gesundheitsinformationen — greift die DSGVO. Bei Cloud-KI-Diensten werden diese Daten an Drittanbieter gesendet, oft in Drittländer außerhalb der EU.

Training, Modellgewichte und Betroffenenrechte

Ein DSGVO-Thema, das durch lokale Nutzung nicht gelöst ist: Fast alle großen Sprachmodelle wurden auf Datensätzen trainiert, die auch personenbezogene Informationen enthalten können. Die Rechtsgrundlage für dieses Training ist bisher nicht abschließend geklärt — mehrere europäische Aufsichtsbehörden haben dazu Stellungnahmen veröffentlicht, etwa der Hamburgische Beauftragte für Datenschutz (2024) und der Europäische Datenschutzausschuss (EDPB-Opinion 28/2024). Auskunfts- und Löschrechte nach Artikel 15 und 17 DSGVO sind bei Modellgewichten technisch schwer umzusetzen, da einzelne Informationen nicht gezielt „gelöscht” werden können. Für industrielle Anwender bedeutet das: Lokale Inferenz senkt das Risiko erheblich, ersetzt aber keine Prüfung der Lizenz- und Herkunftssituation des eingesetzten Modells.

Lokale KI als DSGVO-Vereinfacher

On-Premise-KI eliminiert die komplexesten DSGVO-Herausforderungen: Kein Datenabfluss an Drittanbieter, keine Drittlandtransfers und keine Auftragsverarbeitungsverträge mit KI-Anbietern. Die Daten bleiben im Unternehmen, auf eigener Hardware, unter eigener Kontrolle.

Was dennoch zu beachten ist

Auch bei lokaler KI bleibt die DSGVO anwendbar: Verarbeitungszwecke müssen dokumentiert sein, Betroffenenrechte (Auskunft, Löschung) müssen gewährleistet werden, und die technisch-organisatorischen Maßnahmen müssen dem Stand der Technik entsprechen. Ein KI-Audit hilft, diese Anforderungen systematisch zu prüfen und zu dokumentieren.

Automatisierte Entscheidungsfindung

Artikel 22 DSGVO verdient besondere Aufmerksamkeit, wenn KI-Systeme Entscheidungen vorbereiten oder treffen, die Personen rechtlich oder wirtschaftlich erheblich betreffen — etwa in Personalauswahl, Kreditvergabe oder Versicherungsfragen. Betroffene haben hier ein Recht auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Die technische Umsetzung dieser Rechte muss bereits bei der Systemgestaltung berücksichtigt werden.