Die Konvergenz der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) mit dem Gesetz über Künstliche Intelligenz (KI-Gesetz, Verordnung (EU) 2024/1689) schafft einen zweilagigen Regulierungsrahmen, der jedes Unternehmen betrifft, das KI-Systeme zur Verarbeitung personenbezogener Daten einsetzt. Zu verstehen, wie diese beiden Vorschriften interagieren — wo sie sich gegenseitig verstärken und wo sie Spannungen erzeugen — ist der wesentliche Ausgangspunkt für den Aufbau eines robusten Compliance-Programms im KI-Zeitalter.
Die Duale Regulierungsgrundlage: DSGVO und KI-Gesetz als Komplementäre Rahmen
Die DSGVO gilt seit Mai 2018 unmittelbar in der gesamten EU und wurde durch das LOPD-GDD (Organisches Gesetz 3/2018 vom 5. Dezember) in spanisches nationales Recht umgesetzt, das die Spanische Datenschutzbehörde (AEPD) als nationale Aufsichtsbehörde einrichtete und spezifische Bestimmungen für Bereiche einführte, in denen die DSGVO den Mitgliedstaaten Ermessen lässt.
Das KI-Gesetz wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und gilt in Phasen: Verbote für KI mit unannehmbarem Risiko traten am 2. Februar 2025 in Kraft, Pflichten für Hochrisiko-KI-Systeme und KI-Modelle für allgemeine Zwecke gelten ab dem 2. August 2026, und der vollständige Rahmen (einschließlich Pflichten für eingebettete KI in Produkten, die unter anderen EU-Rechtsvorschriften fallen) gilt ab dem 2. August 2027.
Erwägungsgrund 97 des KI-Gesetzes erkennt die Gleichzeitigkeit beider Verordnungen an und stellt fest, dass im Fall von Konflikten bezüglich des Schutzes personenbezogener Daten die DSGVO vorgeht, während das KI-Gesetz Anforderungen hinzufügt, die für KI-Systeme spezifisch sind. In der Praxis verarbeiten die überwiegende Mehrheit der Hochrisiko-KI-Systeme personenbezogene Daten in irgendeiner Phase ihres Lebenszyklus — Training, Validierung, Inferenz oder Ausgabegenerierung —, was bedeutet, dass DSGVO- und KI-Gesetz-Pflichten in den meisten relevanten Anwendungsfällen gleichzeitig gelten.
Artikel 22 DSGVO und Automatisierte Entscheidungsfindung
Artikel 22 der DSGVO gewährt Einzelpersonen das Recht, nicht Entscheidungen unterworfen zu sein, die ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhen, die rechtliche Wirkungen erzeugen oder sie in ähnlicher Weise erheblich beeinträchtigen. Diese Bestimmung ist direkt relevant für KI-Systeme, die in der Kreditwürdigkeitsprüfung, Kandidatenbewertung bei der Einstellung, Versicherungsprämienberechnung und Bestimmung der Anspruchsberechtigung für Sozialleistungen eingesetzt werden — genau die Kategorien, die in Anhang III des KI-Gesetzes als hochriskant eingestuft werden.
Damit eine vollständig automatisierte Entscheidung nach Artikel 22 DSGVO rechtmäßig ist, muss mindestens eine von drei Bedingungen erfüllt sein: (i) die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich; (ii) sie ist durch EU- oder Mitgliedstaatenrecht genehmigt; oder (iii) sie basiert auf der ausdrücklichen Einwilligung der betroffenen Person. In allen Fällen muss der Verantwortliche angemessene Schutzmaßnahmen einführen, einschließlich des Rechts auf menschliche Intervention, des Rechts der betroffenen Person, ihren Standpunkt auszudrücken, und des Rechts, die Entscheidung anzufechten.
Die menschliche Aufsichtsanforderung des KI-Gesetzes (Artikel 14) fungiert als Ergänzung zu Artikel 22 DSGVO: Hochrisiko-KI-Systeme müssen so gestaltet sein, dass die für die Aufsicht verantwortlichen Personen die Fähigkeiten und Grenzen des Systems verstehen, Situationen von Fehlfunktionen oder Verzerrungen erkennen und beheben und das System bei Bedarf übersteuern oder abschalten können. Dies bedeutet, dass die technische Architektur des KI-Systems eine echte menschliche Aufsicht ermöglichen muss — nicht nur eine nominelle Genehmigung im Nachhinein.
Datenschutz-Folgenabschätzungen für KI-Systeme
Artikel 35 der DSGVO verpflichtet Verantwortliche, vor der Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen. Zu den Verarbeitungstätigkeiten, für die eine DPIA obligatorisch ist, gehören die systematische und umfassende Bewertung personenbezogener Daten auf der Grundlage automatisierter Verarbeitung (einschließlich Profiling), die umfangreiche Verarbeitung besonderer Datenkategorien und die systematische Überwachung öffentlich zugänglicher Bereiche.
Die AEPD veröffentlichte 2019 ihre Liste der Verarbeitungstypen, für die eine DPIA erforderlich ist. Im Kontext des KI-Gesetzes muss diese Liste aktualisiert werden, um KI-Systeme einzubeziehen, die systematisches Profiling durchführen, biometrische Daten verarbeiten, automatisierte Entscheidungen in den Bereichen Beschäftigung oder Finanzdienstleistungen treffen, und alle Hochrisiko-KI-Systeme nach Anhang III, die personenbezogene Daten verarbeiten.
Eine DPIA für ein KI-System muss über die Standardelemente von Artikel 35 DSGVO hinaus die für KI spezifischen Risiken berücksichtigen: algorithmische Verzerrung, die indirekte Diskriminierung erzeugt, Modellintransparenz (der Black-Box-Effekt, der es Betroffenen unmöglich macht, die Grundlage der sie betreffenden Entscheidungen zu verstehen), Wiederidentifizierungs- und Inferenzangriffe gegen Trainingsdaten und Modell-Drift im Laufe der Zeit, der weniger genaue oder stärker verzerrte Ergebnisse erzeugt als die zum Zeitpunkt der Bereitstellung bewerteten.
Datenschutz durch Technikgestaltung und Datenschutzfreundliche Voreinstellungen bei KI-Systemen
Artikel 25 der DSGVO legt den Grundsatz des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen fest: Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen sowohl zum Zeitpunkt der Festlegung der Mittel der Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung einführen. Für KI-Systeme bedeutet dies die Einbeziehung von Datenschutz-Schutzmaßnahmen in den Systemgestaltungsprozess — nicht als Korrekturmaßnahme nach der Bereitstellung.
Technische Datenschutz-durch-Technikgestaltung-Maßnahmen für KI-Systeme umfassen: Anonymisierung oder Pseudonymisierung von Trainingsdaten, wo möglich ohne erheblichen Verlust der Modellnützlichkeit; Implementierung von Federated-Learning-Techniken, die eine Zentralisierung personenbezogener Daten vermeiden; Einsatz von differenziellem Datenschutz, um zu begrenzen, was das Modell über bestimmte Einzelpersonen enthüllen kann; und in die Entwicklungs- und Validierungspipeline integrierte Verzerrungsund Fairness-Audits, anstatt sie als einmalige Übung vor dem Go-Live durchzuführen.
Der DSB im Zeitalter des KI-Gesetzes: Neue Verantwortlichkeiten
Der Datenschutzbeauftragte (DSB), für bestimmte Kategorien von Verantwortlichen und Auftragsverarbeitern nach Artikel 37 der DSGVO obligatorisch, erhält im Kontext des KI-Gesetzes neue Verantwortlichkeiten. Der DSB muss über KI-Systeme, die personenbezogene Daten verarbeiten, informiert und konsultiert werden, muss an der DPIA für Hochrisiko-KI-Systeme teilnehmen und muss mit dem KI-Gesetz-Compliance-Officer koordinieren (der dieselbe Person wie der DSB oder eine andere Person sein kann, je nach Größe und Struktur der Organisation).
Die Europäische Kommission hat in ihren Auslegungshinweisen darauf hingewiesen, dass der DSB der natürliche Ansprechpartner für DPIA-Prozesse für KI-Systeme ist, dass die technischen Kompetenzen, die zur Bewertung KI-spezifischer Risiken erforderlich sind — Verzerrung, Intransparenz, Robustheit, adversariale Angriffe —, möglicherweise die Einbeziehung spezialisierter technischer Profile in das Compliance-Team erfordern. Organisationen, die sich auf einen externen DSB verlassen, sollten beurteilen, ob der externe Anbieter über die technische KI-Expertise verfügt, um diese erweiterte Rolle zu erfüllen, oder ob zusätzliche Spezialistenunterstützung benötigt wird.
Das Verzeichnis von Verarbeitungstätigkeiten und KI-Systeme
Artikel 30 der DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Wenn ein KI-System personenbezogene Daten verarbeitet, muss diese Verarbeitung im Verzeichnis mit den erforderlichen Informationen dokumentiert werden: Zweck, Datenkategorien, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen. Wenn das System darüber hinaus nach dem KI-Gesetz hochriskant ist, muss der Anbieter ein paralleles Protokoll (Artikel 12 KI-Gesetz) führen, das das Verzeichnis des Verantwortlichen ergänzen kann, aber verschiedenen regulatorischen Pflichten dient. Die Verwaltung der Wechselwirkung zwischen diesen zwei Dokumentationsanforderungen ohne Doppelungen oder Widersprüche ist eine der praktischen Compliance-Herausforderungen, mit denen Organisationen beim Einsatz von KI konfrontiert werden.
Verbotene KI-Praktiken unter dem KI-Gesetz: Die Absoluten Verbote
Ab dem 2. Februar 2025 verbietet das KI-Gesetz eine Reihe von KI-Anwendungen ohne Ausnahme- oder Genehmigungsmöglichkeit. Dazu gehören: KI-Systeme, die unterschwellige oder manipulative Techniken einsetzen, um das Verhalten in schädlicher Weise zu verzerren; Systeme, die Schwachstellen bestimmter Gruppen (Alter, Behinderung) ausnutzen, um das Verhalten zu ändern; Sozialwertungssysteme von öffentlichen oder privaten Akteuren auf der Grundlage von Verhalten oder persönlichen Merkmalen; Echtzeit-biometrische Identifizierungssysteme in öffentlichen Räumen durch Strafverfolgungsbehörden (mit engen Ausnahmen); und KI-Systeme zur Ableitung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen außer aus medizinischen oder Sicherheitsgründen.
Für Organisationen, die KI-Governance-Programme unter der DSGVO betreiben, stimmen diese Verbote mit den Grundsätzen der Datenminimierung und Zweckbegrenzung überein, gehen aber weiter, indem sie ganze Kategorien der Verarbeitung verbieten, unabhängig davon, ob eine Rechtsgrundlage nach der DSGVO besteht.
Sektorspezifische Implikationen
Personalwesen und Talentmanagement: KI-gesteuerte Tools zur Kandidatensuche und -bewertung fallen unter Anhang III des KI-Gesetzes als Hochrisikosysteme im Beschäftigungsbereich. Diese Tools erfordern vor der Bereitstellung eine DPIA nach der DSGVO und eine Konformitätsbewertung nach dem KI-Gesetz und müssen vor der Markteinführung in der EU-Datenbank für Hochrisiko-KI-Systeme registriert werden.
Finanzdienstleistungen: Kreditscoring, Kreditwürdigkeitsbewertung und betrugserkennung mit KI sind nach Anhang III hochriskant. Die Überschneidung mit den DSGVO-Einschränkungen für automatisierte Entscheidungsfindung (Artikel 22) und den Transparenzanforderungen des KI-Gesetzes schafft eine erhebliche Dokumentationslast, bietet aber auch die Möglichkeit, einen einheitlichen KI-Governance-Rahmen aufzubauen, der beide Regulierungsbehörden gleichzeitig befriedigt.
Gesundheitswesen: KI-Systeme, die für Diagnose, Prognose oder Behandlungsempfehlungen eingesetzt werden, sind nach Anhang III hochriskant und verarbeiten besondere Datenkategorien nach Artikel 9 DSGVO. Die Anforderung nach ausdrücklicher Einwilligung oder einer anderen Rechtsgrundlage nach Artikel 9(2) DSGVO muss neben den KI-Gesetz-Konformitätsanforderungen für Medizinprodukte und Gesundheitssysteme bewertet werden.
Bei BMC berät unser Rechts- und Datenschutzteam Unternehmen aller Sektoren in DSGVO-Compliance und KI-Gesetz-Bereitschaft. Sehen Sie sich unsere Datenschutz- und KI-Compliance-Dienstleistungen an.
