Für DPOs

KI-Datenschutz für Datenschutzbeauftragte

Der Datenschutzbeauftragte (DSB) ist nach Art. 39 DSGVO Beratungs- und Überwachungs-Funktion. Bei KI-Systemen kommt er in der Regel in der Konzeptions-Phase ins Spiel: Datenschutz-Folgenabschätzung (DSFA) ist bei den meisten Foundation-Model-basierten Systemen Pflicht. BfDI- und Landes-Aufsichten haben 2025/2026 ihre Erwartungen geschärft, vor allem zu Trainings-Daten-Herkunft, Rechts-Grundlagen und Betroffenen-Rechten.

Datenschutz-Folgenabschätzung

Pflicht nach Art. 35 DSGVO bei hohem Risiko für betroffene Personen. KI-Systeme mit personenbezogenen Daten erfüllen meistens die Schwellen-Kriterien (umfangreich, sensibel, automatisierte Entscheidung, Profiling). DSFA muss vor Verarbeitungs-Beginn vorliegen, sonst ist Verarbeitung rechtswidrig.

Rechtsgrundlagen

Art. 6 DSGVO: Vertrag, gesetzliche Pflicht, berechtigtes Interesse, Einwilligung. Bei KI-Training auf Kunden-Daten ist berechtigtes Interesse die häufigste Wahl, mit echter Interessen-Abwägung und Widerspruchs-Recht. Sensible Daten (Art. 9) brauchen zusätzliche Erlaubnisse, Einwilligung ist oft die einzige praktikable.

Betroffenenrechte

Auskunft (Art. 15) muss aussagekräftige Informationen über die involvierte Logik enthalten, Tragweite und angestrebte Auswirkungen. Bei KI-Modellen heisst das in der Praxis: Eingangs-Variablen, Gewichtungs-Logik in Klartext, typische Entscheidungs-Faktoren. Recht auf Löschung (Art. 17) wird bei trainierten Modellen technisch herausfordernd, Lösung ist meist Re-Training plus Tombstoning.

BfDI- und Landes-Aufsichten 2026

BfDI für Bundesbehörden und Telekommunikation. Landes-Aufsichten für Wirtschaft. DSK (Datenschutzkonferenz) veröffentlicht regelmässig Hinweise und Beschlüsse zu KI. Die Hambacher Erklärung und nachfolgende DSK-Beschlüsse sind Pflicht-Lektüre für jeden DSB mit KI-Verantwortung.

Auftragsverarbeitung

Art. 28 DSGVO Auftragsverarbeitungs-Vertrag mit jedem KI-Anbieter, der personenbezogene Daten in Ihrem Auftrag verarbeitet. Standard-Vertrags-Klauseln der EU-Kommission sind Mindest-Niveau, in der Praxis braucht es zusätzliche Klauseln zu Trainings-Daten, Modell-Versionen und Sub-Verarbeitern.

Konsultation der Aufsicht

Wenn DSFA hohes Restrisiko zeigt, ist nach Art. 36 DSGVO eine vorherige Konsultation der Aufsicht Pflicht. Praxis: BfDI und Landes-Aufsichten sind 2026 deutlich proaktiver bei KI-Konsultationen, Bearbeitungs-Zeit liegt bei mehreren Monaten. Frühe Konsultation ist Programm-Risiko-Reduktion, nicht Verzögerung.

Beratungsgespräch buchen Vollständige englische Fassung lesen

Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.