webpage of ai chatbot a prototype ai smith open chatbot is seen on the website of openai on a apple smartphone examples capabilities and limitations are shown
Photo by Sanket Mishra on Pexels.com
Posted inIT IT Audit / Compliance

Datenschutz bei KI-Projekten: Die neue Orientierungshilfe der DSK bringt Klarheit!

Künstliche Intelligenz (KI) ist in aller Munde und findet immer mehr Anwendung in Unternehmen und Produkten. Doch mit den Chancen kommen auch Herausforderungen, besonders im Bereich Datenschutz. Um hier Orientierung zu bieten, hat die Datenschutzkonferenz (DSK) – der Zusammenschluss aller deutschen Datenschutzbehörden – im Juni 2025 eine wichtige neue Orientierungshilfe veröffentlicht.

Was steckt drin? Eine Hilfestellung für Entwickler und Hersteller

Diese neue „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“ richtet sich primär an Entwickler und Hersteller von KI-Systemen. Ihr zentrales Ziel ist es, aufzuzeigen, wie KI-Projekte von Anfang an datenschutzkonform gestaltet werden können. Im Fokus stehen dabei die technischen und organisatorischen Maßnahmen (TOM), also praktische Schutzmaßnahmen für Daten.

Ein Schlüsselelement der Orientierungshilfe ist die Nutzung des Standard-Datenschutzmodells (SDM). Das SDM ist ein Leitfaden der Datenschutzbehörden, der die oft abstrakten Vorgaben der Datenschutz-Grundverordnung (DSGVO) in konkrete, umsetzbare Schritte übersetzt. Es benennt sieben zentrale Datenschutz-Ziele, wie beispielsweise Datenminimierung oder Transparenz, und zeigt, wie diese in jedem größeren Projekt berücksichtigt werden können.

Vier Phasen, sieben Ziele: Der rote Faden für Ihr KI-Projekt

Die DSK strukturiert jedes KI-Projekt in vier klar definierte Phasen:

  • Design (Planung und Auswahl der Daten)
  • Entwicklung (Training und Testen der KI)
  • Einführung (Roll-out und Konfiguration)
  • Betrieb und Monitoring (laufende Nutzung und Überwachung)

Für jede dieser Phasen beschreibt die Orientierungshilfe, wie die sieben Gewährleistungsziele des Datenschutzes praktisch umgesetzt werden können. Diese Ziele sind:

  • Datenminimierung: Es sollen so wenig Daten wie möglich verwendet werden.
  • Verfügbarkeit: Daten und Systeme müssen zuverlässig funktionieren.
  • Vertraulichkeit: Schutz vor unbefugtem Zugriff ist unerlässlich.
  • Integrität: Daten und Modelle dürfen nicht manipuliert werden.
  • Intervenierbarkeit: Betroffene müssen ihre Rechte (z.B. Auskunft, Löschung) ausüben können.
  • Transparenz: Nachvollziehbarkeit für Betroffene und Behörden muss gewährleistet sein.
  • Nichtverkettung: Daten dürfen nicht für andere Zwecke weiterverwendet werden.

Praktische Empfehlungen für jede Phase:

Die Orientierungshilfe gibt konkrete Anleitungen für jede Projektphase:

  • Designphase: Klare Regeln von Anfang an Schon bei der Planung ist zu klären: Wofür wird die KI eingesetzt? Welche Daten werden benötigt und auf welcher Rechtsgrundlage werden sie erhoben? Jede Datenquelle sollte dokumentiert werden, beispielsweise in einem „Datasheet“. Auch die Umsetzung späterer Anfragen von Betroffenen (z.B. auf Löschung) sollte frühzeitig bedacht werden.
  • Entwicklungsphase: Nur so viele Daten wie nötig Beim Training der KI gilt der Grundsatz der Datenminimierung: Nur die wirklich nötigen Daten verwenden und alle Verarbeitungsschritte dokumentieren. Es muss zudem geprüft werden, ob das Modell Fehler macht oder bestimmte Gruppen benachteiligt. Schutzmechanismen sind notwendig, um das Einschleusen sensibler oder manipulierter Daten zu verhindern und um sicherzustellen, dass falsche oder zu löschende Informationen nachträglich aus Modell und Datensatz entfernt werden können.
  • Einführungsphase: Datenschutzfreundliche Voreinstellungen Vor dem „Go-Live“ sind datenschutzfreundliche Standardeinstellungen entscheidend. KI-Modelle sollten möglichst ohne unnötige Trainingsdaten ausgeliefert werden. Wo dies nicht möglich ist, müssen die Daten verschlüsselt und auf das Nötigste beschränkt werden. Alle Einstellungen, etwa zur Protokollierung oder zu Filterfunktionen, sollten bereits von Haus aus die Privatsphäre schützen.
  • Betrieb und Monitoring: Kontinuierliche Kontrolle Im laufenden Betrieb ist eine regelmäßige Überwachung der KI-Qualität Pflicht. Bei Datenänderungen, neuen Gesetzen oder unerwarteten Fehlern muss schnell reagiert werden. Die Rechte der Betroffenen müssen auch technisch durchsetzbar sein, und es reicht nicht aus, unerwünschte Ausgaben lediglich zu blockieren. Die DSK empfiehlt zudem Schutzmaßnahmen gegen Angriffe, die versuchen, Trainingsdaten aus dem Modell auszulesen, wie Zugriffsbeschränkungen oder die Ausführung der KI direkt beim Nutzer.

Fazit: Datenschutz als Grundstein für Vertrauen

Die neue Orientierungshilfe der DSK macht deutlich: Datenschutz ist kein nachträglicher Gedanke, sondern ein fundamentaler Baustein für jedes erfolgreiche KI-Projekt. Wer von Anfang an sauber dokumentiert, Daten sparsam einsetzt und für Transparenz sorgt, erfüllt nicht nur die Erwartungen der Behörden, sondern schafft auch essenzielles Vertrauen bei Kunden und Mitarbeitenden. Es lohnt sich also, diese Hinweise ernst zu nehmen und in die Praxis umzusetzen!