KI & Datenschutz in der EU: Rahmen, Rollen, Orientierung
Verfasst von:
Die Europäische Union hat in den vergangenen Jahren einen beeindruckenden regulatorischen Rahmen geschaffen – von der DSGVO über den Digital Services Act (DSA) bis hin zum AI Act. Doch gerade dieser wachsende Rechtsrahmen führt zu Verunsicherung: Was gilt wann? Was überschneidet sich? Wo beginnt das eine, wo endet das andere?
Dieser Beitrag soll eine Orientierung geben, die wichtigsten Rollen und Regelwerke praxisnah einzuordnen und zu zeigen, wie Organisationen KI souverän nutzen können.
Warum die EU-Perspektive zählt: DSGVO, AI Act, Digital Strategy – wie es zusammenpasst
Die EU verfolgt seit Jahren eine klare Digitalpolitik. Ziel ist es, die Nutzung digitaler Technologien unter Wahrung der Grundrechte zu ermöglichen. Das Resultat ist ein komplexes Geflecht aus Regelwerken, das jedoch einem einheitlichen Leitmotiv folgt: Innovation zu ermöglichen und Risiken zu begrenzen. Drei wesentliche Bausteine sind dabei von entscheidender Bedeutung.
1. Datenschutz
Die Datenschutzgesetze (DSGVO, BDSG, DSG-EKD, KDG) gelten immer dann, wenn personenbezogene Daten verarbeitet werden. Das ist bei KI der Fall, wenn Trainings-, Validierungs- oder Nutzungsdaten einen Personenbezug aufweisen.
Sie legen fest:
- Grundsätze wie Zweckbindung, Datenminimierung, Transparenz
- Betroffenenrechte wie Auskunft, Löschung oder Widerspruch
- technisch-organisatorische Maßnahmen (TOM)
- Anforderungen an Risikoanalysen
Für KI bedeutet das: Modelltraining, API-Nutzung und Prompting muss datenschutzrechtlich geprüft werden.
2. AI Act (Verordnung über Künstliche Intelligenz)
Der AI Act schafft erstmals ein horizontales Regelwerk speziell für KI-Systeme. Er klassifiziert KI-Systeme nach Risikostufen:
- Unzulässig: KI-Systeme, die Grundrechte massiv verletzen, sind verboten (z. B. Social Scoring durch Behörden, bestimmte biometrische Überwachung)
- Hochrisiko: Systeme, die in sensiblen Bereichen eingesetzt werden, unterliegen strengen Anforderungen (z. B. KI in Medizin, Kreditscoring, kritische Infrastruktur)
- Begrenztes Risiko: Hier gelten vor allem Transparenzpflichten. Nutzer müssen wissen, dass sie mit KI interagieren (z. B. Chatbots, LLMs zur Inhaltsgenerierung)
- Minimales Risiko: Für diese Systeme gibt es keine zusätzlichen Vorgaben. (z. B. KI in Videospielen)
Der AI-Act adressiert Aspekte wie:
- Datenqualität und Bias-Vermeidung
- Transparenzanforderungen
- Cybersecurity
- menschliche Aufsicht und Governance
- Dokumentationspflichten und Konformitätsbewertungen
Damit ergänzt der AI Act den Datenschutz. Datenschutz schützt Personen, der AI Act reguliert Systeme, die Entwicklung und deren Nutzen sowie Risiken.
3. Digital Strategy / Digital Services Regulation (DSA, DMA, Data Governance Act, Data Act)
Die EU-Digitalstrategie umfasst zentrale Regelwerke (DSA, DMA, Data Governance Act, Data Act), die einen fairen, sicheren und innovationsfreundlichen digitalen Markt schaffen sollen.
- DSA (Digital Service Act): Pflichten für Plattformen, u. a. Umgang mit illegalen Inhalten
- DMA (Digital Markets Act): Durchsetzung fairer Marktbedingungen gegenüber „Gatekeepern“
- Data Governance Act: Regeln für Datentreuhänder, Datenaltruismus
- Data Act: Zugang zu industriellen Daten, Interoperabilität
Für KI bedeutet die Digital Strategy: Daten sollen sicher, fair und vertrauenswürdig nutzbar sein.
EDSA: Rolle, Leitlinien, typische Auslegungen bei KI
Der Europäische Datenschutzausschuss (EDSA/EDPB) ist neben dem Europäischen Datenschutzbeauftragten (EDPS) einer der wichtigsten Akteure, wenn es um die Interpretation der DSGVO im KI-Kontext geht.
Welche Rolle spielt der EDSA?
- Trifft verbindliche Entscheidungen bei Streitfällen zwischen Aufsichtsbehörden (Art. 65 DSGVO)
- Gibt Leitlinien und Empfehlungen zur Auslegung der DSGVO heraus
- Koordiniert Arbeitsgruppen und fördert die Zusammenarbeit
- Entwickelt gemeinsame Standards, z. B. für Bußgeldberechnung
Für KI sind EDSA-Leitlinien zentral, da die DSGVO keine spezifischen KI-Regeln enthält.
Typische EDSA-Schwerpunkte bei KI
- Rechtsgrundlagen
Der EDSA betont, dass eine Einwilligung nicht immer geeignet ist – insbesondere bei Abhängigkeiten oder fehlender echter Wahlfreiheit. Häufig wird das berechtigte Interesse empfohlen, allerdings nur mit strenger Abwägung und transparenter Kommunikation.
- Automatisierte Entscheidungen
Autonome KI-Entscheidungen über Menschen sind nur in Ausnahmefällen zulässig. Rein unterstützende KI muss klar von vollautomatisierten Entscheidungen abgegrenzt werden.
- Transparenz – aber praktikabel
Der EDSA fordert verständliche Informationen, ohne Quellcode offenzulegen. Erwartet wird eine nachvollziehbare Erklärung von Logik, Zweck, Auswirkungen und Risiken.
- Profiling und Scoring
Der EDSA unterscheidet genau zwischen bloßer Analyse und Profiling mit rechtlichen Auswirkungen. Je invasiver die Analyse, desto höher die Anforderungen an Rechtfertigung und Schutzmaßnahmen.
Was heißt das für die Praxis?
Die EDSA-Leitlinien sind ein Kompass: Was der EDSA heute definiert, wird morgen bei Prüfungen erwartet.
Bei der Prüfung von KI-Systemen muss man davon ausgehen, dass Aufsichtsbehörden sehr konkrete Fragen stellen. Sie wollen wissen, welche Daten genutzt wurden und warum gerade diese ausgewählt wurden. Es wird geprüft, ob ein Bias-Test erfolgt ist und wie er durchgeführt wurde. Ebenso erwarten sie Nachweise, dass das Modell keine unnötigen personenbezogenen Daten speichert. Betroffene müssen ihre Rechte in Bezug auf Löschung oder Auskunft praktisch wahrnehmen können. Außerdem wird verlangt, dass das Modell nachträglich kontrolliert, dokumentiert und überwacht wird.
Wer diese Fragen beantworten kann, ist gut aufgestellt und erfüllt die Compliance-Anforderungen.
Ethik vs. Recht: Wo sich Prinzipien und Pflichten treffen
Oft heißt es: „Ethik ist freiwillig, Recht ist verpflichtend.“ Das stimmt grundsätzlich – doch bei KI verschwimmen die Grenzen zunehmend. Ethik ist bei der EU schon fast gleichzusetzen mit Recht.
Mehrere Entwicklungen führen dazu, dass ursprünglich ethische Prinzipien heute faktisch verpflichtend sind. Der AI Act formalisiert Themen wie Fairness, Transparenz, Bias-Vermeidung und menschliche Aufsicht, die ursprünglich aus der Ethik stammen und macht sie zu regulatorischen Pflichten. Auch die DSGVO integriert ethische Überlegungen: Datenschutz-Folgenabschätzungen fragen etwa, welche Auswirkungen eine KI auf die Entscheidungsautonomie hat, ob Gruppen diskriminiert werden und ob Betroffene die Nutzung verstehen können.
Darüber hinaus spielt Corporate Governance eine zentrale Rolle. Verstöße gegen ethische Prinzipien führen nicht nur zu Bußgeldern, sondern auch zu Vertrauensverlust, Risiken für Investoren, Konflikten mit Stakeholdern und erheblichen Reputationsschäden – oft mit Folgen, die weit über das Rechtliche hinausgehen.
Wo treffen sich Prinzipien und Pflichten konkret?
| Bereich | Ethik | Recht | Schnittmenge |
| Transparenz | Verständliche Kommunikation | Informationspflichten | Explainability, Model Cards |
| Fairness / Anti-Bias | Kein Schaden für Personen- oder Gruppen | Datenqualität, Bias-Prüfung im AI Act | regelmäßige Audits |
| Autonomie | Menschliche Kontrolle bewahren | Profiling, Human Oversight | Hybridentscheidungen statt Black Box |
| Verhältnismäßigkeit | So wenig Eingriff wie möglich | Datenminimierung | kleines Modell statt maximaler Datensammelwut |
| Sicherheit | Schutz vor Missbrauch | TOM, Cybersecurity-Pflichten | Secure-by-Design-Modelle |
Orientierung im Dschungel: Welche Richtlinie ist wofür geeignet (Praxisbeispiele)
Die größte Herausforderung im KI-Compliance-Alltag ist nicht der Mangel an Informationen – ganz im Gegenteil: Zu viel Guidance, zu viele Frameworks, zu viele Checklisten.
Diese Übersicht bietet eine praxisnahe Orientierung, wann welche Leitlinie sinnvoll angewendet werden kann.
| Eignen sich für: | Praxisbeispiel | |
| Datenschutz-Leitlinien |
| Ein Unternehmen möchte Kundenservice-Anfragen mit KI sortieren lassen. → Training mit echten Kundendaten |
| AI-Act-Guidance |
| Ein Hersteller entwickelt eine KI zur medizinischen Befundunterstützung. → Hochrisiko-KI → Anforderungen an Datenqualität, Konformitätsbewertung und Monitoring gemäß AI Act |
| Ethik-Framework |
| Ein Unternehmen will generative KI intern einführen. → Ethikrichtlinien helfen bei Grundsatzentscheidungen im Umgang mit Halluzinationen, Bias oder Transparenz gegenüber Mitarbeitenden. |
| Informationssicherheit / ISO-Normen |
| Ein Unternehmen nutzt ein LLM für vertrauliche Dokumente. → Security-Frameworks definieren, wie Daten und Modelle abgesichert werden müssen. |
Kurz gesagt:
DSGVO = Schutz der Personen
AI Act = Regulierung der KI-Systeme
Ethik & Security = verantwortungsvolle Anwendung
Konsequenzen für Verantwortliche in der EU – kurz, klar, machbar
Wer KI sicher, rechtskonform und verantwortungsvoll einsetzen will, muss fünf zentrale Handlungsfelder beachten.
Zunächst ist ein vollständiges KI-Verzeichnis unverzichtbar. Ohne eine Übersicht über alle eingesetzten Systeme ist kein Compliance-Management möglich. Verantwortliche müssen dokumentieren, welche KI-Systeme genutzt werden, für welche Zwecke, welche Daten ein- und ausfließen, ob es sich um ein Hochrisiko-System handelt und ob personenbezogene Daten verarbeitet werden. Dieses Inventar bildet die Grundlage für jede weitere Bewertung.
Ein zentraler Erfolgsfaktor ist die klare Festlegung von Rollen und Verantwortlichkeiten, sowohl intern als auch rechtlich. Viele Unternehmen scheitern nicht an Regulierung, sondern an fehlenden Zuständigkeiten. Es muss eindeutig geregelt sein, wer Use Cases prüft, Freigaben erteilt, das Monitoring übernimmt und bei Vorfällen reagiert. Empfehlenswert ist ein KI-Governance-Team aus Datenschutz, Informationssicherheit, Compliance und Fachbereichen, ergänzt durch KPIs für das Monitoring und definierte Prozesse für Freigaben, Updates und Incident-Handling.
Daneben sind die rechtlichen Rollen ebenfalls entscheidend. Gemäß dem Datenschutz ist der Verantwortliche die Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen und muss vertraglich gebunden sein. Diese Rollen sind essenziell für die Einhaltung von Pflichten wie Transparenz, Betroffenenrechten und Sicherheitsmaßnahmen.
Die KI-Verordnung (AI Act) ergänzt diese Struktur um weitere Rollen entlang der Wertschöpfungskette:
- Der Anbieter entwickelt ein KI-System oder bringt es unter eigenem Namen in Verkehr und trägt die Hauptverantwortung für Konformität, Risikomanagement und technische Dokumentation.
- Der Betreiber (Nutzer) setzt ein KI-System im Rahmen seiner beruflichen Tätigkeit ein und muss sicherstellen, dass die Nutzung den Vorschriften entspricht, insbesondere bei Hochrisiko-Systemen.
- Der Importeur bringt KI-Systeme aus Drittländern in die EU und prüft die Konformität.
- Der Händler stellt KI-Systeme auf dem Markt bereit und muss die erforderliche CE-Kennzeichnung und Dokumentation prüfen.
- Der Bevollmächtigte übernimmt Pflichten für Anbieter außerhalb der EU und fungiert als Ansprechpartner für Behörden.
Die korrekte Zuordnung dieser Rollen ist unverzichtbar, da sie die jeweiligen Pflichten bestimmen – von der Konformitätsbewertung über die Dokumentation bis hin zur Überwachung und Meldung von Vorfällen. Wer diese Rollen klar definiert und in die Governance integriert, schafft die Grundlage für einen sicheren, rechtskonformen und verantwortungsvollen KI-Einsatz.
Es folgt ein integriertes Risiko-Management, das Datenschutz-, KI- und Sicherheitsrisiken gemeinsam betrachtet. Ein KI-Risiko ist fast immer auch ein Datenschutz- und oft ein Security-Risiko. Deshalb sollten Datenschutz-Folgenabschätzungen (DPIA) und KI-Risikobewertungen kombiniert werden. So lassen sich Redundanzen vermeiden und Risiken realistischer einschätzen. Wichtige Aspekte sind Zweckbindung, Transparenz und Betroffenenrechte, Schutz vor Angriffen wie Prompt Injection oder Model Poisoning, die Vermeidung von Diskriminierung und die korrekte Risikoklassifizierung nach dem AI Act.
Darüber hinaus sind technische und organisatorische Maßnahmen (TOMs) entscheidend. KI erfordert erweiterte Sicherheitsmaßnahmen wie Zugriffskontrollen für Modelle, Trainingsdaten und APIs, Anonymisierung oder Pseudonymisierung, Logging und Monitoring, Bias-Prüfungen, die Trennung von Trainings- und Betriebsdaten sowie Mechanismen zur menschlichen Überwachung. Auch der Schutz vor adversarial attacks gehört dazu. Viele dieser Maßnahmen existieren bereits im ISMS und müssen nun auf KI-Systeme übertragen werden.
Schließlich ist Transparenz eine Kernforderung aller EU-Regelwerke. Unternehmen müssen klare interne Regeln für den Umgang mit KI-Systemen schaffen, verständliche Informationen für Betroffene bereitstellen und Systeme derart gestalten, dass Logik, Zweck und Auswirkungen nachvollziehbar erklärt werden. Bei generativer KI sind Hinweise wie „Inhalte wurden mithilfe von KI erstellt“ verpflichtend. Transparenz ist kein Nice-to-have, sondern stärkt Vertrauen und reduziert Risiken.
Fazit: KI-Compliance in der EU ist machbar – mit Struktur, Klarheit und Zusammenarbeit
Der europäische Rechtsrahmen für KI ist komplex, aber logisch:
Die DSGVO schützt Menschen, der AI Act reguliert Systeme, die Digital Strategy strukturiert Datenräume. Der EDSA sorgt dafür, dass die DSGVO auch im KI-Zeitalter scharf und einheitlich bleibt. Und ethische Grundsätze rücken näher an rechtliche Verpflichtungen heran als je zuvor.
Für Verantwortliche bedeutet das: Nicht alles gleichzeitig tun – sondern strukturiert vorgehen:
- Bestandsaufnahme durchführen
- Risiken richtig bewerten
- Rechtliche und technische Anforderungen verbinden
- Governance klären
- Transparenz herstellen
Wer diese Grundlagen schafft, kann KI nicht nur rechtskonform, sondern auch strategisch sinnvoll und vertrauenswürdig einsetzen.
Melden Sie sich für unseren Newsletter an.
Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.