EDPB setzt neue Maßstäbe: Datenschutz-Compliance für KI-Anbieter unter der Lupe

Der Europäische Datenschutzausschuss (EDPB) hat im Dezember 2024 mit der Stellungnahme 28/2024 wichtige Leitlinien für die Verarbeitung personenbezogener Daten in KI-Systemen veröffentlicht. Für Unternehmen, die KI-Modelle entwickeln oder einsetzen, markiert dieses Dokument einen Wendepunkt in der datenschutzrechtlichen Compliance.

Was regelt die Stellungnahme 28/2024?

Im Fokus steht die Frage, wie KI-Unternehmen personenbezogene Daten rechtmäßig verarbeiten können. Viele KI-Entwickler stützen sich auf das „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage. Diese Rechtsgrundlage sei laut dem EDPB jedoch nur gültig, wenn drei Bedingungen erfüllt sind: (1) das Vorliegen eines berechtigten Interesses, (2) die Notwendigkeit der Verarbeitung zur Verfolgung dieses Interesses und (3) die Abwägung mit den Grundrechten der betroffenen Personen. Besonders der Abwägungstest wird von vielen Unternehmen nicht korrekt umgesetzt.

Der EDPB stellt zudem klar, dass ein KI-Modell nur dann als anonym gilt, wenn es nahezu ausgeschlossen ist, dass personenbezogene Daten direkt oder indirekt rekonstruiert werden können, selbst bei Einsatz aller technisch möglichen Mittel – ein hoher Maßstab, der für viele Unternehmen schwer zu erfüllen ist.

Folgen für KI-Unternehmen

Diese Klarstellungen haben weitreichende Folgen. Unternehmen müssen ihre Datenverarbeitungsprozesse nun strenger prüfen und dokumentieren. Eine unrechtmäßige Verarbeitung der Daten in der Entwicklungsphase kann zur Folge haben, dass das gesamte KI-Modell – und alle darauf basierenden Systeme – als rechtswidrig gelten. Damit drohen nicht nur Bußgelder, sondern auch Nutzungsverbote und der Verlust von Wettbewerbsvorteilen.

Empfehlungen für die Praxis


Um DSGVO-konform zu bleiben, sollten Unternehmen:

  • Den Abwägungstest sorgfältig durchführen und dokumentieren.
  • Datenminimierung und technische Schutzmaßnahmen umsetzen.
  • Transparente Kommunikation mit betroffenen Personen sicherstellen.
  • KI-Modelle nur dann als „anonymisiert“ kennzeichnen, wenn eine Rekonstruktion personenbezogener Daten mit vertretbarem Aufwand ausgeschlossen werden kann. Dies erfordert strenge Prüfungen und technische Maßnahmen, um jede Form der Re-Identifizierung zu verhindern.

Bedeutung für die Zukunft von KI und Datenschutz

Der EDPB macht unmissverständlich klar: Der Datenschutz darf im Zeitalter von KI nicht vernachlässigt werden. Für KI-Unternehmen bedeutet dies, dass Datenschutz nicht nur eine Compliance-Pflicht ist, sondern auch eine strategische Notwendigkeit, um langfristig erfolgreich zu sein. Unternehmen, die frühzeitig handeln, können Vertrauen schaffen und rechtliche Risiken minimieren.

Share