09.Juli 2025 | Tanja | Thema: Datenschutz

DSK-Orientierungshilfe Juni 2025: Datenschutz von Anfang an bei KI-Systemen umsetzen

Schlagwörter: Datenschutz | KI

DSK-Orientierungshilfe unlimphoto blue AI

Im Juni 2025 veröffentlichte die Datenschutzkonferenz (DSK) eine neue DSK Orientierungshilfe, die besonders für Unternehmen und Entwickler*innen von KI-Projekten von Bedeutung ist.

Die Herausforderungen, die die DSGVO für den Umgang mit Künstlicher Intelligenz mit sich bringt, sind vielfältig. Die DSK-Orientierungshilfe soll Unternehmen und Entwickler*innen dabei unterstützen, datenschutzkonforme Lösungen zu schaffen – und zwar in allen Phasen eines KI-Projekts, von der ersten Planung über das Training der Modelle bis hin zum laufenden Betrieb. Das Dokument zeigt auf, wie Datenschutzpflichten praktisch umgesetzt werden können, und gibt konkrete Handlungsempfehlungen.

Dabei greift die DSK auf das Standard-Datenschutzmodell (SDM) zurück, das die abstrakten Anforderungen der DSGVO in verständliche Ziele übersetzt. Diese reichen von der Datenminimierung bis hin zur Transparenz und bieten einen klaren Leitfaden, um Datenschutz in der Entwicklung von KI-Systemen systematisch zu integrieren.

DSK-Orientierungshilfe: Die vier Phasen im Überblick

Die DSK strukturiert den Lebenszyklus eines KI-Systems in vier Phasen:

  1. Designphase
  2. Entwicklungsphase
  3. Einführungsphase
  4. Betriebs- und Monitoringphase

Für jede Phase eines KI-Projekts nennt die DSK sieben wesentliche Datenschutz-Ziele, welche umgesetzt werden sollten:

  • Datenminimierung: Nur so viele Daten wie nötig erheben und verwenden.
  • Verfügbarkeit: Gewährleistung, dass Daten und Systeme jederzeit zuverlässig und funktional sind.
  • Vertraulichkeit: Sicherstellung, dass Daten vor unbefugtem Zugriff geschützt sind.
  • Integrität: Verhindern von Manipulationen an Daten und Modellen.
  • Intervenierbarkeit: Ermöglichen der Rechte der betroffenen Personen, wie Auskunft oder Löschung, auch im laufenden Betrieb.
  • Transparenz: Die Verarbeitung von Daten muss nachvollziehbar für Betroffene und Behörden sein.
  • Nichtverkettung: Daten dürfen nicht für andere, nicht ursprünglich festgelegte Zwecke genutzt werden.

Designphase: Datenschutz beginnt mit der Planung

Bei der Planung eines KI-Systems müssen wichtige Fragen beantwortet werden: Wofür wird die KI genutzt? Welche Daten sind notwendig? Und auf welcher Rechtsgrundlage werden diese erhoben? Jede Datenquelle sollte klar dokumentiert sein – etwa in einem Datasheet, das Herkunft, Art und Zweck der Daten festhält. Außerdem ist es entscheidend, dass Sie bereits in der Planungsphase überlegen, wie spätere Anfragen von Betroffenen (z. B. zur Löschung von Daten) effizient umgesetzt werden können.

Entwicklungsphase: Daten bewusst begrenzen

In der Entwicklungsphase werden die Daten für das KI-Training aufbereitet. Hier gilt: Verwenden Sie nur die Daten, die unbedingt erforderlich sind. Dokumentieren Sie jeden Verarbeitungsschritt. Überprüfen Sie das Modell auf Fehler und mögliche Benachteiligungen bestimmter Gruppen. Setzen Sie Schutzmaßnahmen ein, um zu verhindern, dass sensible oder manipulierte Daten ins Training gelangen oder versehentlich ausgegeben werden. Stellen Sie sicher, dass falsche oder zu löschende Informationen jederzeit aus dem Modell und den Datensätzen entfernt werden können.

Einführungsphase: Datenschutzfreundliche Voreinstellungen

Vor dem Go-Live ist es entscheidend, datenschutzfreundliche Voreinstellungen zu treffen. KI-Modelle sollten ohne unnötige Trainingsdaten ausgerollt werden. Falls das nicht möglich ist, müssen die Daten verschlüsselt und auf das Wesentliche reduziert werden. Alle Einstellungen – sei es zur Protokollierung oder zu Filterfunktionen – sollten so festgelegt werden, dass sie die Privatsphäre schützen, ohne dass Betreibende später noch Änderungen vornehmen müssen.

Betrieb und Monitoring: Datenschutz bleibt aktiv

Im laufenden Betrieb muss die Qualität der KI kontinuierlich überwacht werden. Änderungen in der Datenlage, neue Gesetze oder unerwartete Fehler im Modell erfordern schnelles Handeln. Die Rechte der Betroffenen, wie Auskunft, Berichtigung oder Löschung, müssen auch im Betrieb jederzeit durchsetzbar sein. Es reicht nicht aus, nur unerwünschte Ausgaben zu blockieren. Die DSK empfiehlt zudem Schutzmaßnahmen gegen Angriffe, bei denen versucht wird, Trainingsdaten aus dem Modell zu extrahieren. Dazu zählen zum Beispiel Zugriffsbeschränkungen oder die Ausführung der KI direkt bei den Nutzenden.

DSK-Orientierungshilfe blue AI

DSK-Orientierungshilfe als Kompass für Entwickler*Innen

Die DSK-Orientierungshilfe macht klar: Datenschutz ist kein Nebenschauplatz, sondern Teil der Systemarchitektur. Wer von Anfang an sauber dokumentiert, Risiken ernst nimmt und transparent handelt, schützt nicht nur Daten – sondern auch Vertrauen.

Fazit

Die neue DSK-Orientierungshilfe zeigt, wie verantwortungsvolle KI-Entwicklung aussehen kann – konkret, technisch und verbindlich. Ein zentrales Referenzdokument für alle, die KI-Systeme nicht nur leistungsfähig, sondern auch rechtssicher gestalten wollen.

Links und Hinweise:

Datenschutzberatung procado | Erfahren Sie mehr zu unserer Datenschutzberatung

DSK Orientierungshilfe | Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen Version 1.0

 

zurück
Themen
procado BLOGt: rss-feed
Schlagwörter
IT-SicherheitMicrosoft 365DatenschutzTippsAkademieKINewsRechtsprechungIT-Supportprocado-internDSGVOPhishingSocial MediaGirls-DayEU-RichtlinieRechtsgrundlagenkleine ReiheManaged Service ProviderSocial EngeneeringHistorischesJob
WhatsApp Werbung 2025: Meta beginnt mit Werbe-Anzeigen im Status-Tabwhatsapp unlimphotoSteven Trunz procadoPrüfung bestanden! – Ausbildung bei procado