Ist KI DSGVO-konform? Was in Deutschland und der EU wirklich gilt

Der kurze Faktencheck

Die Aussage „KI ist DSGVO-konform“ ist zu allgemein. Ebenso ungenau wäre die Aussage, jede KI-Nutzung sei automatisch unzulässig. Die EDPB-Materialien betrachten KI-Modelle als Kontext, in dem personenbezogene Daten verarbeitet werden können, und prüfen genau diese Verarbeitung ^[3][4].

In seiner Mitteilung vom 18. Dezember 2024 nennt der Europäische Datenschutzausschuss drei zentrale Fragen zur Opinion 28/2024: wann und wie KI-Modelle als anonym gelten können, ob und wie berechtigtes Interesse als Rechtsgrundlage für Entwicklung oder Nutzung von KI-Modellen herangezogen werden kann und was gilt, wenn ein KI-Modell mit unrechtmäßig verarbeiteten personenbezogenen Daten entwickelt wurde ^[3].

Für Deutschland lässt sich aus diesen Quellen daher keine pauschale Sonderantwort ableiten. Wer KI unter der DSGVO bewertet, muss den konkreten Verarbeitungsvorgang prüfen: Welche personenbezogenen Daten sind betroffen, zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchem Risiko für spätere Verarbeitungsschritte ^[2][3][4]?

Was EDPB Opinion 28/2024 tatsächlich klärt

Die Opinion 28/2024 ist ausdrücklich auf „certain data protection aspects“ im Zusammenhang mit personenbezogenen Daten und KI-Modellen gerichtet ^[4]. Sie beantwortet also nicht jede denkbare KI-Rechtsfrage, sondern fokussiert auf besonders wichtige DSGVO-Punkte ^[3][4].

Diese Fokussierung ist für die Praxis entscheidend: Ein KI-Projekt wird nicht durch sein technisches Etikett bewertet, sondern durch die Verarbeitung personenbezogener Daten im jeweiligen Kontext ^[3][4]. Besonders relevant sind dabei Anonymität, die mögliche Rechtsgrundlage des berechtigten Interesses und die Folgen einer möglicherweise rechtswidrigen Datenverarbeitung in der Entwicklungsphase ^[2][3].

1. Ein KI-Modell ist nicht automatisch anonym

Ein häufiger Fehlschluss lautet: Wenn personenbezogene Daten in einem Modell „aufgehen“, sei das Modell automatisch anonym. Die EDPB-Mitteilung sagt dagegen, dass Datenschutzaufsichtsbehörden fallbezogen beurteilen sollen, ob ein KI-Modell anonym ist ^[3].

Das bedeutet praktisch: Eine bloße Behauptung, ein Modell sei anonym, reicht für eine belastbare DSGVO-Bewertung nicht aus. Entscheidend ist, ob das konkrete Modell unter den konkreten Umständen als anonym gelten kann ^[3].

Besonders wichtig wird diese Prüfung, wenn personenbezogene Daten im Modell verbleiben. Die ENISA-Webinarunterlage zur EDPB-Opinion beschreibt Szenarien, in denen zurückbehaltene personenbezogene Daten die Rechtmäßigkeit einer späteren Verarbeitung beeinflussen können; dafür sei eine Einzelfallprüfung nötig ^[2].

2. Berechtigtes Interesse kann möglich sein — aber nicht automatisch

Die EDPB-Opinion behandelt ausdrücklich, ob und wie berechtigtes Interesse als Rechtsgrundlage für die Entwicklung oder Nutzung von KI-Modellen verwendet werden kann ^[3]. Das ist relevant, aber kein pauschaler Persilschein.

Aus den vorliegenden EDPB-Materialien folgt nicht, dass jede KI-Entwicklung oder jede KI-Nutzung automatisch durch berechtigtes Interesse gedeckt wäre. Die Frage ist vielmehr, ob diese Rechtsgrundlage für den konkreten Verarbeitungsvorgang trägt ^[3].

Noch sensibler wird die Bewertung, wenn frühere Verarbeitungsschritte problematisch waren. Die ENISA-Unterlage nennt Fälle, in denen bei einer späteren Verarbeitung auf Grundlage berechtigten Interesses eine anfängliche Unrechtmäßigkeit in die Bewertung einbezogen werden muss ^[2].

3. Eine problematische Trainingshistorie kann relevant bleiben

Ein weiterer Kernpunkt der Opinion ist die Frage, was passiert, wenn ein KI-Modell mit personenbezogenen Daten entwickelt wurde, die unrechtmäßig verarbeitet wurden ^[3].

Die praktische Konsequenz: Eine rechtlich problematische Datenherkunft verschwindet nicht automatisch, nur weil später nicht mehr der ursprüngliche Datensatz, sondern ein KI-Modell genutzt wird. Wenn personenbezogene Daten im Modell zurückbehalten werden, kann das die Rechtmäßigkeit späterer Verarbeitung beeinflussen; laut ENISA-Unterlage ist auch hier eine Einzelfallprüfung erforderlich ^[2].

Bei mehreren Beteiligten kommt hinzu, dass Verantwortlichkeiten sauber getrennt werden müssen. Die ENISA-Unterlage unterscheidet Szenarien mit demselben oder getrennten Verantwortlichen und betont, dass jeder Verantwortliche die Rechtmäßigkeit seiner eigenen Verarbeitung sicherstellen sollte ^[2].

DSGVO-Checkliste für KI-Projekte

Diese Checkliste ersetzt keine rechtliche Einzelfallberatung. Sie fasst die Prüfpunkte zusammen, die sich aus den vorliegenden EDPB- und ENISA-Materialien für KI-Modelle ergeben.

1. Phase und Zweck abgrenzen

Klären Sie, ob es um Entwicklung, Einsatz oder eine andere Verarbeitung im Kontext eines KI-Modells geht. Die EDPB-Mitteilung bezieht sich ausdrücklich auf die Nutzung personenbezogener Daten für Entwicklung und Deployment von KI-Modellen ^[3].

2. Personenbezug prüfen

Dokumentieren Sie, ob und an welcher Stelle personenbezogene Daten verarbeitet werden. Die Opinion 28/2024 betrifft gerade die Verarbeitung personenbezogener Daten im Kontext von KI-Modellen ^[4].

3. Anonymität belegen, nicht nur behaupten

Wenn ein Modell als anonym eingestuft werden soll, muss diese Einschätzung fallbezogen tragfähig sein. Nach der EDPB-Mitteilung beurteilen Datenschutzaufsichtsbehörden die Anonymität eines KI-Modells im Einzelfall ^[3].

4. Rechtsgrundlage konkret prüfen

Wenn berechtigtes Interesse als Rechtsgrundlage dienen soll, muss geprüft werden, ob und wie diese Grundlage für den konkreten Entwicklungs- oder Nutzungsvorgang trägt ^[3]. Eine pauschale KI-Ausnahme ergibt sich aus den vorliegenden Quellen nicht ^[3][4].

5. Modellinhalt und Vorgeschichte berücksichtigen

Prüfen Sie, ob personenbezogene Daten im Modell verbleiben und ob die Daten in der Entwicklungsphase rechtmäßig verarbeitet wurden. Beide Punkte können für spätere Verarbeitungsschritte relevant sein ^[2][3].

6. Verantwortlichkeiten klären

Wenn mehrere Stellen an Entwicklung, Bereitstellung oder Nutzung beteiligt sind, sollte klar sein, wer für welchen Verarbeitungsschritt verantwortlich ist. Die ENISA-Unterlage betont, dass jeder Verantwortliche die Rechtmäßigkeit seiner eigenen Verarbeitung sicherstellen sollte ^[2].

Typische Missverständnisse

„Ein KI-Modell ist anonym, weil die Rohdaten nicht sichtbar sind.“ So einfach ist es nicht. Ob ein KI-Modell anonym ist, soll nach der EDPB-Mitteilung fallbezogen beurteilt werden ^[3].

„Berechtigtes Interesse reicht immer.“ Die EDPB-Opinion behandelt, ob und wie berechtigtes Interesse genutzt werden kann; daraus folgt keine automatische Rechtfertigung für jeden KI-Einsatz ^[3].

„Wenn das Modell einmal trainiert ist, spielt die Herkunft der Daten keine Rolle mehr.“ Die Opinion behandelt ausdrücklich, was gilt, wenn ein KI-Modell mit unrechtmäßig verarbeiteten personenbezogenen Daten entwickelt wurde ^[3]. Wenn personenbezogene Daten im Modell verbleiben, kann das die spätere Verarbeitung beeinflussen ^[2].

Fazit

KI ist in Deutschland und der EU nicht schon deshalb DSGVO-konform, weil sie KI ist. Sie ist aber auch nicht allein deshalb verboten. Der belastbare Faktencheck lautet: Entscheidend ist die konkrete Verarbeitung personenbezogener Daten — insbesondere Anonymität, Rechtsgrundlage, Modellinhalt und mögliche Folgen einer unrechtmäßigen Vorverarbeitung ^[2][3][4].