Home

Deutsch|English

Koalitionsvertrag: Neuerungen aus Unternehmenssicht |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Wie die Künstliche Intelligenz Betroffenenrechte beachtet – oder auch nicht

veröffentlicht am 29. April 2025 | Lesedauer ca. 3 Minuten

Die Datenschutz-Grundverordnung (DS-GVO) verspricht betroffenen Personen umfassende Rechte: Auskunft, Löschung, Widerspruch – und das jederzeit. Doch in einer zunehmend durch Künstliche Intelligenz (KI) geprägten Datenverarbeitung stellt sich die Frage: Können diese Rechte überhaupt noch in der bekannten Form umgesetzt werden? In der Praxis zeigt sich, dass klassische Datenschutzmechanismen im KI-Kontext oft an ihre Grenzen stoßen, mit teils erheblichen rechtlichen Risiken für Unternehmen. Der nachfolgende Beitrag beleuchtet die zentralen Herausforderungen im Spannungsfeld von KI und Betroffenenrechten und gibt Orientierung, wo Handlungsbedarf besteht.

Betroffenenrechte im KI-Kontext

Im Zentrum des europäischen Datenschutzrechts steht der Anspruch, betroffenen Personen eine wirksame Kontrolle über die Verarbeitung ihrer personenbezogenen Daten zu ermöglichen. Dieses Kontrollversprechen konkretisiert sich in mehreren Einzelrechten, die auch im Umfeld von KI-Anwendungen uneingeschränkt gelten.

Zu den wesentlichen Rechten zählen:

die Informationspflicht durch den Verantwortlichen (Art. 13, 14 DS-GVO)
das Auskunftsrecht (Art. 15 DS-GVO)
das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DS-GVO)
das Widerspruchsrecht gegen bestimmte Verarbeitungen (Art. 21 DS-GVO)
der Schutz vor ausschließlich automatisierten Entscheidungen (Art. 22 DS-GVO)

Während diese Rechte technologieneutral formuliert sind, stellt ihre praktische Umsetzung im Kontext KI-gestützter Systeme eine Herausforderung dar. Denn viele dieser Systeme basieren auf großen, dynamisch strukturierten Datenmengen, die eine personenbezogene Rückführbarkeit, gezielte Aussonderung oder nachträgliche Modifikation einzelner Daten deutlich erschweren. Darauf folgt ein erhöhter Umsetzungsaufwand, dem Unternehmen bereits im Entwicklungs- oder Einführungsstadium ihrer KI-Lösungen strukturell begegnen sollten.

Verantwortlichkeit klären

Nach der DS-GVO ist grundsätzlich der „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DS-GVO für die Verarbeitung personenbezogener Daten verpflichtet, die Betroffenenrechte zu wahren. Im KI-Kontext wird die Identifizierung des Verantwortlichen häufig komplex, da viele Unternehmen KI-Systeme mit externen Dienstleistern betreiben oder die Modelle von Drittparteien entwickeln lassen.

Je nach Konstellation kann sich die Rolle des Verantwortlichen überschneiden oder sogar aufteilen. Hier kommt es auf eine sorgfältige Prüfung der faktischen Einflussnahme an. In vielen Fällen ist es ratsam, die Rollenverteilung durch präzise vertragliche Regelungen abzusichern, insbesondere bei Auftragsverarbeitung nach Art. 28 DS-GVO oder gemeinsamen Verantwortlichkeiten nach Art. 26 DS-GVO. Dies gilt umso mehr, wenn mehrere Akteure gemeinsam auf das Modell oder die zugrunde liegenden Daten zugreifen. Eine enge Abstimmung zwischen Fachabteilung, IT und Datenschutzexperten ist hier unerlässlich.

Informationspflicht

Auch bei KI-gestützten Verarbeitungen müssen Betroffene bereits zum Zeitpunkt der Datenerhebung nach Art. 13 und 14 DS-GVO informiert werden, insbesondere über den Einsatz von KI, die Zwecke der Verarbeitung und die betroffenen Datenkategorie. Diese Angaben sind Teil der Datenschutzerklärung und müssen klar strukturiert und zugänglich erfolgen.

Dies ist gerade bei komplexen Modellarchitekturen häufig nur eingeschränkt möglich, etwa wenn Trainingsdaten aus unterschiedlichen Quellen stammen oder das Modell von Dritten bereitgestellt wird. Eine detaillierte technische Offenlegung wird nicht verlangt. Unternehmen müssen jedoch gewährleisten, dass die wesentlichen Verarbeitungsabläufe und der Einsatz von KI transparent dargestellt werden.

Auskunftsrecht: Was können und müssen Unternehmen liefern?

Art. 15 DS-GVO verpflichtet den Verantwortlichen, betroffenen Personen auf Antrag Auskunft über die sie betreffenden personenbezogenen Daten zu erteilen. Dazu gehören Informationen zu den Verarbeitungszwecken, den Empfängern, der Speicherdauer sowie, sofern vorhanden, zur Herkunft der Daten.

Im Zusammenhang mit KI stellt sich insbesondere die Frage, wie granular diese Auskünfte sein müssen und ob die eingesetzten Systeme technisch überhaupt dazu in der Lage sind, entsprechende Informationen bereitzustellen.

In der Praxis zeigt sich, dass viele Unternehmen nicht über ausreichende technische Dokumentationen verfügen, um diese Anfragen sachgerecht zu beantworten. Es empfiehlt sich daher, bereits bei Einführung eines KI-Systems ein strukturiertes Dateninventar zu führen, aus dem die verwendeten Datenkategorien, Quellen und Speicherfristen hervorgehen. Darüber hinaus sollten Unternehmen technische Maßnahmen implementieren, um die Verwendung personenbezogener Daten im System rückverfolgbar zu machen, etwa durch Protokollierungsfunktionen. Andernfalls droht eine nur abstrakte oder lückenhafte Auskunftserteilung, was nicht nur bußgeldbewehrt ist, sondern auch das Vertrauen der Betroffenen beeinträchtigen kann.

Löschrecht

Das Recht auf Löschung nach Art. 17 DS-GVO verpflichtet Unternehmen, personenbezogene Daten zu löschen, wenn etwa der Zweck der Verarbeitung entfällt oder ein berechtigter Widerspruch vorliegt. In klassischen Datenbanksystemen lässt sich dies vergleichbar einfach umsetzen. Anders bei KI-Systemen, in denen Trainingsdaten in die Gewichtungen und Parameter des Modells einfließen und als eigenständige Daten schwer identifizierbar oder isoliert entfernbar sind.

Die DS-GVO kennt in Art. 17 Abs. 3 DS-GVO zwar einige Löschausnahmen, eine pauschale Ausnahme aufgrund technischer Unmöglichkeit besteht jedoch nicht. Daraus folgt, dass Unternehmen bei der Entwicklung oder Beschaffung von KI-Systemen bereits darauf achten sollten, dass diese modular trainiert und aktualisiert werden können. Technische Lösungen, bei denen einzelne Trainingsphasen isoliert wiederholt oder gelöscht werden können, ermöglichen zumindest eine partielle Löschbarkeit.

Ist eine Löschung nicht möglich, müssen Unternehmen dies im Rahmen einer Datenschutzfolgenabschätzung gemäß Art. 35 DS-GVO dokumentieren, das Risiko benennen und alternative Maßnahmen zur Risikominderung (z.B. Zugriffssperrung oder Nutzungsbeschränkung) vorsehen. Die pauschale Berufung auf technische Unmöglichkeit ist aus Sicht der Aufsichtsbehörden bislang nicht tragfähig.

Widerspruchsrecht

Widersprechen betroffene Personen der Verarbeitung ihrer personenbezogenen Daten, die auf ein berechtigtes Interesse gestützt wird, so verpflichtet Art. 21 DS-GVO den Verantwortlichen, die Verarbeitung unverzüglich zu überprüfen und ggf. zu unterlassen.

Gerade bei KI-gestützten Anwendungen sollten Unternehmen einen Widerspruch nicht pauschal zurückweisen oder unbeachtet lassen. Vielmehr ist im Einzelfall eine nachvollziehbare Abwägung vorzunehmen, ob zwingende schutzwürdige Interessen eine Fortsetzung der Verarbeitung rechtfertigen. Um dieser Pflicht nachzukommen, bedarf es klar definierter Prozesse, die eine zeitnahe Bearbeitung eingehender Widersprüche sicherstellen.

Automatisierte Entscheidungen

Wird KI in Bereichen wie der Kreditvergabe, der automatisierten Vertragsprüfung, der Bewerbervorauswahl oder vergleichbaren Fällen eingesetzt, in denen die Entscheidung rechtliche Wirkung entfaltet oder die betroffene Person erheblich beeinträchtigt, ist eine rein automatisierte Verarbeitung unzulässig. Nach Art. 22 DS-GVO ist in diesen Fällen von Unternehmen sicherzustellen, dass betroffene Personen die Möglichkeit erhalten, die Entscheidung durch eine qualifizierte menschliche Stelle überprüfen zu lassen. Diese Überprüfung muss substanzielle Einflussmöglichkeiten bieten, ergebnisoffen erfolgen und darf nicht auf eine bloße Bestätigung der automatisierten KI-Entscheidung hinauslaufen.

Fazit

Die Durchsetzung von Betroffenenrechten in KI-basierten Systemen ist rechtlich verpflichtend, aber technisch und organisatorisch herausfordernd. Zwar wird von Unternehmen erwartet, die Anforderungen der DS-GVO auch im KI-Kontext vollumfänglich umzusetzen, doch fehlt es bislang an gefestigter Rechtsprechung, konkreten behördlichen Leitlinien und praxisnahen Umsetzungshilfen. Viele rechtliche Detailfragen, bleiben bislang offen.

Gerade vor diesem Hintergrund ist es entscheidend, frühzeitig tragfähige Strukturen zu schaffen. Die Einbindung technologieaffiner Datenschutzexperten sowie rechtlicher Beratung, sollte dabei nicht reaktiv erfolgen, sondern als integraler Bestandteil einer verantwortungsvollen und zukunftsfesten KI-Strategie verstanden werden.