Seit dem 02. Februar 2025 gilt die neue KI-Verordnung (KI-VO). Sie verpflichtet Unternehmen, die Künstliche Intelligenz (KI) entwickeln, einsetzen oder vertreiben, zu umfangreichen Maßnahmen – insbesondere auch im Bereich des Datenschutzes. Die Regelungen bringen nicht nur technische, sondern auch organisatorische und rechtliche Anforderungen mit sich. Ein zentraler Fokus liegt dabei auf dem Schutz personenbezogener Daten sowie der transparenten und verantwortungsvollen Nutzung von KI-Systemen.
Datenschutz und verbotene KI-Systeme
Gemäß Art. 5 der KI-VO sind bestimmte KI-Systeme, insbesondere solche, die Datenschutzgrundsätze verletzen, vollständig verboten. Seit Februar 2025 sind in der EU folgende Anwendungen in der EU verboten:
- Manipulative KI, die unbemerkt menschliches Verhalten beeinflusst und somit das Prinzip der informierten Einwilligung unterläuft, sowie
- Echtzeit-Biometrie im öffentlichen Raum, z. B. zur Gesichtserkennung, da sie tief in die Privatsphäre eingreift und erhebliche Risiken für die Datensicherheit birgt.
- Social-Scoring-Systeme nach dem Vorbild Chinas, da sie auf der Verarbeitung sensibler persönlicher Daten beruhen und Diskriminierung begünstigen.
Diese Verbote sollen sicherstellen, dass Grundrechte – insbesondere das Recht auf Datenschutz und informationelle Selbstbestimmung – auch im Zeitalter der KI gewahrt bleiben.
Schulungspflichten und Datenschutzwissen
Gemäß Art. 4 KI-VO sind Unternehmen dazu verpflichtet, ihre Mitarbeitenden angemessen zu schulen – sowohl technisch als auch rechtlich. Das Ziel besteht darin, ein Bewusstsein für die Chancen und Risiken von KI-Systemen zu schaffen. Ein wesentlicher Bestandteil dabei ist das Verständnis für Datenschutzanforderungen.
Alle mit KI befassten Mitarbeitenden – von der Geschäftsleitung bis zu den Fachabteilungen – müssen
- die rechtlichen Rahmenbedingungen kennen (z. B. DSGVO, KI-VO) kennen und
- den Umgang mit sensiblen Daten im KI-Kontext sicher beherrschen und
- und Bias- und Diskriminierungsrisiken in KI-Systemen erkennen können.
Auch die Pflicht zur systematischen Dokumentation von Schulungen ist ein datenschutzrelevanter Aspekt – denn im Falle von Audits muss nachgewiesen werden können, dass die Beschäftigten im Umgang mit datenverarbeitenden KI-Systemen geschult wurden.
Transparenzpflichten und Datenschutzrechte
Ab dem 02. August 2025 treten zusätzliche Transparenzanforderungen in Kraft. Diese verlangen von Unternehmen
- dass sie offenlegen, wie ihre KI-Systeme funktionieren,
- ein Transparenzberichte zu erstellen (Art. 53 ff. KI-VO)
- und bei Hochrisiko-KI erklären, wie Entscheidungen zustande kommen.
Diese Regelungen ergänzen zentrale Datenschutzrechte aus der DSGVO – insbesondere
- das Recht auf Auskunft (Art. 15 DSGVO),
- das Recht auf transparente Information (Art. 13 und 14 DSGVO)
- und das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein (Art. 22 DSGVO).
Die KI-VO verlangt somit von Unternehmen, dass sie nicht nur technisch verstehen, wie ihre KI funktioniert, sondern auch in der Lage sind, diese Prozesse nutzergerecht und verständlich zu erklären.
Haftungsrisiken bei Datenschutzverstößen
Mit den neuen Vorgaben steigt das Haftungsrisiko für Geschäftsleiter und Vorstände. Fehlende KI-Compliance, beispielsweise durch unzulässige Datenverarbeitung, mangelnde Transparenz oder unzureichende Risikobewertung, kann zu folgenden Konsequenzen führen:
- Bußgeldern von bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes,
- zivilrechtlicher Haftung für Datenschutzverstöße
- und unter Umständen sogar zu strafrechtlichen Konsequenzen führen.
Daher ist es entscheidend, Datenschutz als Teil der KI-Strategie zu betrachten und präventiv zu handeln.
Fazit: Datenschutz ist kein Nebenschauplatz, sondern das Herzstück der KI-Compliance
Die KI-VO deutlich, dass Datenschutz ein integraler Bestandteil verantwortungsvoller KI-Nutzung ist. Unternehmen sind in der Pflicht, nicht nur technisch, sondern auch rechtlich und organisatorisch sicherzustellen, dass personenbezogene Daten geschützt, transparente Entscheidungen ermöglicht und Risiken durch KI reduziert werden.
Wer jetzt handelt, kann nicht nur hohe Bußgelder vermeiden, sondern sich auch als vertrauenswürdiger Vorreiter in der Nutzung von KI positionieren.
Die Creditreform Compliance Services (CCS) unterstützt Sie mit fundierter Beratung und praxisnahen Schulungskonzepten bei der Umsetzung der KI- und Datenschutzvorgaben. Mit unseren E-Learnings zu KI-Compliance und Datenschutz können Sie Ihre Beschäftigten effizient, flexibel und rechtskonform schulen. So erfüllen Sie nicht nur Ihre gesetzlichen Pflichten, sondern stärken auch die verantwortungsvolle Nutzung von KI in Ihrem Unternehmen.
Autor: Okan Karagöz, Consultant Data Protection Services, Creditreform Compliance Services GmbH