Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
Umsetzung der KI-Verordnung in Unternehmen: Synergiepotenzial der DSGVO nutzen
Mit der Verordnung über künstliche Intelligenz (KI-VO) strebt die Europäische Union an, weltweit Maßstäbe zu setzen. Erstmals soll ein einheitlicher Rechtsrahmen definieren, wie KI-Systeme entwickelt, eingesetzt und überwacht werden. Ziel ist es, Innovation zu ermöglichen, ohne Sicherheit, Transparenz oder Grundrechte zu gefährden.
Trotz kontroverser Debatten über potenzielle Risiken plant die Europäische Kommission derzeit kein Moratorium. Zum gegenwärtigen Zeitpunkt ist daher nicht davon auszugehen, dass sich am Zeitrahmen der stufenweisen Geltung der KI-VO etwas ändern wird.
Vor diesem Hintergrund stellt sich die Frage welche konkreten Vorgaben die KI-VO enthält, wie diese in der Praxis umgesetzt werden sollen, welche Auswirkungen sich daraus für Unternehmen und öffentliche Stellen ergeben und wie diesen Anforderungen effizient begegnet werden kann.
Dieser Beitrag verfolgt das Ziel Synergien zwischen datenschutzrechtlichen und KI-spezifischen Compliance-Anforderungen zu identifizieren und praxisnah darzustellen. Dabei wird insbesondere beleuchtet, wie bestehende Datenschutzstrukturen - etwa das Verfahrensverzeichnis gemäß Art 30 DSGVO - genutzt und erweitert werden können, um auch den Anforderungen der KI-VO gerecht zu werden.
Um Praktiker:innen einen prägnanten Überblick über den zeitlichen Rahmen der stufenweisen Geltung der KI-VO und deren Fristen zu geben, empfiehlt sich etwa die diesbezügliche Darstellung der Rundfunk und Telekom Regulierungs-GmbH auf deren Website.
1. Allgemein
Die KI-VO enthält weitreichende Pflichten betreffend den Umgang mit KI-Systemen. Für viele Unternehmen bedeutet dies: neue Prozesse, neue Dokumentationsanforderungen, neue Governance-Strukturen. Gleichzeitig besteht jedoch ein erhebliches Synergiepotenzial zu bereits etablierten Datenschutzprozessen basierend auf der Datenschutzgrundverordnung (DSGVO) - insbesondere dem Verfahrensverzeichnis (VVZ) gemäß Art 30 DSGVO.
Nutzt man diese Schnittstellen, kann nicht nur Aufwand reduziert, sondern auch Compliance nachhaltig und effizient gestaltet werden.
2. Gemeinsamkeiten sowie Parallelen der DSGVO und KI-VO
Beide Regelwerke verfolgen zentrale gemeinsame Ziele wie etwa: Transparenz, Rechenschaftspflicht, Schutz der Grundrechte sowie einen risikobasierten Ansatz.
Während die DSGVO ihr Hauptaugenmerk auf den Schutz personenbezogener Daten richtet, fokussiert sich die KI-VO darüber hinaus auf Aspekte wie technische Robustheit, menschliche Aufsicht und Bias-Erkennung - bleibt jedoch bei KI-Systemen, die personenbezogene Daten verarbeiten, eng mit der DSGVO verzahnt.
3. Synergien zwischen DSGVO-VVZ (Art 30) und KI-VO-Dokumentation (Art 11, 12, 18)
Synergien zwischen dem datenschutzrechtlichen Verfahrensverzeichnis und den Anforderungen der KI-Verordnung (KI-VO) bestehen vor allem in ähnlich gelagerten Dokumentations- und Nachweispflichten, die Unternehmen nutzen können, um Compliance-Aufwände effizient zu bündeln.
Das Verfahrensverzeichnis dokumentiert - verkürzt dargestellt - Verarbeitungstätigkeiten personenbezogener Daten, den Zweck der Verarbeitung sowie technische und organisatorische Maßnahmen (TOM). Die KI-VO verlangt parallele Aufzeichnungen zu eingesetzten KI-Systemen, etwa zur Beschreibung der FunktioS. 112 nen, der eingesetzten Datenarten, der Risikobewertung sowie zu Kontrollmechanismen.
Wird das Verfahrensverzeichnis um KI-spezifische Verarbeitungsschritte erweitert, lässt sich Redundanz hinsichtlich der Dokumentationspflichten vermeiden. So können beispielsweise Risikoanalysen, die für Hochrisiko-KI-Systeme nach der KI-VO gelten, mit Datenschutz-Folgenabschätzungen (DSFA) (gemäß Art 35 DSGVO) verbunden und im Verfahrensverzeichnis abgebildet werden.
Die Nachverfolgbarkeit, Governance und Verantwortlichkeiten, die beide Regelwerke verlangen, lassen sich durch ein konsolidiertes, organisationsweites Dokumentationssystem erfüllen. Dadurch erhöht sich nicht nur die Transparenz gegenüber Aufsichtsbehörden, sondern auch die interne Steuerungsfähigkeit betreffend Datenschutz und KI-Sicherheit.
Um eine KI-Compliance nach internationalen Standards zu gewährleisten, empfiehlt sich eine vertiefende Betrachtung folgender ISO/IEC-Normen:
ISO/IEC 42001:2023 - betreffend KI-Managementsysteme;
ISO/IEC 38507 - betreffend KI-Governance auf Vorstandsebene;
ISO/IEC 27701 - betreffend Datenschutz-Informationsmanagementsysteme sowie
ISO/IEC 27001 - betreffend Informationssicherheits-Managementsysteme.
4. Handlungsempfehlungen und FAQ
In der Praxis empfiehlt sich eine gemeinsame - oder zumindest koordinierte - datenschutz- und KI-rechtliche Prüfung bei Einführung eines neuen KI-Systems; ein praxisnaher Fragebogen hierzu wurde etwa durch die/den deutsche/n Bundesbeauftragte/n für den Datenschutz und die Informationsfreiheit veröffentlicht.
Ferner empfiehlt sich für Praktiker:innen auch ein Blick in die FAQder Rundfunk und Telekom Regulierungs-GmbH.
Schließlich wurden in einem früheren Artikel bereits Handlungsempfehlungen und FAQ (internationaler) Aufsichtsbehörden erwähnt, die auch für den gegenwärtigen Themenkomplex von Relevanz sind.
5. Praxisbeispiele für eine integrierte Nutzung
Die nachfolgenden Praxisbeispiele veranschaulichen, wie sich zentrale Anforderungen der DSGVO und der KI-VO in konkreten Anwendungsfeldern sinnvoll miteinander verbinden lassen. Sie zeigen exemplarisch, wie bestehende Datenschutzstrukturen als Fundament für eine rechtssichere und zugleich innovationsfördernde KI-Compliance genutzt werden können: von der Meetingdokumentation über den Recruitingprozess bis hin zu automatisierten Workflows und Kundenservices.
5.1. Meeting- und Transkriptionstoools
KI-gestützte Meeting- und Transkriptionstools sind mittlerweile fester Bestandteil des beruflichen Alltags. Da diese Anwendungen regelmäßig auf personenbezogene Daten zugreifen und diese verarbeiten, unterliegen sie datenschutzrechtlichen Anforderungen. Gerade in diesem Anwendungsbereich zeigen sich erhebliche Synergiemöglichkeiten zwischen dem Verfahrensverzeichnis und den Vorgaben der KI-VO.
Unternehmen können sämtliche KI-basierte Meeting- und Transkriptionstools im Verfahrensverzeichnis erfassen - einschließlich der jeweils verarbeiteten Datenarten (zB Audio, Sprecherverhalten, Protokolle), der Speicherdauer, des Löschkonzepts sowie der technischen und organisatorischen Maßnahmen. Dabei lassen sich die spezifischen Anforderungen der KI-VO - etwa Transparenzpflichten, Erklärbarkeit bei KI-gestützter Protokollierung und Risikobewertungen - direkt berücksichtigen und dokumentieren.
Beim Einsatz von Transkriptionstools verlangt die DSGVO eine informierte Einwilligung sowie Transparenz hinsichtlich des Zwecks, des Umfangs und der Löschfristen. Die KI-VO ergänzt dies um die Pflicht zur nachvollziehbaren Darstellung der Funktionsweise und Risiken des Tools. Werden beide Aspekte im Verfahrensverzeichnis zusammengeführt, entstehen Synergien: Rechtssicherheit, weniger Aufwand und höhere Transparenz.
Durch die Integration beider Dokumentationspflichten im Verfahrensverzeichnis lassen sich interne Prozesse für Audits, Datenschutzberichte und KI-Reviews zentral steuern und kontinuierlich verbessern.
Meeting- und Transkriptionstools werden damit zum Musterfall einer gelungenen Verschränkung von DSGVO und KI-VO im betrieblichen Alltag.
5.2. Optimierung des Recruitingprozesses durch KI-gestützte Analyse von Bewerbungsunterlagen
Unternehmen verfügen in der Regel über etablierte Mechanismen zur sicheren Verarbeitung und zum Schutz personenbezogener Daten. Diese bestehenden Strukturen bilden eine solide Grundlage für die Einführung KI-gestützter S. 113 Tools zur Analyse und Priorisierung von Bewerbungsunterlagen.
Dabei können die Anforderungen der KI-VO - insbesondere hinsichtlich Transparenz und Nachvollziehbarkeit - durch dokumentierte Entscheidungslogiken sowie die Sicherstellung der Informationsrechte der Bewerber:innen erfüllt werden.
Die Synergie zeigt sich insbesondere in der Reduktion redundanter Prüfprozesse sowie in der effizienten Integration datenschutzrechtlicher und ethischer Anforderungen in bestehenden Personalprozessen.
5.3. Automatisierte Optimierung von Geschäftsprozessen durch KI-basierte Workflows
Ferner bedeutet dies auch, dass bereits etablierte, datenschutzkonforme Arbeitsabläufe - etwa stringente Löschkonzepte und klar definierte Rollen- und Berechtigungsmodelle - als Grundlagen für die Einführung KI-gestützter Automatisierungen herangezogen werden können. Anwendungsfelder reichen von der intelligenten Ressourcensteuerung bis hin zur Vorhersage von Materialbedarf.
Die KI-VO ergänzt die Anforderungen der DSGVO um zusätzliche Vorgaben zum transparenten Umgang mit algorithmischen Entscheidungen sowie zur Durchführung begleitender Risikobewertungen.
5.4. Verbesserung der Kundenzufriedenheit durch KI-gestützte Service- und Supportsysteme
Denkt man nun an den Einsatz künstlicher Intelligenz im Kundenservice, etwa zur automatisierten Bearbeitung von Anfragen, oder zur intelligenten Weiterleitung an zuständige Stellen, zeigt sich auch hier das Potenzial zur gemeinsamen Erfüllung der DSGVO- und KI-VO-Vorgaben.
So sollten bereits im Rahmen der Datenschutz-Compliance verlässliche Einwilligungsprozesse, transparente Informationspflichten und regelmäßige Auditierungen etabliert sein.
Die KI-VO ergänzt diese Strukturen um Anforderungen an die Erklärbarkeit, die Nachvollziehbarkeit algorithmischer Entscheidungen sowie die diesbezüglichen Risiken. Werden diese Vorgaben integriert, entsteht ein konsistenter, vertrauensbildender Rahmen, der nicht nur regulatorischen Anforderungen gerecht wird, sondern auch die Servicequalität nachhaltig verbessert.
Als praxisnahe Ergänzung zu obigen Beispielen sei an dieser Stelle erwähnt, dass nicht nur das Verfahrensverzeichnis, sondern auch die bestehenden Datenschutzerklärungen - wie etwa jene für Mitarbeiter:innen, für Bewerber:innen, oder für Geschäftspartner:innen - eine Basis für die Dokumentations- und Transparenzpflichten der KI-VO darstellen können.
6. Gegenüberstellung der Dokumentations- und Complianceanforderungen
Zum Abschluss bietet die Übersicht in Tabelle 1 eine systematische Gegenüberstellung zentraler Dokumentations- und Compliance-Anforderungen der DSGVO und der KI-VO. Sie zeigt auf, in welchen Bereichen sich inhaltliche Parallelen ergeben, welche Normen jeweils zugrunde liegen und wie sich bestehende Datenschutzstrukturen gezielt für KI-spezifische Anforderungen nutzen lassen. Die Tabelle versteht sich als praxisorientierte Orientierungshilfe für eine integrierte Umsetzung beider Regelwerke.
Die Umsetzung der KI-VO muss nicht als zusätzliche bürokratische Hürde betrachtet werden. Wer bestehende Datenschutz-Prozesse - allen voran das Verfahrensverzeichnis - gezielt als Fundament nutzt, kann KI-Compliance effizient, rechtssicher und innovationsfreundlich gestalten. So werden regulatorische Anforderungen nicht nur erfüllt, sondern auch ein nachhaltiger und verantwortungsvoller KI-Einsatz in Unternehmen und Organisationen ermöglicht.
Tabelle in neuem Fenster öffnen
DSGVO-Baustein / Datenschutz | KI-VO-Pflicht / Parallele | DSGVO-Norm | KI-VO-Norm (Artikel/Anhang) |
Zweck, Kontext | Beschreibung des KI-Systems (inkl intended purpose, Einsatzhinweise) | Art 30 (1) lit a, b; Art 5 (1) lit b | Art 11 (1) iVm Anhang IV Z 1 bis 2; Art 13 |
Datenkategorien, Empfänger:innen, Speicherfristen, Zweck | Daten- und Datengovernance | Art 30 (1) lit c, d, f; Art 5 (1) lit e; Art 32 | Art 10; Art 12, Art 19; Anhang IV |
Rollen, Verantwortlichkeiten und Pflichten | Pflichten für Anbieter:innen, Einführer:innen, Händler:innen (jeweils Hochrisiko) | Art 4 Z 7, 8; Art 24 bis 28; Art 30 (1) lit a | Art 16; Art 23 bis 26 |
S. 114 Technische und organisatorische Maßnahmen (TOM), Privacy by Design/Default | Genauigkeit, Robustheit, Cybersicherheit, menschliche Aufsicht, QM-System | Art 25; Art 32 | Art 15; Art 14; Art 17 |
Protokollierung/Nachvollziehbarkeit | Technische Doku, Record-Keeping, automatische Protokolle | Art 5 (2); Art 30; Art 24 | Art 11; Art 12; Art 19; Anhang IV |
Informations- und Transparenzpflichten | Transparenzpflichten (zB Kennzeichnungspflicht, Nutzerinfos) | Art 12 bis 22 | Art 50; Art 13 |
Datenschutzfolgenabschätzungen und Risiko | RMS, Grundrechte-Folgenabschätzung (FRIA) bei Hochrisiko-KI | Art 35; Art 36 | Art 9 (RMS); Art 27 (FRIA): Hochrisiko (mit maßgeblichen Ausnahmen) |
Datenquellen und Herkunft | Beschreibung und Governance in der technischen Dokumentation | Art 14 (2) lit f | Art 10; Anhang IV |
Löschung/Speicherbegrenzung, sensible Daten | Nutzung besonderer Kategorien nur für Bias-Monitoring, strenge Schutzmaßnahmen | Art 5 (1) lit e; Art 9 | Art 10 (5) |
Post-Market-Monitoring, Korrekturen und Meldungen | Monitoring-Plan, Korrekturmaßnahmen, Meldepflichten | (Kein ausdrückliches Pendant; Art 24, 32, 33, 34 DSGVO regeln Vorfälle) | Art 72; Art 20; Art 73 |
Registrierung/CE-Konformität (nur Hochrisiko) | Registrierung, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung | (Kein DSGVO-Pendant, stützt aber Rechenschaft: Art 5 (2); Art 24) | Art 49 (Registrierung); Art 43 (Konformität); Art 47 (EU-Konformitätserklärung); Art 48 (CE) |
