Aktuelles
Datum: 

Datenschutzkonforme KI-Systeme: TOM-Empfehlungen der DSK-Leitlinie 2025 für Unternehmen

KI-Systeme datenschutzkonform gestalten – mit Struktur, Transparenz und Verantwortung

Die Datenschutzkonferenz (DSK) hat mit ihrer neuen Leitlinie vom 17. Juni 2025 einen praxisnahen Rahmen für die DSGVO-konforme Nutzung von KI-Systemen geschaffen. Ziel ist es, Unternehmen klare Anforderungen für den Einsatz von künstlicher Intelligenz im Einklang mit der DSGVO aufzuzeigen – insbesondere durch geeignete technische und organisatorische Maßnahmen (TOMs).

Besonders relevant ist die Leitlinie für Unternehmen, die bereits KI-basierte Tools in sensiblen Bereichen einsetzen wie beispielsweise bei automatisierten Entscheidungen, der Analyse personenbezogener Daten oder der Nutzung generativer KI-Systeme wie Large Language Models (LLM).


Was fordert die DSK konkret

Die DSK-Leitlinie konkretisiert die DSGVO-Grundprinzipien für KI-Anwendungen und fordert unter anderem:

  • Transparenz über Funktionsweise und Datenverarbeitung
  • Nachvollziehbarkeit und Kontrolle von KI-Modellen
  • Risikobasierte Dokumentation & Rechenschaftspflichten
  • Datensparsamkeit, Pseudonymisierung und Schutzmaßnahmen
  • Governance-Strukturen und regelmäßiges Monitoring

Die Anforderungen steigen mit dem Risiko, das vom jeweiligen KI-System ausgeht. Je nach Einsatzzweck – etwa im HR-Bereich, bei Kundenanalysen oder im Gesundheitswesen – sind differenzierte Maßnahmen erforderlich.


Praxisbeispiel beim Einsatz generativer KI im Kundenservice

Ein Unternehmen nutzt ein generatives KI-System zur automatisierten Beantwortung von Kundenanfragen. Dabei werden auch personenbezogene Daten verarbeitet.

Folgen gemäß der DSK-Leitlinie:

  • Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich.
  • Die Trainingsdaten und Funktionslogik des Modells müssen dokumentiert werden.
  • Die Antworten müssen durch menschliche Aufsicht kontrollierbar sein.
  • Für Nutzerinnen und Nutzer muss klar erkennbar sein, wann sie mit einer KI interagieren.

Daraus entstehen folgende Handlungsempfehlungen für Unternehmen

  • KI-Systeme klassifizieren: Welche Anwendungen verarbeiten personenbezogene Daten? Welche Risiken bestehen?
  • TOMs dokumentieren & anpassen: Bestehende Maßnahmen auf KI-Tauglichkeit prüfen (z. B. Logging, Versionskontrolle, Zugriffsbeschränkungen).
  • DSFA aktualisieren: Datenschutz-Folgenabschätzungen um KI-spezifische Aspekte erweitern – inkl. Trainingsdaten, Zweckbindung und Modellnutzung.
  • Verantwortlichkeiten klären: Rollen wie KI-Koordinatorinnen und -Koordinatoren, Datenschutzbeauftragte und Fachbereiche besser verzahnen.
  • Transparenz fördern: Nutzerinnen und Nutzer bzw. Betroffene aktiv über die Nutzung von KI-Systemen informieren.


Wobei wir unterstützen können

Als interdisziplinäres Team aus Datenschutz, IT-Audit und Compliance begleiten die Expertinnen und Experten unseres Fachbereichs IT & Controls Assurance Unternehmen bei der strukturierten Umsetzung bei Datenschutz Compliance Anforderungen wie der DSK-Leitlinie – sei es bei der Einführung neuer KI-Systeme ebenso wie bei der Optimierung bestehender Prozesse.


Unsere Leistungen im Überblick:

  • Readiness-Check & GAP-Analyse: Wir zeigen auf, wo Ihr Unternehmen im Vergleich zur DSK-Leitlinie steht und ermitteln Umsetzungsbedarfe.
  • Operationalisierung von TOMs: Wir unterstützen bei der Implementierung konkreter Maßnahmen, egal ob technisch und organisatorisch.
  • Erweiterung von DSFA-Prozessen: Wir helfen dabei DSGVO- und KI-spezifische Risiken effizient zu integrieren.
  • Dokumentation & Governance: Wir entwickeln Templates, Prüfpfade und Richtlinien, die Regulatorik und Praxis vereinen.
  • Schulungen & Awareness: Wir stärken Ihr Team mit zielgruppengerechtem Know-how – vom IT-Team bis zur Geschäftsführung.

 

Fazit: Wer KI systematisch absichert, gewinnt Vertrauen

Die neue DSK-Leitlinie macht klar: Wer KI nutzt, trägt Verantwortung – technisch, rechtlich und ethisch. Unternehmen, die jetzt handeln, schaffen nicht nur Rechtssicherheit, sondern auch Vertrauen bei Kundinnen und Kunden, Geschäftskontakten und Aufsichtsbehörden.

Wir begleiten Sie auf dem Weg zu einem datenschutzkonformen und verantwortungsvollen KI-Einsatz.

Dieser Artikel wurde verfasst von