Zum Inhalt springen
Satya Legal - Abogados especializados en startups y derecho tecnológico en España
Zurück zur Startseite

KI-Regulierung und sensible Daten: Was die DSGVO und die spanische LOPD von Ihrem Unternehmen verlangen

KI-Regulierung und sensible Daten: DSGVO und LOPD - Satya Legal

Künstliche Intelligenz ist keine Zukunftsmusik mehr: Chatbots im Kundenservice, Algorithmen für die Personalauswahl, Modelle zur Analyse medizinischer Daten. Das Problem: Viele dieser Tools verarbeiten sensible personenbezogene Daten, ohne dass sich die Unternehmen ihrer rechtlichen Pflichten bewusst sind. Die KI-Verordnung der EU (AI Act), die DSGVO und Spaniens LOPD-GDD bilden einen Rechtsrahmen, den jede Organisation kennen muss, die KI einsetzt. Verstöße können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen.

Kurz zusammengefasst

  • Der AI Act (EU-Verordnung 2024/1689) stuft KI-Systeme nach Risikoniveau ein und verbietet bestimmte Anwendungen (Social Scoring, biometrische Massenidentifizierung).
  • Die DSGVO verlangt Rechtsgrundlage, Transparenz und Datenschutz-Folgenabschätzung (DSFA) bei KI-Verarbeitung personenbezogener Daten, insbesondere besonderer Kategorien (Gesundheit, Biometrie, ethnische Herkunft, politische Überzeugungen).
  • Spaniens LOPD-GDD verstärkt die Garantien: digitale Rechte, DSB-Pflichten und eigenes Sanktionsregime.
  • Kumulative Bußgelder können 35 Mio. € (AI Act) + 20 Mio. € (DSGVO) erreichen.
  • Eine Datenschutz-Folgenabschätzung (DSFA/DPIA) vor dem KI-Einsatz ist praktisch verpflichtend.

Der EU AI Act: risikobasierte Klassifizierung und Verbote

Die KI-Verordnung der EU (seit August 2024 in Kraft, stufenweise Anwendung bis 2027) ist das weltweit erste umfassende KI-Gesetz. Sie stuft KI-Systeme in vier Ebenen ein:

Risikoniveau Beispiele Pflichten
Unakzeptabel Social Scoring, unterschwellige Manipulation, biometrische Echtzeit-Identifizierung in öffentlichen Räumen Verboten
Hoch Personalauswahl, Kreditbewertung, medizinische Diagnose, Migrationssysteme Konformitätsbewertung, EU-Registrierung, menschliche Aufsicht, Transparenz, Risikomanagement
Begrenzt Chatbots, Deepfakes, KI-generierte Inhalte Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI interagieren
Minimal Spamfilter, Inhaltsempfehlungen, Videospiele Keine besonderen Pflichten (Verhaltenskodex empfohlen)

Sensible Daten und besondere Kategorien: was die DSGVO sagt

Artikel 9 der DSGVO verbietet grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten: rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben. KI multipliziert das Risiko, da sie diese Daten ableiten kann, selbst wenn sie nicht direkt bereitgestellt werden.

Spaniens LOPD-GDD: Verstärkung der DSGVO

Spaniens LOPD-GDD (Organgesetz 3/2018) passt die DSGVO an das spanische Recht an und fügt eigene Garantien hinzu: digitale Rechte (Recht auf digitale Abschaltung, Recht auf Privatsphäre bei Nutzung digitaler Geräte am Arbeitsplatz), erweiterte DSB-Pflichten und ein eigenes Sanktionsregime mit Bußgeldern von bis zu 20 Mio. € oder 4 % des Umsatzes.

Datenschutz-Folgenabschätzung (DSFA/DPIA): wann ist sie verpflichtend?

Artikel 35 der DSGVO verlangt eine Datenschutz-Folgenabschätzung, wenn eine Verarbeitung aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. In der Praxis erfordert nahezu jeder KI-Einsatz mit personenbezogenen Daten eine DSFA, insbesondere bei: automatisierter Bewertung, automatisierten Entscheidungen mit rechtlichen Auswirkungen, systematischer Überwachung, Verarbeitung besonderer Kategorien in großem Umfang oder dem Einsatz neuer Technologien (generative KI, Gesichtserkennung, Predictive Analytics).

Praxisbeispiele: KI und sensible Daten im Geschäftsalltag

1. KI-gestützte Personalauswahl

Wenn Sie einen Algorithmus zur CV-Vorauswahl einsetzen, handelt es sich um ein Hochrisiko-KI-System (AI Act, Anhang III). Es kann sensible Daten (Alter, ethnische Herkunft, Behinderung) aus dem Lebenslauf ableiten. Sie benötigen: DSFA, wirksame menschliche Aufsicht, Transparenz gegenüber Bewerbern und Registrierung als Hochrisiko-System.

2. Kundenservice-Chatbot

Wenn Ihr KI-Chatbot personenbezogene Daten erhebt, müssen Sie: über die KI-Interaktion informieren (AI Act, begrenztes Risiko), die Datenschutzerklärung aktualisieren, eine Rechtsgrundlage haben und Maßnahmen ergreifen, damit das Modell keine sensiblen Daten speichert oder damit nachtrainiert.

3. Predictive Analytics in Gesundheit oder Versicherung

Modelle, die Krankheitsrisiken vorhersagen oder Versicherungsprämien berechnen, verarbeiten Gesundheitsdaten (besondere Kategorie). Erforderlich: ausdrückliche Einwilligung oder spezifische Rechtsgrundlage (Art. 9 Abs. 2 DSGVO), verpflichtende DSFA, Verschlüsselung und Pseudonymisierung.

4. Gesichtserkennung am Arbeitsplatz

Ein biometrisches Zugangskontrollsystem mit Gesichtserkennung ist eine Verarbeitung biometrischer Daten (besondere Kategorie) und ein Hochrisiko-KI-System. Die spanische AEPD hat strenge Kriterien veröffentlicht: Es ist nur verhältnismäßig, wenn keine weniger invasive Alternative existiert.

Bußgelder: die Kosten der Nichteinhaltung

Kumulatives Sanktionsregime:

  • AI Act: bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für verbotene Praktiken; bis zu 15 Mio. € oder 3 % für Verstöße bei Hochrisiko-Systemen.
  • DSGVO: bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes für schwere Verstöße.
  • LOPD-GDD: sehr schwere Verstöße bis zu 20 Mio. € oder 4 % des Umsatzes; schwere Verstöße bis zu 300.000 €.

Checkliste: KI, sensible Daten und Compliance

  • Bestandsaufnahme aller KI-Systeme und Risikoeinstufung nach AI Act.
  • Kartierung der verarbeiteten personenbezogenen Daten und Rechtsgrundlagen.
  • DSFA für jedes Hochrisiko-KI-System durchführen.
  • Datenschutzerklärung um KI-Nutzung, Logik und Folgen aktualisieren.
  • Menschliche Aufsicht bei automatisierten Entscheidungen sicherstellen.
  • Verträge mit KI-Anbietern prüfen (Auftragsverarbeitung, Datenlokalisierung, Sicherheitsmaßnahmen).

Verwandte Dienstleistungen

Nutzt Ihr Unternehmen KI, ohne die DSGVO und den AI Act zu beachten?

Bei Satya Legal unterstützen wir Sie bei der Folgenabschätzung, der Anpassung von KI-Anbieterverträgen, der Datenschutzerklärung und der Einhaltung der neuen europäischen KI-Verordnung.

Satya Legal kontaktieren

Teilen

Verwandte Inhalte

Verwandte Artikel

E-Commerce und DSGVO: Pflichten, Sanktionen und Compliance im Onlineshop

E-Commerce und DSGVO: Pflichten, Sanktionen und Compliance im Onlineshop

Leitfaden zur DSGVO-Compliance im E-Commerce: Rechtsgrundlagen, Einwilligung, Datenschutzerklärung, Cookies und Verzeichnis. Sanktionsrisiko und Checkliste.

Weiterlesen →
Rechtliche Web-Texte: AGB, Impressum, Datenschutz und Cookies bei B2B und E-Commerce

Rechtliche Web-Texte: AGB, Impressum, Datenschutz und Cookies bei B2B und E-Commerce

Bedeutung rechtlicher Web-Texte beim Vertragsschluss, B2B vs B2C, Verbraucherrecht, DSGVO, Cookies und E-Commerce: Rückgaben, Widerruf und vorvertragliche Informationen.

Weiterlesen →
Europäische Kryptowährungsregulierung MiCA

Europäische Kryptowährungsregulierung MiCA

Vollständige Analyse der MiCA-Regulierung für Kryptowährungen in Europa

Weiterlesen →

Verwandte Dienstleistungen

DSGVO für Startups Technologierecht