Zum Inhalt springen
Satya Legal - Abogados especializados en startups y derecho tecnológico en España
Zurück zur Startseite
Pedro J. Peinado Báez
Von · Gründungspartner
Veröffentlicht am

KI-Regulierung und sensible Daten: DSGVO, LOPD und AI Act

KI-Regulierung und sensible Daten: DSGVO und LOPD - Satya Legal

Künstliche Intelligenz ist keine Zukunftsmusik mehr: Chatbots im Kundenservice, Algorithmen für die Personalauswahl, Modelle zur Analyse medizinischer Daten. Das Problem ist, dass viele dieser Tools sensible personenbezogene Daten verarbeiten, ohne dass sich die Unternehmen ihrer rechtlichen Pflichten bewusst sind. Die KI-Verordnung der EU (AI Act), die DSGVO und Spaniens LOPD-GDD bilden einen Rechtsrahmen, den jede Organisation kennen muss, die KI einsetzt. Verstöße können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen.

Kurz zusammengefasst

  • Der AI Act (EU-Verordnung 2024/1689) stuft KI-Systeme nach Risikoniveau ein und verbietet bestimmte Anwendungen (Social Scoring, biometrische Massenidentifizierung).
  • Die DSGVO verlangt Rechtsgrundlage, Transparenz und Datenschutz-Folgenabschätzung (DSFA), wenn KI personenbezogene Daten verarbeitet, insbesondere besondere Kategorien (Gesundheit, Biometrie, ethnische Herkunft, politische Überzeugungen).
  • Spaniens LOPD-GDD verstärkt die Garantien: digitale Rechte, DSB-Pflichten und eigenes Sanktionsregime.
  • Kumulative Bußgelder können 35 Mio. € (AI Act) + 20 Mio. € (DSGVO) erreichen — ein reales Risiko für KMU und Startups.
  • Eine Datenschutz-Folgenabschätzung (DSFA/DPIA) vor dem KI-Einsatz ist praktisch verpflichtend.

Der EU AI Act: risikobasierte Klassifizierung und Verbote

Die KI-Verordnung der EU (seit August 2024 in Kraft, stufenweise Anwendung bis 2027) ist das weltweit erste umfassende KI-Gesetz. Sie stuft KI-Systeme in vier Ebenen ein:

Risikoniveau Beispiele Pflichten
Unakzeptabel Social Scoring, unterschwellige Manipulation, biometrische Echtzeit-Identifizierung in öffentlichen Räumen Verboten
Hoch Personalauswahl, Kreditbewertung, medizinische Diagnose, Migrationssysteme Konformitätsbewertung, EU-Registrierung, menschliche Aufsicht, Transparenz, Risikomanagement
Begrenzt Chatbots, Deepfakes, KI-generierte Inhalte Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI interagieren
Minimal Spamfilter, Inhaltsempfehlungen, Videospiele Keine besonderen Pflichten (Verhaltenskodex empfohlen)

Achtung: Hochrisiko-KI-Systeme, die biometrische Daten, Gesundheitsdaten oder besondere Kategorien verarbeiten, unterliegen gleichzeitig dem AI Act und der DSGVO. Die Pflichten kumulieren, sie ersetzen sich nicht.

Sensible Daten und besondere Kategorien: was die DSGVO sagt

Artikel 9 der DSGVO verbietet grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten: rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung. KI vervielfacht das Risiko, da sie diese Daten ableiten kann, selbst wenn sie nicht direkt bereitgestellt werden (z. B. Rückschluss auf den Gesundheitszustand aus Einkaufsmustern).

Ausnahmen nach Art. 9 Abs. 2 DSGVO, die die Verarbeitung sensibler Daten erlauben:

  • Ausdrückliche Einwilligung der betroffenen Person für bestimmte Zwecke.
  • Pflichten im Arbeits- und Sozialversicherungsrecht.
  • Lebenswichtige Interessen der betroffenen Person oder eines Dritten.
  • Erhebliches öffentliches Interesse (auf Grundlage des EU- oder mitgliedstaatlichen Rechts).
  • Zwecke der präventiven Medizin, Diagnose, Behandlung oder Gesundheitsverwaltung.
  • Zwecke der wissenschaftlichen Forschung oder Statistik mit geeigneten Garantien.

Die LOPD-GDD: spanische Verstärkung der DSGVO

Das Organgesetz 3/2018 zum Datenschutz und zur Gewährleistung der digitalen Rechte (LOPD-GDD) passt die DSGVO an die spanische Rechtsordnung an und fügt eigene Garantien hinzu:

  • Digitale Rechte (Titel X): Recht auf digitale Abschaltung, auf Privatsphäre bei der Nutzung digitaler Geräte am Arbeitsplatz und das Recht, keinen ausschließlich automatisierten Entscheidungen unterworfen zu sein (Verstärkung von Art. 22 DSGVO).
  • Datenschutzbeauftragter (DSB): in Spanien zusätzlich verpflichtend für Telekommunikationsanbieter, Gesundheitszentren, Versicherungen oder Werbeunternehmen.
  • Sanktionsregime: leichte Verstöße (bis zu 40.000 €), schwere (bis zu 300.000 €) und sehr schwere (bis zu 20 Mio. € oder 4 % des Umsatzes).
  • Verarbeitung von Daten Verstorbener: eine spezifische Regelung, die die DSGVO nicht vorsieht.

Datenschutz-Folgenabschätzung (DSFA/DPIA): wann ist sie verpflichtend?

Artikel 35 der DSGVO verlangt eine Datenschutz-Folgenabschätzung, wenn eine Verarbeitung aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. In der Praxis erfordert nahezu jeder KI-Einsatz mit personenbezogenen Daten eine DSFA, insbesondere wenn zwei oder mehr dieser Faktoren zusammentreffen:

Kriterien, die eine DSFA auslösen:

  • Automatisierte Bewertung oder Scoring (Bonität, Leistungsbeurteilung).
  • Automatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen.
  • Systematische Überwachung (KI-gestützte Videoüberwachung, Mitarbeitermonitoring).
  • Verarbeitung besonderer Datenkategorien in großem Umfang.
  • Einsatz neuer Technologien (generative KI, Gesichtserkennung, Predictive Analytics).
  • Zusammenführung oder Kombination von Datensätzen aus verschiedenen Quellen.

Die DSFA ist kein bürokratischer Formalismus: Sie ist das Dokument, das belegt, dass Ihr Unternehmen Risiken identifiziert, Maßnahmen ergriffen und den DSB (bzw. die spanische Aufsichtsbehörde AEPD) konsultiert hat. Ohne sie wird ein Bußgeld wegen unrechtmäßiger Verarbeitung deutlich höher ausfallen.

Praxisbeispiele: KI und sensible Daten im Geschäftsalltag

1. KI-gestützte Personalauswahl

Wenn Sie einen Algorithmus zur Lebenslauf-Vorauswahl einsetzen, handelt es sich um ein Hochrisiko-KI-System (AI Act, Anhang III). Es kann sensible Daten (Alter, ethnische Herkunft, Behinderung) aus dem Lebenslauf ableiten. Erforderlich sind: DSFA, wirksame menschliche Aufsicht, Transparenz gegenüber Bewerbern (Art. 22 DSGVO) und Registrierung als Hochrisiko-System.

2. Kundenservice-Chatbot

Wenn Ihr Chatbot mit generativer KI personenbezogene Daten erhebt (Name, E-Mail, Anfragen, die den Gesundheits- oder Finanzstatus offenbaren können), brauchen Sie: Hinweis auf KI-Interaktion (AI Act, begrenztes Risiko), aktualisierte Datenschutzerklärung, Rechtsgrundlage (Einwilligung oder Vertragserfüllung) und Maßnahmen, die verhindern, dass das Modell sensible Daten speichert oder damit nachtrainiert wird.

3. Predictive Analytics in Gesundheit oder Versicherung

Modelle, die Krankheitsrisiken vorhersagen oder Versicherungsprämien berechnen, verarbeiten Gesundheitsdaten (besondere Kategorie). Erforderlich sind: ausdrückliche Einwilligung oder spezifische Rechtsgrundlage (Art. 9 Abs. 2 DSGVO), verpflichtende DSFA, Verschlüsselung und Pseudonymisierung sowie Sicherstellung des Widerspruchsrechts und der Erklärbarkeit der automatisierten Entscheidung.

4. Gesichtserkennung am Arbeitsplatz

Ein biometrisches Zugangskontrollsystem mit Gesichtserkennung ist eine Verarbeitung biometrischer Daten (besondere Kategorie) und ein Hochrisiko-KI-System. Neben DSGVO und AI Act hat die spanische AEPD strenge Kriterien erlassen: Es ist nur verhältnismäßig, wenn keine weniger invasive Alternative existiert.

Bußgelder: die Kosten der Nichteinhaltung

Kumulatives Sanktionsregime:

  • AI Act: bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für verbotene Praktiken; bis zu 15 Mio. € oder 3 % für Verstöße bei Hochrisiko-Systemen.
  • DSGVO: bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes für schwere Verstöße (fehlende Rechtsgrundlage, Verletzung von Betroffenenrechten, fehlende DSFA).
  • LOPD-GDD: sehr schwere Verstöße bis zu 20 Mio. € oder 4 % des Umsatzes; schwere Verstöße bis zu 300.000 €.

Reales Beispiel: Die spanische AEPD verhängte 2021 ein Bußgeld von 6 Mio. € gegen CaixaBank wegen Mängeln bei der Information über Verarbeitungszwecke und Rechtsgrundlagen. Mit KI vervielfachen sich diese Risiken.

Konkrete Pflichten: was Ihr Unternehmen tun muss

Checkliste: KI, sensible Daten und Compliance

  • 1. Bestandsaufnahme der KI-Systeme — Identifizieren Sie alle eingesetzten KI-Systeme (eigene oder von Dritten) und stufen Sie sie nach den Risikoebenen des AI Act ein.
  • 2. Daten-Mapping — Bestimmen Sie, welche personenbezogenen Daten jedes System verarbeitet, ob besondere Kategorien betroffen sind und welche Rechtsgrundlage gilt.
  • 3. Datenschutz-Folgenabschätzung (DSFA) — Führen Sie für jedes KI-System mit hohem Risiko eine DPIA durch und dokumentieren Sie Risiken, Maßnahmen und Schlussfolgerungen.
  • 4. Transparenz und Information — Aktualisieren Sie die Datenschutzerklärung, um über KI-Nutzung, Zwecke, angewandte Logik und Folgen der automatisierten Verarbeitung zu informieren.
  • 5. Menschliche Aufsicht — Stellen Sie sicher, dass automatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen von einem Menschen überprüft werden können (Art. 22 DSGVO + AI Act).
  • 6. Betroffenenrechte — Implementieren Sie Mechanismen für Auskunfts-, Berichtigungs-, Löschungs-, Widerspruchs- und insbesondere das Recht, keinen automatisierten Entscheidungen unterworfen zu sein.
  • 7. Verträge mit KI-Anbietern — Überprüfen Sie Verträge mit KI-Anbietern: Auftragsverarbeitungsklauseln, Datenlokalisierung, Subunternehmer, Sicherheitsmaßnahmen.
  • 8. DSB und Governance — Prüfen Sie die Notwendigkeit eines Datenschutzbeauftragten und etablieren Sie ein KI-Governance-Komitee oder -Protokoll.
  • 9. Schulungen — Schulen Sie die Teams, die KI nutzen, zu Risiken, Pflichten und Best Practices im Datenschutz.
  • 10. Register und Dokumentation — Halten Sie das Verzeichnis von Verarbeitungstätigkeiten mit KI-Systemen aktuell und bewahren Sie Nachweise der Compliance auf (Rechenschaftspflicht).

Anwendungszeitplan des AI Act

Datum Meilenstein
August 2024 Inkrafttreten der Verordnung
Februar 2025 Verbot von KI-Praktiken mit unakzeptablem Risiko
August 2025 Pflichten für KI-Modelle für allgemeine Zwecke (GPAI)
August 2026 Vollständige Anwendung: Pflichten für Hochrisiko-KI-Systeme
August 2027 Pflichten für Hochrisiko-Systeme in regulierten Produkten (Anhang I)

Verwandte Dienstleistungen

Nutzt Ihr Unternehmen KI, ohne zu wissen, ob es DSGVO und AI Act einhält?

Bei Satya Legal unterstützen wir Sie bei der Folgenabschätzung, der Anpassung von KI-Anbieterverträgen, der Datenschutzerklärung und der Einhaltung der neuen europäischen KI-Verordnung. Vermeiden Sie Bußgelder und schützen Sie Ihr Unternehmen.

Satya Legal kontaktieren

Teilen

Auf LinkedIn teilen

Verwandte Inhalte

Verwandte Artikel

E-Commerce und DSGVO: Pflichten, Sanktionen und Compliance im Onlineshop

E-Commerce und DSGVO: Pflichten, Sanktionen und Compliance im Onlineshop

Leitfaden zur DSGVO-Compliance im E-Commerce: Rechtsgrundlagen, Einwilligung, Datenschutzerklärung, Cookies und Verzeichnis. Sanktionsrisiko und Checkliste.

Weiterlesen →
Rechtliche Web-Texte: AGB, Impressum, Datenschutz und Cookies bei B2B und E-Commerce

Rechtliche Web-Texte: AGB, Impressum, Datenschutz und Cookies bei B2B und E-Commerce

Bedeutung rechtlicher Web-Texte beim Vertragsschluss, B2B vs B2C, Verbraucherrecht, DSGVO, Cookies und E-Commerce: Rückgaben, Widerruf und vorvertragliche Informationen.

Weiterlesen →
Europäische Kryptowährungsregulierung MiCA

Europäische Kryptowährungsregulierung MiCA

Vollständige Analyse der MiCA-Regulierung für Kryptowährungen in Europa

Weiterlesen →

Verwandte Dienstleistungen

DSGVO für Startups Technologierecht