19. September 2025

Wie kontrolliere ich ein konkretes KI-Produkt?

DP+

Die konkrete Wirkungsweise von KI-Produkten ist für Datenschutzbeauftragte in der Regel nicht zu durchschauen. Zudem geizen die Anbieter mit Hinweisen zum datenschutzkonformen KI-Einsatz.

Bild: iStock.com/demaerre

5,00 (1)

Künstliche Intelligenz im Praxiseinsatz

Künstliche Intelligenz (KI) ist in der Breite der Unternehmen angekommen. Dies führt schnell zur Frage, wie sich ein solches Produkt für einen datenschutzkonformen Einsatz kontrollieren lässt. Hier gibt es Synergien zwischen DSGVO und KI-VO.

Die Anzahl großer Sprachmodelle nach dem Stand der Technik erscheint noch überschaubar. Zumindest momentan finden häufig die Platzhirsche mit ihren Cloudmodellen Einzug in die Unternehmensprozesse.

Die Anzahl der anderen KI-Produkte hingegen nimmt rasant zu. Sie ist teils jetzt schon kaum mehr zu überblicken.

Dies stellt Datenschutzpraktiker vor die Herausforderung, die sie z.B. von Cloudprodukten schon kennen. Sie sollen mitunter Stellung nehmen zur Frage: „Ist das Produkt XY datenschutzkonform?“

Dies werden wir uns im Folgenden genauer ansehen und gleich den Fokus setzen: Es geht um den datenschutzkonformen Einsatz von KI-Produkten, in der KI-Verordnung (KI-VO) auch synonym als KI-Systeme bezeichnet. Hier geht es also nicht um datenschutzrechtliche Fragen beim Training der KI-Modelle (siehe dazu den Beitrag ab S. 13).

Daten prägen das Produkt

Softwaresysteme bestehen aus Algorithmen, die meist auf klaren „Wenn-dann“-Regeln beruhen. Ein solches System würde z.B. eine Bewerbung ablehnen, wenn ein Bewerber, so eine Regel, keine Berufserfahrung von drei Jahren mitbringt. Dies hat einen grundsätzlichen Vorteil: Liegt der Programmcode vor, ist die Entscheidungslogik transparent.

Bei den meisten KI-Systemen wie etwa neuronalen Netzen sieht es anders aus: In diesen Fällen gibt es zwar eine sogenannte KI-Architektur, also eine Festlegung z.B. auf tiefe neuronale Netze mit einer festzulegenden Anzahl an Knotenpunkten und Schichten samt damit verbundenen „Stellschrauben“ („Hyperparameter“ genannt). Die letztendliche Funktionswei…

Andreas Sachs

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Konzentrieren Sie sich aufs Wesentliche

Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.

Kein Stress mit Juristen- und Admin-Deutsch

Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.

Sparen Sie sich langes Suchen

Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.

Jetzt testen

zu den Kommentaren

Wie nützlich war dieser Beitrag für Sie?

drucken

Verfasst von

Andreas Sachs

Andreas Sachs ist Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Darüber hinaus leitet er das Referat Technischer Datenschutz und IT-Sicherheit beim BayLDA.