Entschließung vom 12. Dezember 2025: DSGVO-Reform: Rechtssicherheit und Innovation gehen Hand in Hand – Anpassungen für KI erforderlich

Die Datenschutzkonferenz (DSK) begrüßt im Ansatz die Initiative der Kommission, durch Rechtsanpassungen mehr Rechtssicherheit für die Entwicklung und den Betrieb von KI-Systemen und KI-Modellen mit personenbezogenen Daten anzustreben. Die DSK stellt einen datenschutzrechtlichen Regelungsbedarf für Verarbeitungen personenbezogener Daten bei Entwicklung, Training und Betrieb von KI-Modellen und -Systemen fest. Sie hält es darüber hinaus für erforderlich, nicht nur das Thema der Rechtmäßigkeit von Verarbeitungen in den Blick zu nehmen, sondern auch in weiteren Abschnitten der DSGVO einen KI-spezifischen Regelungsbedarf zu prüfen. Die Anpassung der DSGVO hinsichtlich KI muss die Technologie ganzheitlich adressieren. Die DSK sieht bei den Rechtsgrundlagen einen dringenden Anpassungsbedarf. Sie betont, dass angesichts der Schwierigkeiten bei der effektiven Verwirklichung von Betroffenenrechten gleichwertige Äquivalente dringend erforderlich sind. Durch mehr Rechtssicherheit wird aus Sicht der DSK ein wirksamer Vollzug der DSGVO erleichtert, der Schutz der Grundrechte der betroffenen Personen gewahrt und gleichzeitig die Möglichkeiten zur Innovation im eindeutigen Rechtsrahmen gestärkt.

Rechtsgrundlagen für Entwicklung und Betrieb von KI-Modellen und -Systemen

Die DSK hält es für erforderlich, für die Verarbeitungen von personenbezogenen Daten bei der Entwicklung und dem Betrieb von KI-Modellen und KI-Systemen neue, spezifische Regelungen, insbesondere Rechtsgrundlagen zu erlassen. Sie sollten sowohl für nicht-öffentliche als auch nach Maßgabe vorhandener Kompetenzen für öffentliche Stellen gelten und Schutzmaßnahmen für Betroffene gewährleisten. Die Anforderungen der Rechtsgrundlagen müssen die technischen Besonderheiten von KI-Modellen und KI-Systemen, die sehr vielfältigen Einsatzmöglichkeiten sowie die unterschiedlichen Rollen der Beteiligten berücksichtigen. Dies ist der beste Weg. die betroffenen Grundrechtspositionen im Sinne der praktischen Konkordanz in einen angemessenen Ausgleich zu bringen. Relevante Regelungsbereiche können sein:

• Verarbeitung von durch Web Scraping erlangten personenbezogenen Daten einschließlich besonderen Kategorien für die Entwicklung von KI-Modellen,
• Weiterverarbeitung von für andere Zwecke erhobenen personenbezogenen Daten einschließlich besonderer Kategorien, um interne domänenspezifische KI-Modelle zu entwickeln
• Verarbeitungen beim Betrieb von in KI-Modellen memorisierten personenbezogenen Daten

Diese Regelungen müssen einerseits klare Voraussetzungen rechtmäßiger Verarbeitungen für die besonders relevanten Konstellationen abbilden und zugleich rote Linien in Form von Verboten aufzeigen.

Betroffenenrechte mitdenken

Zur Einhaltung des Datenschutzes bei der Verarbeitung personenbezogener Daten im Zusammenhang mit KI-Modellen und -Systemen gehört auch, Transparenzvorgaben und Betroffenenrechte der DSGVO nach der Rechtsprechung des Europäischen Gerichtshofs zu gewährleisten.¹ Bei der Entscheidung zur Einführung eines KI-Systems, also möglichst frühzeitig, sollte die Sicherung der Rechte der betroffenen Person eine Rolle spielen, quasi als “Betroffenenrechte by Design“. Gleichwohl zeigt sich, dass die Gewährleistung der Betroffenenrechte beim Einsatz vieler KI-Systeme in der Praxis schwierige Fragen aufwerfen kann, wenn die Umsetzung aufgrund der zugrundeliegenden Modelle kaum möglich erscheint.

Um die Rechte der Betroffenen zu wahren und einen eindeutigen rechtssicheren Rahmen für KI zu schaffen, sollten daher im Rahmen des europäischen Reformprozesses zum Datenschutzrecht und den Digitalrechtsakten auch Anpassungen in Form von funktionsäquivalenten oder kompensatorischen Schutzmaßnahmen in den Blick genommen werden.

Bislang sind Verantwortliche im Rahmen der datenschutzrechtlichen Transparenzpflichten nicht explizit verpflichtet, Betroffene ausdrücklich darüber zu informieren, dass ihre personenbezogenen Daten in einem KI-System verarbeitet werden. Daher wird die Aufnahme einer entsprechenden Informationspflicht in die Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO vorgeschlagen. Entsprechendes ist für das Recht der Betroffenen auf Auskunft festzustellen. Um diese Regelungslücke zu schließen, wird die Einführung einer entsprechenden Ergänzung in Art. 15 Abs. 1 DSGVO vorgeschlagen.

Aus technischen Gründen könnte es in manchen Fällen für den Verantwortlichen nur mit unverhältnismäßigem Aufwand möglich sein, beispielsweise dem kompletten Neutraining eines LLMs, die Erfüllung der Betroffenenrechte aus Art. 16 Abs. 1, Art. 17 Abs. 1, Art. 18 Abs. 1 und Art. 21 DSGVO zu gewährleisten. Hier sollte der europäische Gesetzgeber prüfen, wie die spezifischen Risiken für nicht umgesetzte Transparenz-, Löschungs-, Berichtigungsrechte und Widerspruchsrechte im KI-Modell mitigiert oder Betroffenenrechte funktionsäquivalent gewährleistet werden können, so dass praxistaugliche Lösungen geschaffen und gleichzeitig der Schutzstandard gehalten werden kann.

Die DSK wird den laufenden Prozess der DSGVO-Reform weiter konstruktiv begleiten und erneut Stellung nehmen.

¹ Siehe dazu die Orientierungshilfe der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen, Version 1.0 (Stand Juni 2025). Vgl. EuGH, Urteil vom 4. Oktober 2024, Koninklijke Nederlandse Lawn Tennisbond, C‑621/22, EU:C:2024:857, Rn. 40, 41 und 49