AI PlaybookEU

Art. 5 DSGVO – Grundsätze der Verarbeitung personenbezogener Daten

Die sieben Grundsätze der Datenverarbeitung nach Art. 5 DSGVO – mit KI-spezifischer Einordnung zu Datenminimierung, Zweckbindung, Rechenschaftspflicht und automatisierten Systemen.

11. Februar 20264 min read
DSGVOArt. 5GrundsätzeDatenminimierungRechenschaftspflichtKI-Compliance

Überblick

Art. 5 DSGVO enthält das Fundament des europäischen Datenschutzrechts. Die dort normierten sieben Grundsätze gelten für jede Verarbeitung personenbezogener Daten – unabhängig davon, ob klassische IT-Systeme oder moderne KI-Systeme eingesetzt werden.

Gerade im Kontext von Künstlicher Intelligenz gewinnen diese Grundsätze besondere Bedeutung. Trainingsdaten, Modellverbesserung, automatisierte Entscheidungen und algorithmische Bewertungen werfen neue Fragen zur Zweckbindung, Datenminimierung und Rechenschaftspflicht auf.

Dieser Beitrag erläutert:

  • Alle sieben Grundsätze im Detail
  • Ihre praktische Bedeutung im KI-Kontext
  • Typische Spannungsfelder (z. B. ML-Training vs. Datenminimierung)
  • Konkrete Umsetzungsschritte für Unternehmen

Die sieben Grundsätze nach Art. 5 DSGVO

Art. 5 Abs. 1 DSGVO definiert:

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  2. Zweckbindung
  3. Datenminimierung
  4. Richtigkeit
  5. Speicherbegrenzung
  6. Integrität und Vertraulichkeit
  7. Rechenschaftspflicht (Art. 5 Abs. 2)

Zentraler Punkt

Art. 5 DSGVO ist keine bloße Leitlinie, sondern unmittelbar geltendes Recht mit Bußgeldrelevanz.

Rechtmäßigkeit, Treu und Glauben, Transparenz

Inhalt

Personenbezogene Daten dürfen nur verarbeitet werden:

  • auf einer gültigen Rechtsgrundlage (Art. 6 DSGVO)
  • fair und nachvollziehbar
  • transparent gegenüber der betroffenen Person

KI-spezifische Herausforderungen

  • Intransparente Modellarchitekturen
  • Unklare Datenquellen (z. B. Web-Scraping)
  • Undurchsichtige Entscheidungslogik

Transparenz bedeutet nicht Offenlegung des Quellcodes, sondern:

  • verständliche Information über Zweck und Funktionsweise
  • nachvollziehbare Beschreibung der Entscheidungslogik

Zweckbindung

Inhalt

Daten dürfen nur:

  • für festgelegte, eindeutige und legitime Zwecke erhoben
  • und nicht in unvereinbarer Weise weiterverarbeitet werden

Spannungsfeld im KI-Kontext

Maschinelles Lernen lebt von:

  • Datenaggregation
  • späterer Zweckänderung
  • Re-Training

Beispiel: Daten werden zur Vertragserfüllung erhoben — später für Modelltraining genutzt.

Hier stellt sich die Frage:

  • Ist das Training vom ursprünglichen Zweck gedeckt?
  • Liegt eine Zweckänderung vor?
  • Ist eine neue Rechtsgrundlage erforderlich?

Typischer Fehler

Viele Unternehmen dokumentieren den Trainingszweck nicht explizit – das kann gegen die Zweckbindung verstoßen.

Datenminimierung

Inhalt

Es dürfen nur Daten verarbeitet werden, die:

  • dem Zweck angemessen
  • erheblich
  • und auf das notwendige Maß beschränkt sind

Konflikt mit Machine Learning

ML-Modelle profitieren häufig von:

  • großen Datenmengen
  • breiter Datenvielfalt
  • langfristiger Datenspeicherung

Hier entsteht ein Spannungsfeld:

ML-LogikDatenschutzprinzip
Mehr Daten = bessere ModelleNur notwendige Daten verarbeiten

Lösungsansätze:

  • Feature-Selektion
  • Pseudonymisierung
  • Federated Learning
  • Differential Privacy

Richtigkeit

Inhalt

Daten müssen:

  • sachlich richtig
  • aktuell
  • erforderlichenfalls berichtigt oder gelöscht werden

KI-spezifische Problematik

  • Trainingsdaten enthalten Fehler
  • Modelle reproduzieren veraltete Informationen
  • Generative KI kann falsche Inhalte erzeugen

Relevante Fragen:

  • Wie werden Trainingsdaten validiert?
  • Wie werden fehlerhafte Daten korrigiert?
  • Wie werden Modell-Bias-Risiken adressiert?

Speicherbegrenzung

Inhalt

Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.

Herausforderung bei KI

  • Trainingsdaten werden oft langfristig gespeichert
  • Modelle enthalten implizite Datenrepräsentationen

Offene Frage: Wann gilt ein Modell als „Speicherung personenbezogener Daten"?

Hier ist eine differenzierte Einzelfallprüfung erforderlich.

Integrität und Vertraulichkeit

Inhalt

Geeignete technische und organisatorische Maßnahmen (TOMs) sind erforderlich, um:

  • unbefugten Zugriff zu verhindern
  • Datenverlust zu vermeiden
  • Manipulation zu verhindern

Im KI-Kontext relevant:

  • API-Sicherheit
  • Zugriffskontrollen
  • Modell-Schutz vor Prompt Injection
  • Logging und Monitoring

Rechenschaftspflicht

Inhalt

Der Verantwortliche muss:

  • die Einhaltung aller Grundsätze nachweisen können

Dies ist der zentrale Compliance-Mechanismus der DSGVO.

Beweislast

Nicht die Behörde muss den Verstoß beweisen – das Unternehmen muss die Einhaltung belegen können.

Rechenschaftspflicht bei KI-Systemen

Erforderlich sind u. a.:

  • Verarbeitungsverzeichnis
  • Dokumentation der Rechtsgrundlage
  • Risikoanalyse
  • ggf. Datenschutz-Folgenabschätzung
  • Trainingsdaten-Dokumentation
  • Governance-Prozesse

Hier überschneidet sich die DSGVO mit dem EU AI Act.

Verbindung zum EU AI Act

DSGVOEU AI Act
DatenschutzGrundrechtsschutz
RechenschaftspflichtRisikomanagement
DSFAGrundrechte-Folgenabschätzung
TransparenzTransparenzpflichten

Beide Rechtsakte gelten parallel.

Praktische Umsetzung für Unternehmen

Schritt 1 – Dateninventur

  • Welche personenbezogenen Daten werden verarbeitet?
  • Woher stammen sie?
  • Für welchen Zweck?

Schritt 2 – Zweckdefinition

  • Ist der Trainingszweck dokumentiert?
  • Ist er mit dem ursprünglichen Erhebungszweck vereinbar?

Schritt 3 – Minimierungsstrategie

  • Können Daten reduziert werden?
  • Sind Anonymisierung oder Pseudonymisierung möglich?

Schritt 4 – Governance

  • Zuständigkeiten klar definiert?
  • Dokumentationspflichten erfüllt?
  • Rechenschaftsfähige Prozesse implementiert?

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Prüfen Sie Ihre KI-Projekte anhand der sieben Grundsätze.
  2. Dokumentieren Sie Zweck und Rechtsgrundlage explizit.
  3. Bewerten Sie Datenminimierungs- und Speicherstrategien.
  4. Implementieren Sie nachvollziehbare Governance-Strukturen.
  5. Führen Sie bei erhöhtem Risiko eine DSFA durch.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

DSGVO & KI

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO im Detail – mit besonderem Fokus auf KI-Systeme, Einwilligung, berechtigtes Interesse und Zweckänderung bei Modelltraining.

Lesen

DSGVO & KI

Art. 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Wann ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei KI-Systemen erforderlich? Struktur, Ablauf, KI-spezifische Risiken und Verbindung zum EU AI Act.

Lesen

EU AI Act

Hochrisiko-KI-Systeme nach Anhang III EU AI Act

Welche KI-Systeme gelten als Hochrisiko nach dem EU AI Act? Vollständige Übersicht der Anhang-III-Bereiche, Ausnahmen nach Art. 6 Abs. 3 und alle Compliance-Pflichten für Anbieter und Betreiber.

Lesen