AI PlaybookEU

Art. 13/14 DSGVO – Informationspflichten bei KI-Einsatz

Welche Informationspflichten gelten nach Art. 13 und 14 DSGVO beim Einsatz von KI-Systemen? Transparenzanforderungen, automatisierte Entscheidungen, Logikerklärung und Musterformulierungen für KI-Datenschutzhinweise.

11. Februar 20264 min read
DSGVOArt. 13Art. 14TransparenzAutomatisierte EntscheidungenKI-Compliance

Überblick

Transparenz ist eines der zentralen Prinzipien der DSGVO. Art. 13 und 14 verpflichten Verantwortliche dazu, betroffene Personen umfassend über die Verarbeitung ihrer personenbezogenen Daten zu informieren.

Beim Einsatz von KI-Systemen wird diese Pflicht besonders anspruchsvoll. Betroffene müssen nicht nur über die Datenerhebung informiert werden, sondern – bei automatisierten Entscheidungen – auch über die „involvierte Logik" und mögliche Auswirkungen.

Dieser Beitrag erläutert:

  • Unterschied zwischen Art. 13 und Art. 14
  • Welche Pflichtangaben zwingend sind
  • Spezielle Anforderungen bei KI und automatisierten Entscheidungen
  • Wie Transparenz bei komplexen Modellen praktisch umgesetzt werden kann
  • Beispielhafte Formulierungsbausteine

Art. 13 vs. Art. 14 DSGVO

NormWann anwendbarBeispiel
Art. 13Daten werden direkt bei der Person erhobenOnline-Formular
Art. 14Daten stammen aus DrittquelleDatenkauf, Scraping, externe Datenbanken

Bei KI-Systemen ist Art. 14 häufig relevant, etwa bei:

  • Anreicherung von Kundendaten
  • Nutzung externer Datensätze
  • Trainingsdaten aus Drittquellen

Frühzeitige Information

Die Information muss grundsätzlich zum Zeitpunkt der Datenerhebung erfolgen – oder spätestens innerhalb eines Monats bei Drittquellen.

Pflichtangaben nach Art. 13/14 DSGVO

Die Datenschutzhinweise müssen u. a. enthalten:

  1. Name und Kontaktdaten des Verantwortlichen
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Verarbeitungszwecke
  4. Rechtsgrundlage
  5. Empfänger oder Kategorien von Empfängern
  6. Drittlandtransfers
  7. Speicherdauer
  8. Betroffenenrechte
  9. Beschwerderecht bei Aufsichtsbehörde

Zusätzlich bei automatisierten Entscheidungen:

  • Aussagekräftige Informationen über die involvierte Logik
  • Tragweite und angestrebte Auswirkungen

Automatisierte Entscheidungen & Profiling (Art. 22 DSGVO)

Wenn ein KI-System:

  • eine Entscheidung trifft
  • rechtliche Wirkung entfaltet
  • oder die Person erheblich beeinträchtigt

müssen zusätzliche Transparenzanforderungen erfüllt werden.

Beispiele:

  • Kreditablehnung
  • Bewerbungsabsage
  • Versicherungsprämienberechnung

Recht auf menschliches Eingreifen

Betroffene haben unter bestimmten Voraussetzungen das Recht, eine menschliche Überprüfung zu verlangen.

Was bedeutet „aussagekräftige Informationen über die involvierte Logik"?

Die DSGVO verlangt keine Offenlegung von:

  • Quellcode
  • mathematischen Modellen
  • vollständigen Trainingsdaten

Erforderlich ist jedoch:

  • Beschreibung der Funktionsweise auf verständlichem Niveau
  • Erläuterung der Hauptfaktoren
  • Darstellung der möglichen Auswirkungen

Beispiel: KI-gestütztes Kreditscoring

Transparente Beschreibung könnte enthalten:

  • Welche Datenkategorien einfließen (z. B. Einkommen, Bonität, Zahlungsverhalten)
  • Dass ein algorithmisches Bewertungsmodell verwendet wird
  • Dass bestimmte Schwellenwerte zur Entscheidung führen
  • Welche Folgen eine Ablehnung hat

Transparenz bei generativer KI

Besondere Herausforderungen:

  • Trainingsdaten nicht vollständig bekannt
  • Dynamische Modellanpassungen
  • Komplexe Black-Box-Strukturen

Mögliche Lösung:

  • Beschreibung der allgemeinen Modellfunktion
  • Hinweis auf mögliche Fehleranfälligkeit
  • Erklärung von Eingriffs- und Korrekturmöglichkeiten

Musterformulierungsbaustein (Beispiel)

Einsatz von KI-Systemen

„Wir setzen zur Analyse Ihrer Angaben ein algorithmisches Bewertungssystem ein. Dieses verarbeitet insbesondere folgende Datenkategorien: [...]. Die Auswertung dient dem Zweck [...]. Die Entscheidung erfolgt auf Grundlage vordefinierter Bewertungslogiken. Sie haben das Recht, eine Überprüfung durch eine natürliche Person zu verlangen."

Dieser Text ist nur beispielhaft und muss an den konkreten Anwendungsfall angepasst werden.

Einzelfallprüfung erforderlich

Die konkrete Formulierung hängt vom jeweiligen KI-System und dessen Funktion ab.

Art. 14 bei Trainingsdaten

Wenn personenbezogene Daten:

  • aus Drittquellen stammen
  • aus öffentlichen Quellen erhoben wurden
  • automatisiert aggregiert wurden

muss geprüft werden:

  • Ist eine individuelle Information möglich?
  • Greift eine Ausnahme (z. B. unverhältnismäßiger Aufwand)?

Unverhältnismäßiger Aufwand (Art. 14 Abs. 5)

Eine Information kann unterbleiben, wenn:

  • sie unmöglich ist
  • oder unverhältnismäßigen Aufwand erfordert

Dies ist jedoch eng auszulegen und erfordert dokumentierte Begründung.

Verbindung zum EU AI Act

Der AI Act verlangt zusätzlich:

  • Transparenzpflichten bei Hochrisiko-Systemen
  • Kennzeichnungspflichten bei KI-Interaktionen
  • Information bei Deepfakes

Beide Regelwerke ergänzen sich.

Praktische Umsetzung

Schritt 1 – Transparenz-Check

  • Sind alle Pflichtangaben enthalten?
  • Sind KI-spezifische Hinweise integriert?

Schritt 2 – Automatisierungsprüfung

  • Liegt eine automatisierte Einzelentscheidung vor?
  • Werden Personen erheblich betroffen?

Schritt 3 – Verständlichkeitsprüfung

  • Ist die Beschreibung für Laien verständlich?
  • Werden Fachbegriffe erklärt?

Schritt 4 – Dokumentation

  • Versionierung der Datenschutzhinweise
  • Nachweis der Veröffentlichung
  • Archivierung früherer Versionen

Typische Fehler

FehlerRisiko
Pauschale „KI wird eingesetzt"-FormulierungUnzureichende Transparenz
Keine Logikerklärung bei ScoringArt. 22-Verstoß
Fehlende Information bei DrittquellenArt. 14-Verstoß
Überkomplexe technische BeschreibungVerständlichkeitsmangel

Governance-Empfehlung

KI-Transparenz sollte:

  • frühzeitig in Produktentwicklung integriert werden
  • mit Datenschutz- und Compliance-Teams abgestimmt werden
  • regelmäßig überprüft und aktualisiert werden

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Überprüfen Sie Ihre Datenschutzerklärung auf KI-Bezug.
  2. Prüfen Sie Art. 22-Relevanz Ihrer Systeme.
  3. Ergänzen Sie klare Logikerklärungen.
  4. Dokumentieren Sie Ausnahmen nach Art. 14 Abs. 5.
  5. Führen Sie bei komplexen Systemen eine DSFA durch.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

DSGVO & KI

Art. 5 DSGVO – Grundsätze der Verarbeitung personenbezogener Daten

Die sieben Grundsätze der Datenverarbeitung nach Art. 5 DSGVO – mit KI-spezifischer Einordnung zu Datenminimierung, Zweckbindung, Rechenschaftspflicht und automatisierten Systemen.

Lesen

DSGVO & KI

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO im Detail – mit besonderem Fokus auf KI-Systeme, Einwilligung, berechtigtes Interesse und Zweckänderung bei Modelltraining.

Lesen

DSGVO & KI

Art. 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Wann ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei KI-Systemen erforderlich? Struktur, Ablauf, KI-spezifische Risiken und Verbindung zum EU AI Act.

Lesen