Überblick
Art. 25 DSGVO verpflichtet Verantwortliche dazu, Datenschutz nicht nachträglich, sondern von Anfang an in Systeme und Prozesse zu integrieren. Dieses Prinzip wird als Privacy by Design bezeichnet. Ergänzend verlangt Privacy by Default, dass datenschutzfreundliche Einstellungen standardmäßig aktiviert sind.
Für KI-Systeme ist dieser Artikel besonders relevant, da Trainingsdaten, Modellarchitektur und Entscheidungslogik bereits in der Entwicklungsphase festgelegt werden.
Dieser Beitrag erläutert:
- Die Anforderungen aus Art. 25 DSGVO
- Die sieben Grundprinzipien von Privacy by Design
- Technische Umsetzungsansätze bei KI-Systemen
- Unterschied zwischen Design und Default
- Eine praktische Checkliste für KI-Entwickler
Art. 25 DSGVO – Gesetzlicher Rahmen
Verantwortliche müssen:
- geeignete technische und organisatorische Maßnahmen treffen
- den Stand der Technik berücksichtigen
- Implementierungskosten und Risiken einbeziehen
- Datenschutzgrundsätze wirksam umsetzen
Frühzeitige Integration
Privacy by Design ist keine Dokumentationspflicht allein – sondern eine Architekturentscheidung.
Die sieben Prinzipien nach Cavoukian
- Proaktiv statt reaktiv
- Datenschutz als Standardeinstellung
- Datenschutz in das Design eingebettet
- Volle Funktionalität (kein „entweder-oder")
- Ende-zu-Ende-Sicherheit
- Transparenz
- Nutzerzentrierung
Diese Prinzipien sind nicht wortgleich im Gesetz verankert, dienen jedoch als anerkannter Referenzrahmen.
Privacy by Design im KI-Kontext
Datenerhebung
- Minimierung der erhobenen Daten
- Klare Zweckdefinition
- Vermeidung unnötiger Sensitivität
Trainingsdaten
- Repräsentativitätsprüfung
- Bias-Analyse
- Dokumentierte Auswahlkriterien
Modellarchitektur
Technische Maßnahmen können umfassen:
- Federated Learning
- Differential Privacy
- On-Device Processing
- Verschlüsselung während Training und Inferenz
Zugriffskontrollen
- Rollenbasierte Zugriffssysteme
- Trennung von Trainings- und Produktionsdaten
- Logging von Zugriffen
Transparenzmechanismen
- Modellkarten
- Datenherkunftsdokumentation
- Versionierung
Privacy by Default
Standardmäßig dürfen nur Daten verarbeitet werden, die:
- für den jeweiligen Zweck erforderlich sind
Beispiele:
- Tracking-Funktionen standardmäßig deaktiviert
- Profilbildung nur nach Aktivierung
- Minimale Datenspeicherung als Voreinstellung
Fehlkonfiguration vermeiden
Datenschutz darf nicht erst durch aktive Nutzerentscheidung hergestellt werden.
Technische Maßnahmen bei KI-Systemen
| Maßnahme | Ziel |
|---|---|
| Pseudonymisierung | Reduzierung Identifizierbarkeit |
| Verschlüsselung | Schutz vor unbefugtem Zugriff |
| Differential Privacy | Schutz individueller Datenspuren |
| Federated Learning | Daten verbleiben lokal |
| Access Controls | Begrenzung interner Nutzung |
Verbindung zum EU AI Act
Privacy by Design ergänzt:
- Risikomanagementpflichten
- Daten-Governance-Anforderungen
- Transparenzpflichten
Beide Rechtsakte verlangen einen strukturierten Entwicklungsprozess.
Praktische Checkliste für KI-Entwickler
Konzeptionsphase
- Zweckdefinition dokumentieren
- Datenkategorien definieren
- Sensible Daten identifizieren
Entwicklungsphase
- Minimierungsstrategie implementieren
- Bias-Tests durchführen
- Sicherheitsmaßnahmen integrieren
Implementierungsphase
- Default-Einstellungen prüfen
- Transparenzinformationen erstellen
- Zugriffskontrollen einrichten
Betriebsphase
- Regelmäßige Überprüfung
- Incident-Management etablieren
- Versionierung dokumentieren
Typische Fehler
| Fehler | Risiko |
|---|---|
| Datenschutz erst nach Entwicklung berücksichtigt | Systemumstellungen notwendig |
| Unklare Zweckdefinition | Zweckbindungsverstoß |
| Fehlende Dokumentation | Verstoß gegen Rechenschaftspflicht |
| Standardmäßig umfassende Datenerhebung | Privacy-by-Default-Verstoß |
Governance-Empfehlung
Privacy by Design sollte:
- Teil des Produktentwicklungsprozesses sein
- in Architekturentscheidungen integriert werden
- regelmäßig auditiert werden
Interdisziplinäre Zusammenarbeit (Recht, Technik, Compliance) ist entscheidend.
Hilfe bei der Umsetzung?
Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.
Etwas Neuartiges oder Hochriskantes?
Kollaborieren Sie mit Creativate AI Studio und einem Netzwerk von Branchenexperten und Deep-Tech-Forschern, um fortgeschrittene KI-Systeme zu erforschen, zu prototypisieren und zu validieren.
Nächste Schritte
- Integrieren Sie Datenschutzanforderungen in Ihre Entwicklungsrichtlinien.
- Implementieren Sie datenschutzfreundliche Default-Einstellungen.
- Dokumentieren Sie technische Schutzmaßnahmen nachvollziehbar.
- Führen Sie regelmäßige Datenschutz-Reviews durch.
- Prüfen Sie Hochrisiko- oder DSFA-Relevanz.
Hilfe bei der Umsetzung?
Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.
Rechtliche Klarheit gefragt?
Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.
Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.