AI PlaybookEU

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO im Detail – mit besonderem Fokus auf KI-Systeme, Einwilligung, berechtigtes Interesse und Zweckänderung bei Modelltraining.

11. Februar 20264 min read
DSGVOArt. 6RechtsgrundlageEinwilligungBerechtigtes InteresseKI-Compliance

Überblick

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Ohne gültige Rechtsgrundlage ist die Verarbeitung rechtswidrig – unabhängig davon, ob sie technisch sinnvoll oder wirtschaftlich notwendig erscheint.

Art. 6 DSGVO enthält sechs mögliche Rechtsgrundlagen. Für KI-Systeme ist insbesondere relevant:

  • Einwilligung
  • Vertragserfüllung
  • Berechtigtes Interesse

Dieser Beitrag erläutert:

  • Alle sechs Rechtsgrundlagen im Detail
  • Typische Anwendungsfälle bei KI
  • Spannungsfelder (z. B. Re-Training, Zweckänderung)
  • Eine Vergleichstabelle zur praktischen Einordnung

Die sechs Rechtsgrundlagen im Überblick

Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

Nr.RechtsgrundlageTypischer Kontext
aEinwilligungMarketing, freiwillige Datenverarbeitung
bVertragserfüllungKundenverträge, digitale Services
cRechtliche VerpflichtungSteuerrecht, Aufbewahrungspflichten
dSchutz lebenswichtiger InteressenNotfälle
eWahrnehmung öffentlicher AufgabenBehörden
fBerechtigtes InteresseUnternehmensinterne Analysen, KI-Optimierung

Einwilligung (Art. 6 Abs. 1 lit. a)

Voraussetzungen

  • Freiwillig
  • Informiert
  • Spezifisch
  • Widerruflich
  • Unmissverständlich

Herausforderungen im KI-Kontext

  • Zweckänderung beim Re-Training
  • Schwierige Transparenz bei komplexen Modellen
  • Widerruf und Modell-Update

Beispiel: Ein Nutzer stimmt der Nutzung seiner Daten für personalisierte Empfehlungen zu. Später werden diese Daten für ein generelles Modelltraining verwendet.

Frage: Ist dies vom ursprünglichen Einwilligungszweck gedeckt?

Widerrufsproblem

Wird eine Einwilligung widerrufen, stellt sich die Frage, wie Trainingsdaten aus Modellen entfernt werden können.

Vertragserfüllung (Art. 6 Abs. 1 lit. b)

Verarbeitung ist zulässig, wenn sie:

  • zur Erfüllung eines Vertrags erforderlich ist
  • oder zur Durchführung vorvertraglicher Maßnahmen dient

Beispiel:

  • Kreditprüfung bei Darlehensvertrag
  • KI-gestützte Übersetzung in einem SaaS-Vertrag

Wichtig: Nicht jede nützliche Datenverarbeitung ist „erforderlich" im Sinne des Vertrags.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)

Datenverarbeitung ist zulässig, wenn sie zur Erfüllung einer gesetzlichen Pflicht notwendig ist.

Beispiele:

  • Geldwäscheprävention
  • Aufbewahrungspflichten

Für KI-Systeme relevant etwa bei:

  • Fraud Detection im Finanzwesen

Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d)

Selten im KI-Kontext, aber möglich bei:

  • medizinischer Notfalldiagnostik
  • Katastrophenschutzsystemen

Öffentliche Aufgabe (Art. 6 Abs. 1 lit. e)

Relevanz insbesondere für:

  • Behörden
  • öffentliche Bildungseinrichtungen
  • Verwaltungs-KI

Voraussetzung: Klare gesetzliche Grundlage.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)

Dies ist die in der Praxis häufigste Grundlage bei KI-Systemen im Unternehmenskontext.

Voraussetzungen:

  1. Legitimes Interesse des Verantwortlichen
  2. Erforderlichkeit der Verarbeitung
  3. Interessenabwägung zugunsten des Verantwortlichen

Interessenabwägung im Detail

Es muss geprüft werden:

  • Art der Daten
  • Erwartungshaltung der Betroffenen
  • Eingriffsintensität
  • Schutzmaßnahmen

Dokumentationspflicht

Die Interessenabwägung muss nachvollziehbar dokumentiert werden.

Vergleich: Einwilligung vs. Berechtigtes Interesse

KriteriumEinwilligungBerechtigtes Interesse
Widerruf möglichJaNein (aber Widerspruch möglich)
DokumentationsaufwandHochHoch
FlexibilitätGeringMittel
Typisch bei KIMarketing, personalisierte DiensteOptimierung, interne Analysen

Zweckänderung bei KI-Training

Ein zentrales Problem:

Daten werden erhoben für Zweck A — später genutzt für Modelltraining (Zweck B).

Hier ist zu prüfen:

  • Ist Zweck B kompatibel mit Zweck A?
  • Liegt eine neue Verarbeitung vor?
  • Ist eine neue Rechtsgrundlage erforderlich?

Typische KI-Szenarien

1. Chatbot für Kundenservice

Rechtsgrundlage:

  • Vertragserfüllung oder
  • Berechtigtes Interesse

2. HR-Recruiting-KI

Rechtsgrundlage:

  • Berechtigtes Interesse
  • ggf. Einwilligung

3. Marketing-Personalisierung

Rechtsgrundlage:

  • Einwilligung oder
  • Berechtigtes Interesse (mit Vorsicht)

Verbindung zu Art. 9 DSGVO

Wenn besondere Kategorien personenbezogener Daten betroffen sind, reicht Art. 6 nicht aus – zusätzlich ist Art. 9 zu prüfen.

Praktische Umsetzung

Schritt 1 – Rechtsgrundlage je Verarbeitung definieren

Nicht pauschal, sondern je Zweck.

Schritt 2 – Dokumentation

  • Begründung
  • Interessenabwägung
  • Einwilligungstexte

Schritt 3 – Zweckdefinition

  • Trainingszweck klar festlegen
  • Modellverbesserung definieren
  • Zweckänderung dokumentieren

Schritt 4 – Transparenz

  • Datenschutzerklärung aktualisieren
  • KI-Nutzung verständlich erläutern

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Identifizieren Sie alle KI-bezogenen Datenverarbeitungen.
  2. Ordnen Sie jeder Verarbeitung eine konkrete Rechtsgrundlage zu.
  3. Dokumentieren Sie Interessenabwägungen nachvollziehbar.
  4. Prüfen Sie Zweckänderungen bei Modelltraining.
  5. Aktualisieren Sie Ihre Datenschutzerklärung entsprechend.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

DSGVO & KI

Art. 5 DSGVO – Grundsätze der Verarbeitung personenbezogener Daten

Die sieben Grundsätze der Datenverarbeitung nach Art. 5 DSGVO – mit KI-spezifischer Einordnung zu Datenminimierung, Zweckbindung, Rechenschaftspflicht und automatisierten Systemen.

Lesen

DSGVO & KI

Art. 9 DSGVO – Besondere Kategorien personenbezogener Daten

Welche besonderen Kategorien personenbezogener Daten sind nach Art. 9 DSGVO besonders geschützt? Überblick über das Verarbeitungsverbot, Ausnahmen und KI-spezifische Risiken wie Proxy-Diskriminierung und sensible Ableitungen.

Lesen

DSGVO & KI

Art. 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Wann ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei KI-Systemen erforderlich? Struktur, Ablauf, KI-spezifische Risiken und Verbindung zum EU AI Act.

Lesen