AI PlaybookEU

EDPB Guidelines 4/2024 on AI and Data Protection

Zusammenfassung und Einordnung der EDPB Guidelines 4/2024 zu Künstlicher Intelligenz und Datenschutz – mit Fokus auf Rechtsgrundlagen, Betroffenenrechte, Trainingsdaten und Verhältnis zum EU AI Act.

11. Februar 20264 min read
EDPBGuidelines 4/2024KIDSGVOTrainingCompliance

Überblick

Mit den Guidelines 4/2024 on Artificial Intelligence and Data Protection konkretisiert der Europäische Datenschutzausschuss (EDPB) die Anwendung der DSGVO auf KI-Systeme. Ziel ist es, einheitliche Standards für Aufsichtsbehörden und Unternehmen zu schaffen.

Die Leitlinien sind rechtlich nicht bindend, haben jedoch erhebliches Gewicht bei der Auslegung der DSGVO und in behördlichen Prüfverfahren.

Dieser Beitrag erläutert:

  • Anwendungsbereich der Guidelines
  • Kernaussagen zur Rechtsgrundlage beim KI-Training
  • Verhältnis DSGVO ↔ EU AI Act
  • Anforderungen an Betroffenenrechte
  • Verantwortlichkeitsabgrenzung (Controller/Processor)
  • Praktische Implikationen für Unternehmen

Zielsetzung der Guidelines

Die Guidelines adressieren insbesondere:

  • Training von KI-Modellen mit personenbezogenen Daten
  • Einsatz generativer KI
  • Profiling und automatisierte Entscheidungen
  • Transparenz- und Rechenschaftspflichten

Praxisrelevanz

EDPB-Guidelines dienen als Referenzmaßstab für Aufsichtsbehörden und beeinflussen unmittelbar die Prüfpraxis.

Rechtsgrundlage beim KI-Training

Der EDPB stellt klar:

  • Jede Phase der KI-Entwicklung ist eine eigenständige Verarbeitung
  • Training, Fine-Tuning und Inferenz müssen jeweils rechtlich geprüft werden

Zentrale Aussage

Es genügt nicht, eine pauschale Rechtsgrundlage für „KI-Entwicklung" anzunehmen.

Stattdessen ist zu prüfen:

  • Welche Daten werden verwendet?
  • Für welchen Zweck?
  • Besteht eine Zweckänderung?

Berechtigtes Interesse beim Modelltraining

Der EDPB betont:

  • Eine Interessenabwägung muss besonders sorgfältig erfolgen
  • Hohe Eingriffsintensität kann gegen Art. 6 Abs. 1 lit. f sprechen
  • Sensible Daten erhöhen das Risiko

Typische Prüffaktoren:

  • Erwartungshaltung der betroffenen Person
  • Art der Daten
  • Umfang der Verarbeitung
  • Schutzmaßnahmen

Verhältnis DSGVO ↔ EU AI Act

Die Guidelines betonen:

  • Der EU AI Act ersetzt die DSGVO nicht
  • Beide Rechtsakte gelten kumulativ

Beispiel: Ein Hochrisiko-KI-System nach AI Act kann zugleich:

  • eine DSFA-Pflicht auslösen
  • Transparenzpflichten nach Art. 13/14 DSGVO begründen
  • Art. 22 DSGVO betreffen

Doppelte Prüfung

Compliance mit dem AI Act bedeutet nicht automatisch DSGVO-Konformität.

Betroffenenrechte bei KI-Systemen

Der EDPB konkretisiert Anforderungen bei:

  • Auskunftsrechten (Art. 15 DSGVO)
  • Löschansprüchen (Art. 17 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Besonders relevant:

Auskunft über Logik

  • Betroffene müssen verstehen können, wie Entscheidungen zustande kommen
  • Allgemeine Beschreibung der Hauptkriterien ist erforderlich

Löschung bei Trainingsdaten

  • Unternehmen müssen prüfen, ob Daten aus Trainingsdatensätzen entfernt werden können
  • Technische Unmöglichkeit entbindet nicht automatisch von der Pflicht

Verantwortlichkeitsabgrenzung

Der EDPB betont die präzise Unterscheidung zwischen:

RolleBeschreibung
Verantwortlicher (Controller)Bestimmt Zweck und Mittel
Auftragsverarbeiter (Processor)Handelt im Auftrag

Bei KI-Systemen kann dies komplex sein:

  • Wer bestimmt den Trainingszweck?
  • Wer definiert Parameter?
  • Wer kontrolliert Datenquellen?

Mehrstufige Konstellationen

KI-Ökosysteme bestehen häufig aus mehreren Verantwortlichen und Verarbeitern.

Transparenz bei generativer KI

Der EDPB hebt hervor:

  • Klare Kennzeichnung automatisierter Interaktion
  • Hinweis auf mögliche Fehler
  • Information über Trainingsdatenkategorien

Transparenz muss:

  • verständlich
  • präzise
  • und zugänglich sein

Datenschutz durch Technikgestaltung

Die Guidelines betonen:

  • Frühzeitige Integration von Datenschutz
  • Pseudonymisierung
  • Minimierung
  • technische Schutzmaßnahmen

Dies korrespondiert mit Art. 25 DSGVO.

KI-spezifische Risiken

Der EDPB nennt insbesondere:

  • Bias
  • Diskriminierung
  • Fehlende Nachvollziehbarkeit
  • Trainingsdatentransparenz
  • Zweckänderungen

Diese Risiken müssen im Rahmen der Rechenschaftspflicht dokumentiert werden.

Praktische Implikationen für Unternehmen

1. Dokumentationsstandard erhöhen

  • Trainingsprozesse dokumentieren
  • Zweckdefinition präzisieren
  • Datenherkunft offenlegen

2. Rollen klar definieren

  • Verantwortlicher vs. Verarbeiter
  • Vertragliche Regelungen überprüfen

3. Betroffenenrechte operationalisieren

  • Prozesse zur Löschung definieren
  • Auskunftsmechanismen etablieren
  • Widerspruchsprüfung implementieren

4. Governance-Struktur aufbauen

  • AI-Compliance-Verantwortliche benennen
  • Schnittstelle DSGVO ↔ AI Act definieren

Typische Fehlannahmen

AnnahmeRealität laut EDPB
„Training ist einmalige Vorverarbeitung"Jede Phase ist eigenständig zu prüfen
„Open Source ist nicht DSGVO-relevant"Kommerzielle Nutzung bleibt reguliert
„API-Nutzung = keine Verantwortung"Betreiberpflichten bestehen

Strategische Bedeutung

Die Guidelines verdeutlichen:

  • KI wird datenschutzrechtlich streng geprüft
  • Aufsichtsbehörden entwickeln gemeinsame Maßstäbe
  • Dokumentation wird zum zentralen Prüfpunkt

Unternehmen sollten daher proaktiv handeln.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Überprüfen Sie Ihre KI-Projekte anhand der EDPB-Leitlinien.
  2. Dokumentieren Sie Trainings- und Verarbeitungsphasen getrennt.
  3. Klären Sie Rollenverteilung und Verantwortlichkeiten.
  4. Implementieren Sie transparente Logikerklärungen.
  5. Integrieren Sie DSGVO- und AI-Act-Prüfungen in ein gemeinsames Governance-System.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

EDPB Guidance

EDPB KI-Audit Checkliste

Praxisnahe Checkliste zur Vorbereitung auf eine KI-bezogene Datenschutzprüfung durch Aufsichtsbehörden – strukturiert nach DSGVO-Grundsätzen, Transparenz, Betroffenenrechten und Sicherheitsanforderungen.

Lesen

DSGVO & KI

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

Die sechs Rechtsgrundlagen nach Art. 6 DSGVO im Detail – mit besonderem Fokus auf KI-Systeme, Einwilligung, berechtigtes Interesse und Zweckänderung bei Modelltraining.

Lesen

EU AI Act

GPAI-Modelle nach Art. 51–56 EU AI Act

Was sind General Purpose AI (GPAI)-Modelle nach dem EU AI Act? Überblick über Definition, Pflichten für Anbieter, systemisches Risiko, FLOPs-Schwelle und praktische Auswirkungen für Unternehmen, die LLMs nutzen.

Lesen