Die Rolle des Datenschutzbeauftragten (DSB) in der KI-Ära

Künstliche Intelligenz ist kein Hype mehr, sondern längst im betrieblichen Alltag angekommen. KI-Systeme werden von vielen genutzt, manche wissen unter Umständen gar nicht, dass sie bereits mit KI arbeiten. Nach meiner Überzeugung sind wir DSB an dieser Stelle gefragt. Nicht als Verhinderer oder Bremser, sondern als kompetente Berater*innen, die dabei helfen, KI rechtskonform und ethisch vertretbar einzusetzen.

In diesem Artikel möchte ich zeigen, wie wir DSB diese Aufgabe meistern können – ohne selbst KI-Experten sein zu müssen. Dabei richte ich mich nicht nur an meine DSB-Kolleg*innen, sondern auch an Führungskräfte, die wissen möchten, was sie von ihrem DSB erwarten können, und an KI-Teams, die eine erfolgreiche Zusammenarbeit mit dem DSB anstreben.

1. Einleitung: Ein Berufsbild im Wandel

Warum sich die Rolle des DSB verändert

Die Rolle des DSB verändert sich mit jeder technologischen Innovation, die personenbezogene Daten verarbeitet. Doch KI stellt uns noch einmal vor ganz neue Herausforderungen. Anders als bei “klassischen” IT-Systemen, bei denen Datenflüsse und Verarbeitungsschritte klar definiert sind, entwickeln sich KI-Systeme weiter, lernen aus Daten und treffen eigenständige Entscheidungen. 

Damit umzugehen fordert ein Umdenken. Die alten Erfahrungen helfen mitunter nicht weiter. Wie stellen wir sicher, dass anfangs definierte Schutzmechanismen auch nach dem Training eines KI-Systems noch greifen? Und wie gewährleisten wir Transparenz, wenn selbst die Entwickler manchmal nicht genau erklären können, wie ihr Modell zu bestimmten Entscheidungen kommt?

Die Grundaufgaben bleiben, die Anforderungen wachsen

Unsere Grundaufgaben nach Art. 39 DSGVO – Unterrichtung, Beratung und Überwachung – bleiben zwar gleich, aber ihre praktische Umsetzung wird komplexer. Wir müssen neue Wege finden, um:

In meiner zweiteiligen Artikelserie „Datenschutzfreundliche KI“ habe ich dazu viele Hinweise gegeben. Ich werde hier also nicht auf die technischen und organisatorischen Maßnahmen eingehen, die bei der Einführung eines neuen KI-Systems geprüft und durchgeführt werden müssen. Den ersten Teil der kleinen Serie findest Du hier: https://www.linkedin.com/pulse/datenschutzfreundliche-ki-konzepte-und-best-practices-dirk-wolf-z4t9e/?trackingId=sGyR2bBbV7je1E%2FRtIE%2F6g%3D%3D

Hier soll es um unsere Rolle gehen. Bei der Einführung eines KI-Systems geht es für uns DSB darum, zwischen verschiedenen Interessen zu vermitteln und praktische Lösungen zu finden, die allen Seiten gerecht werden. Zu dem klassischen „unterrichten, beraten, überwachen“ kommt uns die Aufgabe zu, zu koordinieren. Meine Erfahrung zeigt, dass wir diese Rolle aktiv einfordern müssen. Wenn wir diese führende Rolle nicht zugewiesen bekommen, werden aus meiner Erfahrung die Belange des Datenschutzes – und damit der Schutz Betroffener vor dem Missbrauch ihrer personenbezogenen Daten (immer im Kopf behalten: wir schützen keine Daten, sondern Menschen) – hintanstehen. 

2. Was ein DSB über KI wissen muss (und was nicht)

Als DSB müssen wir keine KI-Expert*innen werden – das wäre weder realistisch noch zielführend. Aber wir müssen verstehen, wie KI-Systeme grundsätzlich funktionieren und welche datenschutzrechtlichen Risiken damit verbunden sind. Ein Vergleich macht das deutlich: Auch bei einer Videoüberwachungsanlage müssen wir nicht die technischen Details der Kamerasensoren kennen, aber wir müssen wissen, welche Bereiche erfasst werden und welche Risiken für die Betroffenen entstehen können.

Notwendiges Grundverständnis

Ein DSB sollte bei KI-Systemen vor allem folgende Aspekte verstehen:

Was wir dagegen nicht im Detail verstehen müssen:

Die richtigen Fragen stellen

Unsere Aufgabe ist es, die richtigen Fragen zu stellen. Zum Beispiel:

Aber auch:

Eigene Grenzen kennen und kommunizieren

Kein „normaler“ DSB, ob Jurist oder aus der Praxis kommend, ist in der Lage, KI-Systeme vollständig zu durchschauen und zu verstehen. Und wenn die DSB die Expertin ist, die das KI-System aufsetzt, trainiert und überwacht, kann sie nicht die DSB für diese Installation sein, weil da auf jeden Fall ein Interessenkonflikt besteht. Die Person/Abteilung/Institution, wie auch immer, die das System beherrscht muss vom DSB unterrichtet, beraten und überwacht werden. Das kann nicht eine Person sein.

Unsere Expertise muss soweit reichen, dass wir in etwa wissen, was die KI macht, wie sie es macht. Und wir sollten genau darüber informiert sein, welche Daten in das System hineingegeben werden und welche am Ende der Verarbeitung aus ihm rauskommen. Unsere Aufgabe ist es, die hinzu gezogenen Expert*innen dazu zu bringen, uns und den Verantwortlichen verständlich zu erklären, was die „Black Box“ macht. Und sie damit zu einer „Open Box“ zu machen. 

DSB beraten die Verantwortlichen. Die entscheiden, ob sie sich mit der Erklärung zufrieden geben, dass die Expertin nicht erklären kann, was da passiert, sie es also hinnehmen, dass eine Black Box Entscheidungen für sie trifft.  

3. Kernaufgaben im KI-Kontext

Die in Art. 39 DSGVO definierten Aufgaben des DSB sind unser aller „täglich Brot“. Bei der Einführung und dem Betrieb von KI-Systemen ist das nicht anders. Aber wie bei jeder neuen Herausforderung, vor der wir stehen, fragen wir uns auch hier, wie denn die praktische Umsetzung auszusehen hat:

Unterrichtung und Beratung

Unsere Beratungsaufgabe beginnt – wie immer – idealerweise schon bei der Planung eines KI-Projekts. 

Wie immer? Meine Erfahrung zeigt, dass das leider nicht die Regel, sondern die Ausnahme ist. Für KI-Projekte ist es aber besonders wichtig. Wenn Ihr Gehör findet für die Einbindung bei KI-Projekten: umso besser. Wenn nicht, nervt! Es kann Euch ja nicht egal sein, ob da ein eventuell großes, teures Projekt am Ende „den Bach runtergeht“, weil die KI verrücktspielt und Schindluder treibt mit personenbezogenen Daten. 

Wir wissen doch aus Erfahrung: Je früher wir eingebunden werden, desto besser können wir Datenschutz “by Design” sicherstellen. Das bedeutet, dass wir von Anfang an in Projektbesprechungen dabei sein sollten, nicht als stille Beobachter, sondern als aktive Berater. Idealerweise koordinieren wir das gesamt Projekt, jedenfalls halten wir die Fahne des Datenschutzes in jede Präsentation!

Wir unterstützen bei der Auswahl datenschutzfreundlicher KI-Lösungen und beraten zur datenschutzkonformen Gestaltung von Trainingsprozessen. Dazu erarbeiten wir idealerweise mit den Beteiligten eine Richtlinie für die Einführung der KI-Lösung. 

Um verständlicher zu machen, wie so etwas aussehen könnte, kommt hier ein praktisches Beispiel für eine solche Richtlinie (in diesem Fall für die Einführung eines KI-gestützten Personalauswahlsystems): 

Für die Richtlinienentwicklung können Standards wie ISO/IEC 27001 oder die Leitlinie EDSA zur KI-Regulierung (von 2019!) herangezogen werden, um den Datenschutzrahmen strukturiert zu gestalten.

Überwachung der Einhaltung

Die Überwachungsaufgabe ist bei KI-Systemen besonders anspruchsvoll, da sich diese Systeme kontinuierlich weiterentwickeln können. Anders als bei klassischen IT-Systemen reicht es nicht aus, einmal die Einhaltung der Datenschutzvorgaben zu prüfen. Vielmehr müssen wir einen kontinuierlichen Überwachungsprozess etablieren. Dieser umfasst die regelmäßige Überprüfung der Dokumentation ebenso wie stichprobenartige Kontrollen der verarbeiteten Daten. Besonders wichtig ist das Monitoring der Systementscheidungen auf mögliche Diskriminierungen und die praktische Überprüfung, ob Betroffene ihre Rechte tatsächlich ausüben können.

Kontinuierliche DSFA

Diese agilen Entwicklungsprozesse in KI-Systemen sollten durch eine kontinuierliche DSFA begleitet werden. Die ursprüngliche DSFA wird immer dann erneut bewertet, wenn es Änderungen an Systemen, Prozessen oder Datenflüssen gibt. Die kontinuierliche DSFA ist auch hervorragend für die Dokumentation geeignet. Sie könnte in regelmäßige Meilenstein-Meetings integriert werden.

Zusammenarbeit mit der Aufsichtsbehörde

Bei KI-Projekten ist der frühzeitige Kontakt zur Aufsichtsbehörde oft sinnvoll. Viele Behörden bauen gerade ihre KI-Expertise auf und sind an einem konstruktiven Dialog interessiert. Unsere Aufgabe ist es dabei, den Dialog zwischen Projektteam und Behörde zu moderieren. Wir müssen die relevanten Unterlagen so aufbereiten, dass sie auch für Nicht-Techniker verständlich sind, und bei Rückfragen schnell und kompetent reagieren können. Für den Dialog mit der Aufsichtsbehörde ist eine koordinierende Funktion des DSB für das gesamte Projekt von großem Vorteil. Meine praktische Erfahrung zeigt, dass die Akzeptanz von Projekten steigt, wenn Aufsichtsbehörden frühzeitig in KI-Projekte eingebunden werden. Eine weitere Praxiserfahrung: Aufsichtsbehörden reden gern mit DSB und nehmen sie auch ernst. Wenn DSB nachvollziehbar Dinge erklären, sind Aufsichtsbehörden im Allgemeinen (Ausnahmen bestätigen die Regel, leider) offen für ihre Argumente. 

4. Strategische Aufgaben

Entwicklung einer datenschutzkonformen KI-Strategie

Als DSB müssen wir KI-Projekte operativ begleiten. Wir dürfen uns dabei aber nicht auf einzelne Vorhaben beschränken. Für die datenschutzkonforme Gestaltung der KI-Transformation sollten wir auch eine strategische Rolle anstreben. Gemeint ist natürlich die Entwicklung einer KI-Datenschutzstrategie. Diese muss fest in der allgemeinen Datenschutzstrategie der Organisation (Datenschutzmanagement, Datenschutz-Leitlinie oder wie immer das bei Euch heißt) verankert sein und gleichzeitig die besonderen Herausforderungen von KI berücksichtigen. KI-Projekte dürfen dabei nicht isoliert betrachtet werden. Jedes neue KI-System muss sich in die bestehende Datenschutzarchitektur einfügen.

Dafür brauchen wir klare „Leitplanken“, die bereits vor dem Start eines Projekts existieren. Am besten in Form einer verbindlichen Richtlinie, die Mindestanforderungen definiert: von Datenschutz by Design über Transparenz gegenüber Betroffenen bis hin zu Dokumentationspflichten, Qualitätssicherung und Kontrollmechanismen, Einbindung der Aufsichtsbehörde usw..

Ein organisationsweiter Prozess für die Einführung von KI-Systemen sollte klar regeln, wann der DSB einzubinden ist, welche Prüfschritte erforderlich sind und wer welche Entscheidungen trifft. Besonders wichtig ist dabei die Gestaltung der Zusammenarbeit zwischen IT, Fachabteilungen und DSB. Ein solcher standardisierter Prozess verhindert, dass wir bei jedem neuen KI-Projekt “das Rad neu erfinden” müssen.

Vielleicht am wichtigsten ist die Schaffung einer Datenschutzkultur für KI-Projekte. Mein alter Spruch „Datenschutz darf kein lästiges Hindernis, sondern sollte ein Wettbewerbsvorteil sein!“ sagt es, finde ich, immer noch am besten. In der Praxis erreichen wir das durch regelmäßige Schulungen für Projektteams, offene Kommunikation über Datenschutzanforderungen und das Hervorheben positiver Beispiele für datenschutzfreundliche KI. Die aktive Einbindung der Fachabteilungen in Datenschutzentscheidungen ist dabei, wie immer, ein Schlüsselfaktor.

Langfristige Ressourcenplanung und Kompetenzaufbau

Die Begleitung von KI-Projekten braucht Zeit und Expertise – oft mehr, als wir zunächst denken. Als DSB müssen wir daher frühzeitig den notwendigen Ressourcenbedarf ermitteln und kommunizieren. Das betrifft nicht nur unsere eigenen Kapazitäten, sondern auch die Unterstützung, die wir von anderen Bereichen benötigen. An der Stelle sind mir schon Projekte komplett weggebrochen, weil für den Datenschutz anfangs überhaupt keine Ressourcen eingeplant wurden. Es hat schlicht und einfach niemand darüber nachgedacht, dass hier hoher Beratungsbedarf entsteht, der entweder (externer DSB) viel Geld kosten kann oder (interner DSB) die aufzubringende Zeit anderen Projekten genommen wird.

Komplexe KI-Projekte erfordern ein Team von Experten verschiedener Disziplinen. Neben dem DSB können das IT-Sicherheitsbeauftragte, Fachjuristen für KI-Recht oder externe Berater für spezielle technische Fragen sein. Diese Zusammenarbeit muss organisiert und koordiniert werden. Dabei kommt uns DSB im Idealfall eine zentrale Rolle zu – wir sollten die Schnittstelle zwischen allen Beteiligten sein.

Aufbau eines Expert:innen-Netzwerks

Kompetenzaufbau ist dabei ein kontinuierlicher Prozess. Die KI-Entwicklung ist so rasant, dass sich alle Beteiligten ständig weiterbilden müssen. Das gilt für uns DSB selbst, aber auch für die Projektteams und Fachabteilungen. 

Besonders wichtig finde ich, ein Expertennetzwerk aufzubauen – sowohl intern als auch extern. Wir müssen wissen, wen wir bei speziellen Fragen hinzuziehen können. Das können Kolleg*innen aus anderen Abteilungen sein, aber auch externe Experten oder andere DSB, die bereits Erfahrung mit ähnlichen Projekten haben.

5. Der DSB als Vermittler

Ich kann es nicht oft genug betonen: eine der wichtigsten und gleichzeitig anspruchsvollsten Aufgaben für uns DSB ist die Rolle des Vermittlers zwischen verschiedenen Interessengruppen. Bei KI-Projekten wird diese Aufgabe noch komplexer, weil hier oft sehr unterschiedliche Perspektiven, Erwartungen und Ängste aufeinandertreffen. Auf der einen Seite steht oft das Marketing/Fundraising, das die gigantischen Möglichkeiten sieht. Die technischen Teams sind meist bei Ihnen, weil sie die faszinierenden Möglichkeiten von KI ausschöpfen wollen. Auf der anderen Seite haben wir Führungskräfte, die sich um Compliance und Risiken sorgen, und Fachabteilungen, die befürchten, dass KI ihre Arbeit grundlegend verändert. Dazwischen steht, ich mag diese Rolle, manchmal der DSB. 

Zwischen Entwicklung und Compliance

Marketing/Fundraising-Teams lesen in Fachzeitschriften und/oder hören auf Kongresse, in Podcasts oder sehen in YouTube-Videos von fantastischen Ergebnissen, die mit KI erzielt werden können. 

Entwicklungsteams sehen oft die technischen Möglichkeiten von KI – und sind fasziniert.

Unsere Aufgabe als DSB ist es dann, den Entwickler*innen zu zeigen, dass Datenschutz ihre Arbeit nicht behindert, sondern qualitativ besser macht. Und dem Marketing/Fundraising zu zeigen, dass die Wahrung des Datenschutzes ihre Arbeit vertrauenswürdiger macht. Wir übersetzen rechtliche Anforderungen in technische Spezifikationen und helfen dabei, Privacy by Design von Anfang an umzusetzen.

Zwischen Management und Datenschutzaufsicht

Führungskräfte stehen oft unter hohem Druck: Sie sollen Innovation fördern und gleichzeitig Risiken minimieren. KI-Projekte bringen hier besondere Herausforderungen mit sich. Viele Manager*innen fürchten, dass die Aufsichtsbehörden KI-Projekte grundsätzlich kritisch sehen oder gar blockieren könnten.

Unsere Aufgabe ist es, hier eine Brücke zu bauen. Aus meiner Erfahrung sind die Aufsichtsbehörden durchaus offen für KI-Projekte – wenn sie frühzeitig eingebunden werden und nachvollziehbar dargelegt wird, wie der Datenschutz gewährleistet wird. Wir DSB können hier als Übersetzer fungieren: Dem Management erklären wir die Anforderungen der Aufsicht, der Aufsicht vermitteln wir die Ziele und Schutzmaßnahmen des Projekts.

Zwischen Innovation und Betroffenenrechten

Die vielleicht wichtigste Vermittlungsaufgabe liegt darin, Innovation und den Schutz der Betroffenen in Einklang zu bringen. Hier gilt es, kreative Lösungen zu entwickeln, die beide Aspekte berücksichtigen. Das könnte zum Beispiel bedeuten:

Entwicklung von Testszenarien mit synthetischen Daten 

Statt gleich mit echten Spenderdaten zu arbeiten, sollten wir zunächst künstliche Datensätze generieren. Diese bilden typische Spendenmuster nach, enthalten aber keine realen Personendaten. So kann das KI-System trainiert und getestet werden, ohne die Privatsphäre echter Spender zu gefährden. Ein positiver Nebeneffekt: Wir können gezielt auch seltene Fälle simulieren, die in realen Daten kaum vorkommen.

Schaffung transparenter Prozesse für Betroffene 

Die wichtigste Aufgabe bei der Einführung von KI ist die Schaffung von Transparenz – technisch und organisatorisch. Betroffene müssen jederzeit nachvollziehen können, was mit ihren Daten passiert. Ein leicht zugängliches Selbstauskunftsportal ist dafür der beste Weg. Dort können zum Beispiel Spender*innen einsehen, welche ihrer Daten für KI-Analysen verwendet werden und wie sie die Nutzung ihrer Daten einschränken können. Auch die vom System gegebenen Empfehlungen sind dort transparent dargestellt. Und natürlich muss es die Möglichkeit geben, eine menschliche Überprüfung dieser Empfehlungen anzufordern.

Etablierung effektiver Kontrollmechanismen

Die kontinuierliche Überwachung der KI-Nutzung sollte durch ein mehrstufiges Monitoring erfolgen: Neben der automatischen Prüfung auf ungewöhnliche Datenmuster müssen regelmäßige Stichproben durch geschulte Mitarbeiter*innen durchgeführt werden. Regelmäßig müssen die Systemempfehlungen auf mögliche Diskriminierungen überprüft werden. Einmal im Jahr sollten grundsätzlich alle Datenschutzmaßnahmen überprüft werden. Diese regelmäßigen Kontrollen helfen nicht nur bei der Qualitätssicherung, sondern schaffen auch Vertrauen bei den Betroffenen.

Aufbau eines verständlichen Kommunikationskonzepts

Die Kommunikation über KI-Systeme muss verständlich (was schwer genug ist) und möglichst proaktiv sein, also nicht erst einsetzen, wenn genervte Betroffene wissen wollen, was wir da eigentlich mit ihren Daten machen.

Technische Fachbegriffe haben in der Kommunikation mit Betroffenen nichts zu suchen – stattdessen erklären wir mit praktischen Beispielen aus ihrem Alltag. 

Natürlich können wir schreiben: „Unser Machine Learning Algorithmus analysiert Ihr Spendenverhalten mittels Pattern Recognition und erstellt daraus personalisierte Recommendations.“ Das wäre wahrscheinlich sachlich völlig richtig. Aber Betroffene, die keinen Master in KI haben, verstehen wahrscheinlich nur „Bahnhof“. 

Besser zu verstehen ist wahrscheinlich: „Wir schauen uns an, welche Projekte Sie in der Vergangenheit unterstützt haben. Wenn Sie zum Beispiel regelmäßig für Bildungsprojekte in Afrika spenden, informieren wir Sie gezielt über neue Schulprojekte in dieser Region. Dabei hilft uns ein computergestütztes System, das aus Ihren bisherigen Spenden lernt, welche Themen Ihnen besonders am Herzen liegen. Sie können jederzeit einsehen, welche Informationen dafür genutzt werden, und auch festlegen, dass Sie bestimmte Projektvorschläge nicht mehr erhalten möchten.“ Die Wahrheit tut manchmal weh, aber sie währt eben immer noch am längsten.

Über Änderungen am System sollte regelmäßig und ebenso verständlich informiert werden. Besonders wichtig ist ein direkter Feedback-Kanal für Fragen und Anregungen. Ich werde nie verstehen, warum es so viele „noreply“-E-Mail-Adressen gibt. Jede Mail eine verpasste Kommunikationschance. Ich komme eben aus dem Marketing! 

Die Erfahrung zeigt: Je offener und verständlicher kommuniziert wird, desto größer ist die Akzeptanz für alles, was der Marketer/Fundraiser so anstellt. 

 

6. Praktische Herausforderungen und Lösungen

Späte Einbindung des DSB

Der Alltag eines DSB ist voller Herausforderungen. Wem sage ich das? Das gilt verstärkt bei KI-Projekten. Eine der häufigsten: Wir werden zu spät eingebunden. Das Management hat bereits ein IT- oder schlimmstenfalls ein KI-System gekauft oder die Entwicklungsabteilung hat schon Monate in die Programmierung investiert – und dann sollen wir “nur noch kurz” aus Datenschutzsicht drüber schauen. In solchen Fällen hilft nur eines: Ruhe bewahren und systematisch vorgehen. Auch wenn es schwerfällt, liebes Management: Lieber ein Projekt stoppen oder neu aufsetzen, als ein datenschutzrechtlich bedenkliches System in Betrieb zu nehmen. Ein Blick in den Bußgeldkatalog aus Art. 83 DSGVO hilft zur Einsicht.

Dokumentation

Eine weitere klassische Herausforderung ist die Dokumentation. KI-Systeme entwickeln sich ständig weiter, neue Datenquellen kommen hinzu, Algorithmen werden angepasst. Die Dokumentation muss da Schritt halten. In der Praxis hat sich bewährt, die Dokumentation als “lebendes Dokument” zu behandeln und einen festen Rhythmus für Updates einzuführen. Zum Beispiel nach jedem Meilenstein in der Entwicklung oder mindestens einmal im Monat/Quartal/Halbjahr/Jahr im laufenden Betrieb.

Einhaltung der Betroffenenrechte

Besonders knifflig wird es bei der Umsetzung der Betroffenenrechte. Wie gewährleisten wir ein effektives Auskunftsrecht, wenn selbst die Entwickler manchmal nicht genau erklären können, wie das System zu bestimmten Entscheidungen kommt? Hier hilft nur absolute Transparenz – auch über die Grenzen des Systems. Wenn wir bestimmte Entscheidungswege nicht vollständig erklären können, müssen wir das zumindest offen kommunizieren und alternative Wege anbieten, etwa die Möglichkeit einer manuellen Überprüfung. Auch die gründliche Behandlung dieses Nichtwissens in der DSFA hilft bei eventuellen Differenzen mit der Aufsichtsbehörde (die, wenn ein solches Gespräch stattfinden muss, eh „not amused“ sein dürfte. 

Qualitätssicherung

Auch die Qualitätssicherung kann uns vor besondere Herausforderungen stellen. Anders als bei klassischen IT-Systemen können wir bei KI nicht einfach einen definierten Testplan abarbeiten und dann ein System “abnehmen”. Stattdessen müssen wir kontinuierlich prüfen, ob das System noch innerhalb seiner definierten Parameter arbeitet. Was bedeutet das konkret? Ein KI-System könnte zum Beispiel plötzlich beginnen, bestimmte Personengruppen systematisch anders zu behandeln als andere. Ein möglicher Grund: In den neuen Trainingsdaten waren diese Gruppen unterrepräsentiert. Das könnte so ein typischer BIAS sein. Eine kognitive Voreingenommenheit. Ich erkläre das immer gern mit einem einzigen Beispiel, weil dieses eine Beispiel jedem sofort einleuchtet. Es heißt: „Dieser Mann kommt aus dem Irak, er muss ein Moslem sein.“

Bias sind derzeit nach meinem Verständnis die Ursache für die meisten Fehler, die mittels falschen Trainings von KI produziert werden. Als Konsequenz müssen regelmäßig die Verteilung in den Trainingsdaten geprüft und Warnsysteme eingerichtet werden, die auf ungewöhnliche Muster aufmerksam machen.

Internationale Datentransfers

Internationale Datentransfers sind seit dem Schrems-II-Urteil ohnehin ein heißes Eisen – bei KI-Systemen wird es noch brisanter. Viele KI-Dienste werden von US-Anbietern bereitgestellt oder nutzen Cloud-Dienste außerhalb der EU. Die Standardvertragsklauseln allein reichen hier nicht aus, das wissen wir spätestens seit Schrems II.

Die Verlagerung des KI-Trainings auf europäische Server oder die ausschließliche Übertragung anonymisierter Modelldaten in die Cloud sind mögliche Lösungsansätze. Ja, das bedeutet mehr Aufwand und höhere Kosten. Aber was ist die Alternative? Ein datenschutzrechtlich problematischer Transfer, der im schlimmsten Fall von der Aufsichtsbehörde untersagt wird? Da ist die rechtliche Sicherheit die Mehrkosten allemal wert.

Hierbei zeigt sich wieder einmal: Gute Lösungen entstehen nur im engen Dialog zwischen DSB, IT-Sicherheit und Fachabteilungen. Der zusätzliche Aufwand für datenschutzkonforme Lösungen muss von Anfang an in die Projektplanung einkalkuliert werden – sowohl zeitlich als auch finanziell. Und ja, manchmal bedeutet das auch, dass wir sagen müssen: “Diese KI-Lösung können wir so nicht einsetzen.

7. Ausblick

Was ist nun also die Rolle des DSB in der KI-Ära?

Sie wird sich weiter wandeln – und an Bedeutung gewinnen. Mit dem EU AI Act kommen neue regulatorische Anforderungen auf uns zu, die wir in unsere tägliche Arbeit integrieren müssen. Dabei wird es nicht nur darum gehen, Compliance sicherzustellen, sondern auch darum, die Balance zwischen Innovation und Datenschutz neu auszutarieren.

Wir DSB werden uns meiner Meinung nach noch stärker als bisher zu Vermittlern zwischen verschiedenen Welten entwickeln: zwischen Technologie und Recht, Innovation und Schutz, Menschen und Maschinen. Das erfordert kontinuierliche Weiterbildung – nicht nur in rechtlichen Fragen, sondern auch im Verständnis der technologischen Entwicklungen. Dabei müssen wir nicht zu KI-Expert*innen werden, aber wir müssen die grundlegenden Konzepte und vor allem ihre Auswirkungen auf den Datenschutz verstehen.

Die Automatisierung wird auch vor der DSB-Arbeit nicht Halt machen. KI-gestützte Tools für Datenschutz-Folgenabschätzungen, automatisierte Compliance-Checks oder intelligente Systeme zur Erkennung von Datenschutzverletzungen werden unsere Arbeit unterstützen – aber nicht ersetzen. In der reinen Beratung, bei Fragen wie „Ich veranstalte ein Straßenfest zugunsten unserer Organisation. Dort werden Fotos gemacht, die wir für unsere Medien nutzen wollen. Was müssen wir beachten?“ wird uns KI über kurz oder lang ersetzen. Aber gerade bei KI-Systemen wird der menschliche Blick, die ethische Bewertung und das Gespür für die Balance zwischen verschiedenen Interessen wichtiger denn je. Und ich bin überzeugt, dass uns auch die nächste, am 1. Dezember 24 ihre Arbeit aufnehmende EU-Kommission wieder mehr „Beratergold“ präsentieren wird, als uns lieb ist. 

Für „Spaß“ wird auch noch die zunehmende Verschmelzung verschiedener Technologien sein: KI kombiniert mit Internet der Dinge, Augmented Reality oder Blockchain stellt uns vor immer neue Fragen. Hier werden wir mehr denn je gefordert sein, kreative und praxistaugliche Lösungen zu entwickeln.

Eins ist sicher: die Arbeit wird uns nicht ausgehen!

Wie seht Ihr das? Welche Rolle wird KI in fünf Jahren (oder sollte ich hier „in fünf Monaten“ schreiben?) für DSB spielen? Ist KI Bedrohung oder Chance für uns DSB? Nimmt uns KI die Arbeit weg oder beschert sie uns immer neue Arbeit? Seht Ihr die Rolle des DSB in der KI-Ära ähnlich wie ich oder denkt Ihr, „der spinnt doch?“ Diskutiert mit mir und unter Euch diese spannenden Fragen!

#Privacy #KIundDatenschutz #DSGVO #KünstlicheIntelligenz #Datenschutzbeauftragter #DSB #PrivacyByDesign #ArtificialIntelligence #DSBAlltag

 

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit einem * markiert

This site uses Akismet to reduce spam. Learn how your comment data is processed.