zurück zur Webseite des LfDI Baden-Württemberg Impressum  Datenschutz

Orientierungs­hilfen-Navigator KI & Datenschutz (ONKIDA)

Orientierungs­hilfen-
Navigator
KI & Datenschutz (ONKIDA)

Fundstellenübersicht zu zehn zentralen Vorgaben des Datenschutzrechts in aufsichtsbehördlichen Orientierungshilfen zu „Künstlicher Intelligenz“.
Stand Juli 2024. hDie Tabelle als PDF (200 kB) Einstiegsvideo (PeerTube)

Fundstellenübersicht zu zehn zentralen Vorgaben des Datenschutzrechts in aufsichtsbehördlichen Orientierungshilfen zu „Künstlicher Intelligenz“.
Stand Juli 2024. Einstiegsvideo (PeerTube)

Wobei hilft ONKIDA? Werden bei KI-Anwendungen personenbezogene Daten verarbeitet, ist die DS-GVO anwendbar. Beginnend bei der Frage, wann und an welcher Stelle des Verarbeitungsprozesses man es mit personenbezogenen Daten (pbD) zu tun hat, gibt es zahlreiche weitere datenschutzrechtliche Implikationen. Namentlich, wie Verantwortliche der Maßgabe der Zweckbindung oder Ansprüchen auf Löschung sowie Auskunft bei KI-Systemen nachkommen können – und ab wann sie überhaupt datenschutzrechtlich verantwortlich sind. Zu den datenschutzrechtlichen Fragen, die sich beim Einsatz von KI stellen, gibt es inzwischen zahlreiche Handreichungen von Aufsichtsbehörden, um Verantwortlichen Hilfestellung zu liefern. Dabei zeigt sich ein grundsätzlich sehr einheitliches Bild in der Auslegung, auch wenn im Einzelnen unterschiedliche Schwerpunkte gesetzt werden. ONKIDA gibt hier einen ersten Überblick und versteht sich als Hilfestellung für die Arbeit mit diesen Orientierungshilfen, indem ein schnellerer Zugang zu Einzelaspekten zentraler datenschutzrechtlicher Vorgaben ermöglicht wird.
 
Anwendung: In der linken Spalte (senkrechte Linie) sind zentrale datenschutzrechtliche Vorgaben zu finden („TopTen Datenschutz und KI“), die regelmäßig bei KI-Anwendungen mit pbD eine Rolle spielen. In der obersten Zeile (waagerechte Reihe) findet sich eine Auswahl von Orientierungshilfen verschiedener Aufsichtsbehörden bzw. kooperierender Gremien zu Schnittstellen von DS-GVO und KI, die jeweils verlinkt sind zu den Originaldokumenten. Für jedes Dokument gibt ONKIDA dann in den einzelnen Feldern an, ob und wenn ja an welcher Stelle (Seite, Randnummer) das jeweilige Papier Aussagen zu den Vorgaben in der linken Spalte enthält.

Orientierungs­hilfen-Navigator KI & Datenschutz (ONKIDA)

Orientierungs­hilfen-
Navigator
KI & Datenschutz (ONKIDA)

Fundstellenübersicht zu zehn zentralen Vorgaben des Datenschutzrechts in aufsichtsbehördlichen Orientierungshilfen zu „Künstlicher Intelligenz“.
Stand Juli 2024. hDie Tabelle als PDF (200 kB) Einstiegsvideo (PeerTube)

Fundstellenübersicht zu zehn zentralen Vorgaben des Datenschutzrechts in aufsichtsbehördlichen Orientierungshilfen zu „Künstlicher Intelligenz“. Stand Juli 2024.

Wobei hilft ONKIDA? Werden bei KI-Anwendungen personenbezogene Daten verarbeitet, ist die DS-GVO anwendbar. Beginnend bei der Frage, wann und an welcher Stelle des Verarbeitungsprozesses man es mit personenbezogenen Daten (pbD) zu tun hat, gibt es zahlreiche weitere datenschutzrechtliche Implikationen. Namentlich, wie Verantwortliche der Maßgabe der Zweckbindung oder Ansprüchen auf Löschung sowie Auskunft bei KI-Systemen nachkommen können – und ab wann sie überhaupt datenschutzrechtlich verantwortlich sind. Zu den datenschutzrechtlichen Fragen, die sich beim Einsatz von KI stellen, gibt es inzwischen zahlreiche Handreichungen von Aufsichtsbehörden, um Verantwortlichen Hilfestellung zu liefern. Dabei zeigt sich ein grundsätzlich sehr einheitliches Bild in der Auslegung, auch wenn im Einzelnen unterschiedliche Schwerpunkte gesetzt werden. ONKIDA gibt hier einen ersten Überblick und versteht sich als Hilfestellung für die Arbeit mit diesen Orientierungshilfen, indem ein schnellerer Zugang zu Einzelaspekten zentraler datenschutzrechtlicher Vorgaben ermöglicht wird.
 
Anwendung: In der linken Spalte (senkrechte Linie) sind zentrale datenschutzrechtliche Vorgaben zu finden („TopTen Datenschutz und KI“), die regelmäßig bei KI-Anwendungen mit pbD eine Rolle spielen. In der rechten Spalte findet sich eine Auswahl von Orientierungshilfen verschiedener Aufsichtsbehörden bzw. kooperierender Gremien zu Schnittstellen von DS-GVO und KI, die jeweils verlinkt sind zu den Originaldokumenten. Für jedes Dokument gibt ONKIDA dann in den einzelnen Feldern an, ob und wenn ja an welcher Stelle (Seite, Randnummer) das jeweilige Papier Aussagen zu den Vorgaben in der linken Spalte enthält.

A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
H. DSB Österreich: FAQ KI und Datenschutz (2024)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
1. Grundsatz der Daten­richtig­keit
1.
Grundsatz der Daten­richtig­keit
Art. 5 I lit. d) DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) S. 15 f. (Art. 4 I lit. d) VO 2018/1725)
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(+) Rn. 29 ff. sowie im Fragebogen im Annex, S. 11
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+/−) Recht auf Berichtigung Rn. 27, Überprüfung der Richtigkeit der Ergebnisse Rn. 64 f.
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(−)
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+/−) Recht auf Berichtigung, S. 6, 10
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(+/−) Überprüfung der Richtigkeit des Ergebnisses S. 4
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(+/−) „data cleaning“, „monitoring and updating“ Sheet 7
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(+)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(−)
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(−)
2. Grundsatz der Daten­minimierung
2.
Grundsatz der Daten­minimierung
Art. 5 I lit. c) DSGVO
Zweck­bindungs­grund­satz
Art. 5 I lit. b) DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) Datenminimierung: S. 14 (Art. 4 I lit. c) VO 2018/1725)
(+/−) Zweckbindung: nur sehr indirekt („consistent with original purpose“), S. 12
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(+/−) nur im Rahmen des Fragebogens im Annex, S. 10
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) Zweckbindung Rn. 1 f.
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(+/−) Berücksichtigung Datenminimierung bei Art. 6 I lit. f DSGVO (S. 17) u. § 13 LDSG BW (S. 25)
(+) Zweckänderung S. 15
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+/−) Zweckbindung nur eher indirekt S. 6, 8, 11 (Checkliste)
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(−)
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(+) Sheet 2, Datenminimierung auch Sheet 6, Zweckkompatibilität auch Sheet 4 (2/2)
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(+)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+) Datenminimierung S. 9, 14, 17
(+) Zweckbindung S. 6 f., 7 (Fragebogen), 8, 9, 14, 17
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(+) Datenminimierung, S. 4
(+) Zweckbindung S. 3;
3. Personen­bezug
3.
Personen­bezug
Art. 4 Nr. 1 DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) S. 7 (Art. 3 Nr. 1 VO 2018/1725)
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(−)
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) Rn. 4 ff., 7 f., 48 ff.
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(+) insbes. S. 6
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+) S. 4, 5, 9,10, 11 (Checklisten)
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(+) S. 2 f.
vgl. auch Hamburger Thesen zum Personenbezug in Large Language Models v. 15.7.2024
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(+) Introduction
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(−)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+) S. 15 kurzer Satz im Zusammenhang mit Vertraulichkeit beim Training
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(−)
4. Rechts­grundlagen für die Daten­verarbeitung
4.
Rechts­grundlagen für die Daten­verarbeitung
Art. 6 I u. 9 II DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) S. 11 ff. (Art. 5 und 10 II VO 2018/1725)
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(+) Rn. 13 ff., ebenso im Fragebogen S. 12 f.
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) Rn. 9 ff. (zudem Verweis auf Positionspapier LfDI BW), Rn. 62 (im Zusammenhang mit sensiblen Daten)
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(+) insbes. S. 11 ff.
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+) S. 4 und 9 (Checklisten)
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(+) S. 2 (indirekt im Zusammenhang mit Personenbezug) und S. 4 (im Zusammenhang mit Diskriminierung)
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(+) Sheet 4 (1/2 und 2/2), Sheet 8 (in consultation)
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(+/−) nur allgemeine Bezugnahme
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+/−) vereinzelt kurze Bezugnahmen, dass es einer Rechtsgrundlage bedarf
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(−)
5. (Mit−)Verant­wort­lich­keit
5.
(Mit−)Verant­wort­lich­keit
Art. 26 (und 28) DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) S. 6
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(+/−) Rn. 23 ff. in Zusammenhang mit Fairness-Prinzip, „Abwälzung“ der Verantwortlichkeit auf betroffene Personen; im Rahmen des Fragebogens S. 14
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) Rn. 32 ff.
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(+) S. 9 ff.
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+) S. 9
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(−)
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(+) Sheet 3
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(−)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+/−) indirekt: Klärung der Zugriffsmöglichkeiten von Cloud-Anbietern S. 16; „Rollen- und Berechtigungskonzept“ S. 15,18,19
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(+/−) S. 4 (nur knappe Bezugnahme auf Ermittlung der Verantwortlichkeit)
6. Transparenz­gebot und Informations­pflichten
6.
Transparenz­gebot und Informations­pflichten
Art. 5 I lit. a und 12 ff. DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) S. 17 (Art. 14 VO 2018/1725)
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(+) Rn. 27 f., ebenso im Fragebogen S. 13
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) Rn. 21 ff.
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(+) S. 12 (im Zusammenhang mit informierter Einwilligung)
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+) Transparenz S. 7 (als Teil des „Datenschutz-Risikomodells“)
(+) Infopflichten S. 5 (Checkliste)
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(−)
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(+) Sheet 2, Dokumentation in Sheet 7
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(+)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+) S. 5, 11 ff., 16 f.
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(+) S. 3
7. Auskunfts­anspruch
7.
Auskunfts­anspruch
Art. 15 DSGVO
Recht auf Löschung
Art. 17 DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+/−) allgemein Betroffenenrechte S. 22
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(+) allgemein Betroffenenrechte Rn. 32 ff.
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) nur Recht auf Löschung Rn. 26, 28 f.; „weitere Betroffenenechte“ Rn. 30
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(+) nur Recht auf Löschung S. 12
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+) Auskunftsanspruch S. 5, 10 (Checkliste), Recht auf Löschung S. 6, 10 (Checkliste)
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(−)
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(−)
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(+/−) nur allgemeine Bezugnahme auf Betroffenenrechte
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+) Auskunftsanspruch, S. 7; Betroffenenrechte allgemein S. 18 (in einem Satz)
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(−)
8. Automati­sierte Entschei­dungen und Profiling
8.
Automati­sierte Entschei­dungen und Profiling
Art. 22 DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) S. 18 (Art. 24 VO 2018/1725)
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(−)
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) Rn. 12 ff.
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(−)
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(−)
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(+) S. 22
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(−)
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(+)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+) S. 5 (mehr oder weniger), S. 14 (Bezugnahme in einem Satz, indirekt), S. 18
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(+) S. 3
9. Daten­schutz durch Technik­gestaltung und datenschutz­freundliche Vor­ein­stellungen
9.
Daten­schutz durch Technik­gestaltung und datenschutz­freundliche Vor­ein­stellungen
Art. 25 DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) S. 9 (Art. 27 VO 2018/1725)
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(+) Rn. 7 knappe Bezugnahme; Rn. 35 im Zusammenhang mit Betroffenenrechten
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) Rn. 43
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(+/−) S. 7 (Bewertung Personenbezug), S. 18 Fn. 57 (Berücksichtigung bei Art. 6 I lit. f DSGVO)
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+), S. 7 (nur ein knapper Satz)
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(−)
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(+) Sheet 6 (Vorschrift wird nicht direkt genannt, aber Konzept DPbD wird beschrieben), Sheet 7
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(−)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+) S. 7 (analog?)
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(+) S. 2, 4
10. Datenschutz-Folgenabschätzung
10.
Daten­schutz-
Folgen­abschätzung
Art. 35 DSGVO
A. EDPS Guidelines on generative AI and the EUDPR (2024, PDF)
Datenverarbeitung durch EU-Organe
(+) S. 9 f. (Art. 39 u. 89 VO 2018/1725)
B. Report der EDSA Taskforce ChatGPT (2024, PDF)
(+/−) nur im Rahmen des Fragebogens im Annex, S. 11
C. DSK: Orientierungshilfe zu KI und Datenschutz (2024, PDF)
(+) Rn. 38 ff.
D. LfDI BW: Rechtsgrundlagen zum Einsatz von KI (2023)
(−)
E. BayLDA: Checkliste Datenschutz­konforme KI (2024, PDF)
(+) S. 4, 6, 9, 11 (Checklisten), S. 7
F. Hamburger BfDI: Checkliste zum Einsatz LLM-basierter Chatbots (2023, PDF)
(+) S. 2
G. CNIL: Recommendations on the development of AI systems („How-to sheets“) (2024)
(+) Sheet 5
H. DSB Österreich: FAQ KI und Datenschutz (2024)
(−)
I. DSK: Positionspapier zu TOM bei Entwicklung und Betrieb von KI-Systemen (2019, PDF)
(+) S. 5
J. DSK: Hambacher Erklärung zur KI (2019, PDF)
(+) S. 4
https://lfdi-bw.de/onkida