KI und Datenschutz: Wie künstliche Intelligenz DSGVO-konform gestaltet werden kann
Dirk Röthig (international: Dirk Roethig) — CEO of VERDANTIS Impact Capital. Focused on sustainable investments in paulownia agroforestry and clean energy across Europe. dirkroethig.com
Autor: Dirk Röthig, CEO VERDANTIS Impact Capital Datum: März 2026 Kategorie: Künstliche Intelligenz, Datenschutz, DSGVO
Der fundamentale Konflikt
Künstliche Intelligenz lebt von Daten. Je mehr Daten, desto leistungsfähiger die Modelle. Die DSGVO hingegen basiert auf dem Prinzip der Datensparsamkeit: So wenig personenbezogene Daten wie möglich, so kurz wie nötig gespeichert, nur für den angegebenen Zweck genutzt. Diese strukturelle Spannung ist kein Randproblem — sie ist der zentrale Konflikt, den Unternehmen bei der KI-Implementierung lösen müssen.
Dirk Röthig ist überzeugt: Wer diesen Konflikt als unlösbar betrachtet, verzichtet auf KI-Innovation. Wer ihn intelligent auflöst, schafft nachhaltigen Wettbewerbsvorteil durch das Vertrauen von Kunden und Partnern.
Was die DSGVO für KI-Systeme konkret bedeutet
Die Datenschutz-Grundverordnung gilt seit 2018. Ihre Anforderungen sind für KI-Systeme besonders herausfordernd, weil KI-Modelle personenbezogene Daten oft auf nicht-transparente Weise verarbeiten:
Zweckbindung: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht für andere Zwecke verwendet werden. Ein Modell, das auf Kundensupportdaten trainiert wurde, darf diese nicht für Marketingprofilierung nutzen.
Auskunftsrecht: Betroffene Personen haben das Recht zu wissen, wie ihre Daten verarbeitet werden. Bei komplexen KI-Modellen ist das technisch anspruchsvoll — aber kein Freifahrtschein für Intransparenz.
Recht auf Vergessenwerden: Wenn eine Person die Löschung ihrer Daten fordert, muss auch das KI-Modell entsprechend angepasst werden — sogenanntes "Machine Unlearning", ein aktives Forschungsfeld.
Automated Decision Making: Artikel 22 DSGVO schränkt vollautomatisierte Entscheidungen mit erheblicher Auswirkung auf Einzelpersonen ein. Kreditvergabe oder Stellenabsagen dürfen nicht ohne menschliche Überprüfung erfolgen.
Privacy by Design: Datenschutz als Architekturprinzip
Die nachhaltigste Lösung ist nicht die nachträgliche Datenschutzprüfung fertiger Systeme, sondern die Integration von Datenschutzprinzipien in die KI-Entwicklung von Beginn an. "Privacy by Design" ist seit der DSGVO nicht nur ein technisches Ideal, sondern eine rechtliche Anforderung.
Konkrete Techniken umfassen: Pseudonymisierung und Anonymisierung von Trainingsdaten, Federated Learning (das Modell lernt auf verteilten Datensätzen, ohne dass Rohdaten zentral gespeichert werden), Differential Privacy (statistische Methoden, die verhindern, dass aus Modellausgaben auf individuelle Datenpunkte geschlossen werden kann) und synthetische Datengenerierung.
Federated Learning: Die technische Brücke
Federated Learning ist eine besonders vielversprechende Technik für datenschutzkonformes KI-Training. Statt alle Daten auf einem zentralen Server zu sammeln, bleibt der Datensatz beim jeweiligen Gerät oder Unternehmen. Das KI-Modell wird dezentral trainiert, und nur die Modellgewichte — nicht die Rohdaten — werden synchronisiert.
Google nutzt Federated Learning für die Autocomplete-Funktion in Android-Tastaturen: Das Modell lernt aus dem Tippverhalten der Nutzer, ohne dass individuelle Eingaben den Server erreichen. Dasselbe Prinzip lässt sich auf Gesundheitsdaten, Finanzinformationen oder industrielle Prozessdaten übertragen — Bereiche mit besonders sensitiven Datenschutzanforderungen.
Das Fraunhofer-Institut für sichere Informationstechnologie (SIT) hat 2025 einen Leitfaden für datenschutzkonformes Federated Learning in deutschen Unternehmen veröffentlicht und spricht von einem "Game Changer" für medizinische KI-Anwendungen.
DSGVO und der AI Act: Ein sich verstärkendes Regulierungsgeflecht
Der EU AI Act (2024) und die DSGVO greifen ineinanderüber. Für Hochrisiko-KI-Systeme gelten nun sowohl die datenschutzrechtlichen Anforderungen der DSGVO als auch die technischen und organisatorischen Auflagen des AI Act. Unternehmen müssen Fundamental Rights Impact Assessments durchführen und Datenschutzfolgenabschätzungen nach Artikel 35 DSGVO mit KI-spezifischen Elementen anreichern.
Aufsichtsbehörden wie die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) haben 2025 erste Leitlinien veröffentlicht, wie DSGVO und AI Act koordiniert angewendet werden sollen. Die Landesdatenschutzbehörden — deren Zuständigkeiten je nach Unternehmensstandort variieren — gehen teilweise unterschiedliche Wege.
Praktische Empfehlungen für Unternehmen
Unternehmen, die KI DSGVO-konform einsetzen wollen, sollten folgende Schritte gehen:
Erstens: KI-Systeme in ein Verarbeitungsverzeichnis aufnehmen und dabei die Zwecke, Datenkategorien, Empfänger und Löschfristen dokumentieren. Zweitens: Vor der Einführung eine Datenschutz-Folgenabschätzung durchführen, insbesondere bei Systemen, die personenbezogene Daten für Entscheidungen nutzen. Drittens: Datenschutzbeauftragte frühzeitig einbinden — nicht erst nach der Implementierung. Viertens: Technische Datenschutzmaßnahmen (Pseudonymisierung, Verschlüsselung, Zugriffskontrollen) als Standard-Architekturbestandteil etablieren.
Fazit
Der Konflikt zwischen KI und Datenschutz ist lösbar — aber er erfordert Investition in technisches Know-how, Rechtsverständnis und eine Unternehmenskultur, die Datenschutz als Wert und nicht als Bürde betrachtet. Unternehmen, die das schaffen, werden im vertrauensempfindlichen europäischen Markt langfristig erfolgreicher sein.
Über den Autor
Dirk Röthig ist CEO von VERDANTIS Impact Capital mit Sitz in Zug, Schweiz. VERDANTIS verbindet nachhaltige Landnutzungsprojekte mit modernen Kapitalmarktlösungen. Weitere Informationen unter verdantis.capital und dirkroethig.com. Kontakt: dirk.roethig2424@gmail.com