Bei der nationalen Umsetzung der KI-Verordnung der EU soll die Bundesnetzagentur die Marktaufsicht in Deutschland übernehmen, nicht aber die Datenschutzaufsichtsbehörden. Das bedeutet aber nicht, dass die Datenschutzbehörden bei KI-Projekten nicht mehr involviert werden müssen. Eine Vielzahl an KI-Initiativen der Datenschutzaufsicht unterstreicht dies.
„Künstliche Intelligenz und Datenschutz gehören zusammen“, Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
(Bild: LfDI)
Die nationale Aufsicht bei Fragen Künstlicher Intelligenz ist aufgrund der sektoralen Zuständigkeiten und der föderalen Aufteilung komplex, https://www.bundestag.de/dokumente/textarchiv/2024/kw20-pa-digitales-ki-1001728 so der Deutsche Bundestag. Gemeint ist damit, dass der Umgang mit KI nicht nur in den einzelnen Bundesländern, sondern auch für alle möglichen Branchen kontrolliert und überwacht werden muss.
Die KI‐VO (KI-Verordnung) sieht bereits in einigen Fällen die sektorspezifische Zuständigkeit der Datenschutzbehörden als Marktüberwachungsbehörden vor. Die Datenschutzaufsichtsbehörden erklärten sich bereit, die Aufgabe der nationalen Marktüberwachung für KI‐Systeme zu übernehmen. Als Argumente nannten sie die bestehenden Zuständigkeiten nach der DSGVO (Datenschutz-Grundverordnung der EU), eine langjährige Expertise im digitalen Grundrechtsschutz und etablierte, kooperative Aufsichts‐ sowie Abstimmungsmechanismen.
„Das Verhältnis von Künstlicher Intelligenz zum Datenschutz ist ein Schwerpunkt meiner Behörde. Schon 2019 haben wir in unserer Hambacher Erklärung als deutsche Datenschutzaufsichtsbehörden eine humanistische und damit grundrechtsschützende Ausrichtung von KI als Standard gefordert“, erklärte Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Wie sehr die Datenschutzaufsicht mit dem Thema KI in Verbindung bleibt, zeigen umfangreiche Initiativen dieser Aufsichtsbehörden rund um Künstliche Intelligenz. Das sollte auch nicht verwundern, denn KI-Systeme verarbeiten in vielen Fällen personenbezogene Daten, zudem haben die Datenschutzaufsichtsbehörden aus der KI-Verordnung heraus definierte Aufgaben bei der Marktüberwachung bei KI, in den besonders grundrechtsrelevanten Bereichen der Strafverfolgung, Migration, Integration und Wahlen.
„Auch für Künstliche Intelligenz gilt das Datenschutzrecht und wir beschäftigen uns bereits gegenwärtig mit der Technologie, ihrer Anwendung durch Verwaltung und Wirtschaft sowie ihrer Fortentwicklung“, so Prof. Kugelmann. „Zugleich geht es darum, die Entwicklung im Rahmen des Datenschutzrechts in die Richtung einer menschenzentrierten und grundrechtsschonenden Nutzung von Systemen Künstlicher Intelligenz zu lenken.“
Tatsächlich sind die Datenschutzaufsichtsbehörden sehr aktiv im Bereich der Beratung und Überwachung von KI, wie diese Beispiele zeigen:
Mit einem Themenschwerpunkt zu KI & Datenschutz bietet das Landesamt für Datenschutzaufsicht (bayerischen) Unternehmen erste Orientierung und Hilfestellungen für den datenschutzgerechten Einsatz von KI-Technologien. Dazu der Präsident des Landesamts Michael Will: „Gerade kleine und mittlere Unternehmen brauchen mehr als akademische Leuchtturmprojekte, um ihren passenden Zugang zum Zukunftsthema KI zu finden. Die neuen Informationsangebote des Landesamts bieten deshalb einen Lotsendienst durch die Klippen neuer Begriffe, Funktionen und Anforderungen, damit der digitale Alltag in Unternehmen auch mit KI gelingt.“
Ein vom Landesbeauftragten für den Datenschutz (LfD), Denis Lehmkemper, einberufener Expertenkreis zu Künstlicher Intelligenz (KI) hat seine Arbeit aufgenommen. Ziel des Expertenkreises ist es, Rahmenbedingungen für den datenschutzkonformen Einsatz Künstlicher Intelligenz in der Wirtschaft wie auch in der niedersächsischen Verwaltung zu formulieren. Es sollen technische und rechtliche Gestaltungsvorschläge für einen datenschutzfreundlichen KI-Einsatz erarbeitet werden, um diese technische Innovation zu fördern.
Forschende der Universität Bayreuth schaffen in Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz die Grundlage für digitale Experimentierumgebungen. In diesen können Unternehmen und Behörden künftig die Datenschutzkonformität ihrer Anwendungen testen. Das Projekt wird vom Bundesministerium für Bildung und Forschung (BMBF) gefördert. Obwohl das europäische Recht für den Bereich der Künstlichen Intelligenz die Einrichtung von „KI-Reallaboren“ bereits verbindlich vorgibt, ist noch weitgehend offen, wie eine Sandbox unter deutschen Regularien realisiert werden kann. „Unser Projekt ist ein wichtiger Schritt in Richtung sicherer und innovativer digitaler Anwendungen in Deutschland. Wir stellen damit eine Balance zwischen dem Schutz sensibler Daten und der Förderung von Innovationen her, indem wir eine Umgebung schaffen, in der Unternehmen neue Technologien und Lösungen testen können, ohne die Privatsphäre der Nutzenden zu gefährden“, sagte Prof. Dr. Christoph Krönke vom Lehrstuhl Öffentliches Recht I der Universität Bayreuth.
KI-VO: Auch Datenschutzbehörden werden sie umsetzen
Offensichtlich sollten KI-Projekte auch immer den Datenschutz im Blick behalten, so wie der Datenschutz die KI im Fokus hat und haben wird. Bei der Strategieklausur der Datenschutzaufsichtsbehörden in Speyer erklärten diese, dass es ihre Aufgabe sei, Behörden und Unternehmen, die KI einsetzen, mit ihrer Expertise für den Schutz personenbezogener Daten eng und praxisorientiert zu begleiten. Dies beginne bereits mit dem Training von generativen KI-Modellen, die ganz offensichtlich das Kernelement der meisten in der Praxis eingesetzten KI-Systeme bilden werden. Wer ihre Funktionsbedingungen rechtlich und technisch genauer analysiert, werde feststellen, dass schon hier in den allermeisten Fällen eine Verarbeitung personenbezogener Daten nicht auszuschließen ist.
Für die Nutzung von LLMs zum Beispiel gibt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) diese zentralen Hinweise: Die bloße Speicherung eines LLMs stellt keine Verarbeitung im Sinne der DSGVO dar. Mangels Speicherung personenbezogener Daten im LLM können die Betroffenenrechte der DSGVO nicht das Modell selbst zum Gegenstand haben. Aber das Training von LLMs mit personenbezogenen Daten muss datenschutzkonform erfolgen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Datenschutz bei KI ist und bleibt also ein zentrales Thema und damit bleiben die Datenschutzbehörden auch Teil der KI-Aufsicht.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/dd/93dda8df29e7c5144c811b11baa2161c/0128951438v1.jpeg "Die Zero-Day-Schwachstelle entwickelte sich zu einer globalen Exploit-Welle und verdeutlicht die Gefahr automatisierter Angriffe auf ERP-Systeme. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/46/65/466530a22b95665e42a29262f8888b64/0128942978v2.jpeg "Der Einsatz von KI-Bots birgt Risiken für Unternehmen, da sie Serverressourcen überlasten, personenbezogene Daten missbrauchen und Umsatzverluste verursachen können. Daher sollten Unternehmen Zugriffskontrollen implementieren und geeignete Schutzmaßnahmen ergreifen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/23/30/2330669e6dcfe8562f7ff8e2b2b7e4b8/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/14/aa/14aa362cb23a420707d28944d163c2c4/0121432641v2.jpeg "Je nach Herkunftsland einer KI besteht bei vielen Unternehmen die Unsicherheit, was mit ihren Daten dort geschehen könnte. In Deutschland und in der EU insgesamt vertraut man dagegen auf den Datenschutz und die KI-Regulierung, an die sich die Anbieter halten müssen. (Bild: Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/e5/68e5ddfee255843604a7e689847e010f/0121455948v1.jpeg "Die Datenschutz-Anforderungen in Deutschland und Europa scheinen Überhand zu nehmen. Deutsche Unternehmen wünschen sich eine Reform. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/d6/79d6de3a752cac1ebb8120ccd01f7a41/0121277360v2.jpeg "Der EU AI Act soll Innovationen nicht im Keim ersticken – im Gegenteil. Durch Klarheit und das damit verbundene Vertrauen soll die Entwicklung von KI gefördert sowie die öffentliche Akzeptanz erhöht werden. (Bild: Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/01/0d015aa795dca91b0c31622cc551c9ca/0116437499.jpeg "Viele KI-Unternehmen haben Datensicherheit nicht gerade im Kern ihrer DNA. Sie benutzen Daten zum Training der eigenen Software, lagern sie in Cloud-Servern, teils außerhalb Europas aus oder geben wenig Einblicke in die Speicherfristen. (Bild: Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/10/5710f3147838b737126b59f13e6fcf62/0125079681v2.jpeg "Die Bundesregierung will mehr Befugnisse bei der Bundesdatenschutzbeauftragten konzentrieren. Die Landesdatenschützer wünschen sich dagegen mehr Vereinheitlichung beim Datenschutz selbst. (Bild: © Stockwerk-Fotodesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/bd/81bd5ce4ed478e58f0a4b58c2ca96612/0124967752v2.jpeg "Verbände und Politiker wollen die Datennutzung über den Datenschutz stellen. Dabei soll der Datenschutz die Datennutzung gar nicht verhindern, sondern ihr einen rechtlichen Rahmen vorgeben, der den Menschen die Kontrolle über ihre eigenen Daten verschafft. (Bild: © Sikov - stock.adobe.com)")