Zurück zu Richtlinienvorlagen
Richtlinie 02 von 15

KI-Datennutzungsrichtlinie

Legt Regeln fest, wie Daten im Zusammenhang mit KI-Systemen erhoben, verarbeitet, gespeichert und weitergegeben werden.

1. Zweck

Diese Richtlinie definiert, wie [Name der Organisation] Daten im Zusammenhang mit KI-Systemen erhebt, verarbeitet, speichert und weitergibt. Sie bestätigt, dass die gesamte KI-bezogene Datennutzung den geltenden Datenschutzgesetzen entspricht, die Rechte des Einzelnen respektiert und das Vertrauen von Kunden, Mitarbeitenden und Partnern wahrt.

2. Geltungsbereich

Diese Richtlinie gilt für:

  • Alle Daten, die zum Trainieren, Feinabstimmen, Validieren, Testen oder Betreiben von KI-Systemen verwendet werden.
  • Alle von KI-Systemen erzeugten Daten (Vorhersagen, Empfehlungen, Inhalte, Entscheidungen).
  • Alle Daten, die an Drittanbieter-KI-Dienste übermittelt oder von diesen empfangen werden.
  • Alle Mitarbeitenden, Auftragnehmer und Partner, die im Zusammenhang mit KI mit Daten umgehen.

3. Definitionen

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in DSGVO Artikel 4 Absatz 1 definiert.
  • Besondere Kategorien personenbezogener Daten: Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung offenbaren (DSGVO Artikel 9).
  • Trainingsdaten: Daten, die zum Erstellen, Trainieren oder Feinabstimmen eines KI-Modells verwendet werden.
  • Inferenzdaten: Daten, die von einem KI-System zur Laufzeit verarbeitet werden, um Ergebnisse zu erzeugen.
  • Synthetische Daten: Künstlich erzeugte Daten, die reale Datenmuster nachbilden, ohne tatsächliche personenbezogene Informationen zu enthalten.
  • Rechtsgrundlage: Die rechtliche Grundlage, auf der personenbezogene Daten verarbeitet werden (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen).

4. Rechtsgrundlage für KI-Datenverarbeitung

Bevor personenbezogene Daten in einem KI-System verwendet werden, muss die Rechtsgrundlage identifiziert und dokumentiert werden. Nicht jede KI-Nutzung erfordert eine Einwilligung — die DSGVO erlaubt mehrere Rechtsgrundlagen. Jede muss jedoch im Einzelfall geprüft werden.

RechtsgrundlageAnwendbarkeit bei KIWesentliche Anforderungen
Einwilligung (Art. 6 Abs. 1 lit. a)Betroffene stimmen der KI-Verarbeitung ausdrücklich zuMuss freiwillig, spezifisch, informiert und unmissverständlich sein. Kann widerrufen werden.
Vertrag (Art. 6 Abs. 1 lit. b)KI-Verarbeitung ist zur Erfüllung eines Vertrags erforderlichMuss tatsächlich erforderlich sein, nicht nur zweckmäßig.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f)KI-Verarbeitung dient einem berechtigten Geschäftsinteresse, das die Rechte des Einzelnen nicht überwiegtErfordert eine dokumentierte Interessenabwägung.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)KI-Verarbeitung ist gesetzlich vorgeschrieben (z. B. Pflicht zur Betrugserkennung)Die spezifische rechtliche Verpflichtung muss benannt werden.

Besondere Kategorien personenbezogener Daten erfordern eine zusätzliche Bedingung gemäß DSGVO Artikel 9 Absatz 2 und dürfen niemals ohne ausdrückliche rechtliche Prüfung für KI-Training verwendet werden.

5. Datenerhebung und -beschaffung

  • Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden (Zweckbindung).
  • Es dürfen nur Daten erhoben werden, die dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind (Datenminimierung).
  • Die Quelle und Herkunft aller in der KI verwendeten Daten muss dokumentiert werden.
  • Gekaufte oder lizenzierte Daten müssen klare Bedingungen haben, die ihre Verwendung im KI-Training und bei der Inferenz erlauben.
  • Aus dem Internet erhobene Daten (Web Scraping) müssen vor der Verwendung auf Urheberrecht, Nutzungsbedingungen und personenbezogene Dateninhalte überprüft werden.
  • Synthetische Daten sind zu bevorzugen, wenn reale Daten nicht erforderlich sind oder wenn Datenschutzrisiken hoch sind.

6. Datenqualität und -genauigkeit

EU AI Act Artikel 10 verlangt, dass Trainingsdaten für Hochrisiko-Systeme "relevant, repräsentativ, fehlerfrei und vollständig" sind. Alle KI-Daten müssen die folgenden Standards erfüllen:

  • Daten müssen vor der Verwendung auf Richtigkeit, Vollständigkeit und Aktualität überprüft werden.
  • Bekannte Datenqualitätsprobleme müssen dokumentiert und ihre Auswirkungen auf die Modellleistung bewertet werden.
  • Bias-Screening muss bei Trainings- und Evaluierungsdatensätzen durchgeführt werden.
  • Datenqualitätskennzahlen müssen erfasst und dem Modellverantwortlichen gemeldet werden.

7. Datenspeicherung und -löschung

  • Daten dürfen nicht länger aufbewahrt werden, als es für den angegebenen Zweck erforderlich ist (Speicherbegrenzung).
  • Aufbewahrungsfristen müssen für jeden Datensatz und jedes KI-System festgelegt und dokumentiert werden.
  • Bei Stilllegung eines Modells müssen die zugehörigen Trainings- und Inferenzdaten auf Löschung oder Anonymisierung überprüft werden.
  • Einzelpersonen haben das Recht, die Löschung ihrer Daten zu verlangen. Bei Eingang eines Löschantrags muss die Auswirkung auf aktive KI-Systeme bewertet und der Antrag erfüllt werden, soweit gesetzlich erforderlich.
  • Audit-Protokolle und Compliance-Nachweise können gemäß gesetzlichen und regulatorischen Anforderungen länger aufbewahrt werden.

8. Datenweitergabe und Übermittlung an Dritte

  • An Drittanbieter-KI-Dienstleister weitergegebene Daten müssen durch eine Auftragsverarbeitungsvereinbarung (AVV) geregelt sein, die Zweck, Sicherheitsmaßnahmen, Unterauftragsverarbeiter und Betroffenenrechte festlegt.
  • Grenzüberschreitende Übermittlungen müssen DSGVO Kapitel V entsprechen (Angemessenheitsbeschlüsse, Standardvertragsklauseln oder verbindliche Unternehmensregeln).
  • Anforderungen an den Datenstandort müssen für jedes KI-System dokumentiert werden.
  • Drittanbieter-KI-Dienstleister dürfen Kundendaten nicht für ihr eigenes Modelltraining verwenden, es sei denn, dies wird ausdrücklich genehmigt.

9. Automatisierte Entscheidungsfindung

Wenn KI-Systeme Entscheidungen über Einzelpersonen treffen oder wesentlich beeinflussen:

  • Einzelpersonen müssen darüber informiert werden, dass eine automatisierte Verarbeitung stattfindet (DSGVO Artikel 13/14).
  • Einzelpersonen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (DSGVO Artikel 22).
  • Für Entscheidungen mit hoher Tragweite muss eine sinnvolle menschliche Überprüfung verfügbar sein.
  • Die involvierte Logik, die Bedeutung und die voraussichtlichen Konsequenzen müssen der betroffenen Person erklärt werden.

10. Datenschutz-Folgenabschätzungen

Eine Datenschutz-Folgenabschätzung (DSFA) muss vor der Bereitstellung von KI-Systemen durchgeführt werden, die:

  • Personenbezogene Daten in großem Umfang verarbeiten.
  • Eine systematische Überwachung von Personen beinhalten.
  • Besondere Kategorien personenbezogener Daten verarbeiten.
  • Automatisierte Entscheidungsfindung mit rechtlichen oder erheblichen Auswirkungen nutzen.
  • Datensätze aus mehreren Quellen in einer Weise kombinieren, die Einzelpersonen vernünftigerweise nicht erwarten können.

11. Rollen und Verantwortlichkeiten

RolleVerantwortlichkeiten in der Datennutzung
DatenverantwortlicherVerantwortlich für Datenqualität, Klassifizierung, Zugangsgenehmigungen und Compliance ihrer Datensätze.
ModellverantwortlicherStellt sicher, dass die KI-System-Datennutzung dokumentiert, die Rechtsgrundlage identifiziert und Aufbewahrungsfristen definiert sind.
DatenschutzbeauftragterPrüft DSFAs, berät zur Rechtsgrundlage, bearbeitet Betroffenenanfragen, koordiniert mit Aufsichtsbehörden.
RechtPrüft Datenlizenzierung, Anbieter-AVVs, grenzüberschreitende Übermittlungsmechanismen.
Alle MitarbeitendenGehen mit Daten gemäß der Klassifizierung um, melden Datenqualitätsprobleme, absolvieren Datenschutzschulungen.

12. Regulatorische Ausrichtung

  • DSGVO: Artikel 5 (Grundsätze), 6 (Rechtsgrundlage), 9 (besondere Kategorien), 13-14 (Transparenz), 17 (Recht auf Löschung), 22 (automatisierte Entscheidungen), 25 (Datenschutz durch Technikgestaltung), 35 (DSFAs).
  • EU AI Act: Artikel 10 (Daten-Governance für Hochrisiko-Systeme), Artikel 13 (Transparenz).
  • ISO/IEC 42001: Anhang B (B.7 — Daten für KI-Systeme).
  • NIST AI RMF: MAP-Funktion (MP-3, KI-Risiken durch Drittanbieterdaten).

13. Überprüfung

Diese Richtlinie wird jährlich oder früher überprüft, wenn dies durch regulatorische Änderungen, Datenschutzverletzungen oder wesentliche Änderungen der KI-Datenverarbeitungsaktivitäten ausgelöst wird.

Dokumentenlenkung

FeldWert
Richtlinienverantwortlicher[Datenschutzbeauftragter]
Genehmigt durch[KI-Governance-Ausschuss]
Inkrafttreten[Datum]
Nächste Überprüfung[Datum + 12 Monate]
Version1.0
KlassifizierungIntern

Bereit, diese Richtlinie umzusetzen?

Nutzen Sie VerifyWise, um diese Richtlinienvorlage anzupassen, bereitzustellen und die Compliance zu verfolgen.

Kostenlos startenAlle Vorlagen durchsuchen
KI-Datennutzungsrichtlinie | VerifyWise KI-Governance-Vorlagen