Zurück zu Richtlinienvorlagen
Richtlinie 02 von 15

KI-Datennutzungsrichtlinie

Legt Regeln fest, wie Daten im Zusammenhang mit KI-Systemen erhoben, verarbeitet, gespeichert und weitergegeben werden.

1. Zweck

Diese Richtlinie definiert, wie [Name der Organisation] Daten im Zusammenhang mit KI-Systemen erhebt, verarbeitet, speichert und weitergibt. Sie bestätigt, dass die gesamte KI-bezogene Datennutzung den geltenden Datenschutzgesetzen entspricht, die Rechte des Einzelnen respektiert und das Vertrauen von Kunden, Mitarbeitenden und Partnern wahrt.

2. Geltungsbereich

Diese Richtlinie gilt für:

  • Alle Daten, die zum Trainieren, Feinabstimmen, Validieren, Testen oder Betreiben von KI-Systemen verwendet werden.
  • Alle von KI-Systemen erzeugten Daten (Vorhersagen, Empfehlungen, Inhalte, Entscheidungen).
  • Alle Daten, die an Drittanbieter-KI-Dienste übermittelt oder von diesen empfangen werden.
  • Alle Mitarbeitenden, Auftragnehmer und Partner, die im Zusammenhang mit KI mit Daten umgehen.

3. Definitionen

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in DSGVO Artikel 4 Absatz 1 definiert.
  • Besondere Kategorien personenbezogener Daten: Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung offenbaren (DSGVO Artikel 9).
  • Trainingsdaten: Daten, die zum Erstellen, Trainieren oder Feinabstimmen eines KI-Modells verwendet werden.
  • Inferenzdaten: Daten, die von einem KI-System zur Laufzeit verarbeitet werden, um Ergebnisse zu erzeugen.
  • Synthetische Daten: Künstlich erzeugte Daten, die reale Datenmuster nachbilden, ohne tatsächliche personenbezogene Informationen zu enthalten.
  • Rechtsgrundlage: Die rechtliche Grundlage, auf der personenbezogene Daten verarbeitet werden (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen).

4. Rechtsgrundlage für KI-Datenverarbeitung

Bevor personenbezogene Daten in einem KI-System verwendet werden, muss die Rechtsgrundlage identifiziert und dokumentiert werden. Nicht jede KI-Nutzung erfordert eine Einwilligung — die DSGVO erlaubt mehrere Rechtsgrundlagen. Jede muss jedoch im Einzelfall geprüft werden.

| Rechtsgrundlage | Anwendbarkeit bei KI | Wesentliche Anforderungen |

| Einwilligung (Art. 6 Abs. 1 lit. a) | Betroffene stimmen der KI-Verarbeitung ausdrücklich zu | Muss freiwillig, spezifisch, informiert und unmissverständlich sein. Kann widerrufen werden. |

| Vertrag (Art. 6 Abs. 1 lit. b) | KI-Verarbeitung ist zur Erfüllung eines Vertrags erforderlich | Muss tatsächlich erforderlich sein, nicht nur zweckmäßig. |

| Berechtigte Interessen (Art. 6 Abs. 1 lit. f) | KI-Verarbeitung dient einem berechtigten Geschäftsinteresse, das die Rechte des Einzelnen nicht überwiegt | Erfordert eine dokumentierte Interessenabwägung. |

| Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | KI-Verarbeitung ist gesetzlich vorgeschrieben (z. B. Pflicht zur Betrugserkennung) | Die spezifische rechtliche Verpflichtung muss benannt werden. |

Besondere Kategorien personenbezogener Daten erfordern eine zusätzliche Bedingung gemäß DSGVO Artikel 9 Absatz 2 und dürfen niemals ohne ausdrückliche rechtliche Prüfung für KI-Training verwendet werden.

5. Datenerhebung und -beschaffung

  • Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden (Zweckbindung).
  • Es dürfen nur Daten erhoben werden, die dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind (Datenminimierung).
  • Die Quelle und Herkunft aller in der KI verwendeten Daten muss dokumentiert werden.
  • Gekaufte oder lizenzierte Daten müssen klare Bedingungen haben, die ihre Verwendung im KI-Training und bei der Inferenz erlauben.
  • Aus dem Internet erhobene Daten (Web Scraping) müssen vor der Verwendung auf Urheberrecht, Nutzungsbedingungen und personenbezogene Dateninhalte überprüft werden.
  • Synthetische Daten sind zu bevorzugen, wenn reale Daten nicht erforderlich sind oder wenn Datenschutzrisiken hoch sind.

6. Datenqualität und -genauigkeit

EU AI Act Artikel 10 verlangt, dass Trainingsdaten für Hochrisiko-Systeme "relevant, repräsentativ, fehlerfrei und vollständig" sind. Alle KI-Daten müssen die folgenden Standards erfüllen:

  • Daten müssen vor der Verwendung auf Richtigkeit, Vollständigkeit und Aktualität überprüft werden.
  • Bekannte Datenqualitätsprobleme müssen dokumentiert und ihre Auswirkungen auf die Modellleistung bewertet werden.
  • Bias-Screening muss bei Trainings- und Evaluierungsdatensätzen durchgeführt werden.
  • Datenqualitätskennzahlen müssen erfasst und dem Modellverantwortlichen gemeldet werden.

7. Datenspeicherung und -löschung

  • Daten dürfen nicht länger aufbewahrt werden, als es für den angegebenen Zweck erforderlich ist (Speicherbegrenzung).
  • Aufbewahrungsfristen müssen für jeden Datensatz und jedes KI-System festgelegt und dokumentiert werden.
  • Bei Stilllegung eines Modells müssen die zugehörigen Trainings- und Inferenzdaten auf Löschung oder Anonymisierung überprüft werden.
  • Einzelpersonen haben das Recht, die Löschung ihrer Daten zu verlangen. Bei Eingang eines Löschantrags muss die Auswirkung auf aktive KI-Systeme bewertet und der Antrag erfüllt werden, soweit gesetzlich erforderlich.
  • Audit-Protokolle und Compliance-Nachweise können gemäß gesetzlichen und regulatorischen Anforderungen länger aufbewahrt werden.

8. Datenweitergabe und Übermittlung an Dritte

  • An Drittanbieter-KI-Dienstleister weitergegebene Daten müssen durch eine Auftragsverarbeitungsvereinbarung (AVV) geregelt sein, die Zweck, Sicherheitsmaßnahmen, Unterauftragsverarbeiter und Betroffenenrechte festlegt.
  • Grenzüberschreitende Übermittlungen müssen DSGVO Kapitel V entsprechen (Angemessenheitsbeschlüsse, Standardvertragsklauseln oder verbindliche Unternehmensregeln).
  • Anforderungen an den Datenstandort müssen für jedes KI-System dokumentiert werden.
  • Drittanbieter-KI-Dienstleister dürfen Kundendaten nicht für ihr eigenes Modelltraining verwenden, es sei denn, dies wird ausdrücklich genehmigt.

9. Automatisierte Entscheidungsfindung

Wenn KI-Systeme Entscheidungen über Einzelpersonen treffen oder wesentlich beeinflussen:

  • Einzelpersonen müssen darüber informiert werden, dass eine automatisierte Verarbeitung stattfindet (DSGVO Artikel 13/14).
  • Einzelpersonen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (DSGVO Artikel 22).
  • Für Entscheidungen mit hoher Tragweite muss eine sinnvolle menschliche Überprüfung verfügbar sein.
  • Die involvierte Logik, die Bedeutung und die voraussichtlichen Konsequenzen müssen der betroffenen Person erklärt werden.

10. Datenschutz-Folgenabschätzungen

Eine Datenschutz-Folgenabschätzung (DSFA) muss vor der Bereitstellung von KI-Systemen durchgeführt werden, die:

  • Personenbezogene Daten in großem Umfang verarbeiten.
  • Eine systematische Überwachung von Personen beinhalten.
  • Besondere Kategorien personenbezogener Daten verarbeiten.
  • Automatisierte Entscheidungsfindung mit rechtlichen oder erheblichen Auswirkungen nutzen.
  • Datensätze aus mehreren Quellen in einer Weise kombinieren, die Einzelpersonen vernünftigerweise nicht erwarten können.

11. Rollen und Verantwortlichkeiten

| Rolle | Verantwortlichkeiten in der Datennutzung |

| Datenverantwortlicher | Verantwortlich für Datenqualität, Klassifizierung, Zugangsgenehmigungen und Compliance ihrer Datensätze. |

| Modellverantwortlicher | Stellt sicher, dass die KI-System-Datennutzung dokumentiert, die Rechtsgrundlage identifiziert und Aufbewahrungsfristen definiert sind. |

| Datenschutzbeauftragter | Prüft DSFAs, berät zur Rechtsgrundlage, bearbeitet Betroffenenanfragen, koordiniert mit Aufsichtsbehörden. |

| Recht | Prüft Datenlizenzierung, Anbieter-AVVs, grenzüberschreitende Übermittlungsmechanismen. |

| Alle Mitarbeitenden | Gehen mit Daten gemäß der Klassifizierung um, melden Datenqualitätsprobleme, absolvieren Datenschutzschulungen. |

12. Regulatorische Ausrichtung

  • DSGVO: Artikel 5 (Grundsätze), 6 (Rechtsgrundlage), 9 (besondere Kategorien), 13-14 (Transparenz), 17 (Recht auf Löschung), 22 (automatisierte Entscheidungen), 25 (Datenschutz durch Technikgestaltung), 35 (DSFAs).
  • EU AI Act: Artikel 10 (Daten-Governance für Hochrisiko-Systeme), Artikel 13 (Transparenz).
  • ISO/IEC 42001: Anhang B (B.7 — Daten für KI-Systeme).
  • NIST AI RMF: MAP-Funktion (MP-3, KI-Risiken durch Drittanbieterdaten).

13. Überprüfung

Diese Richtlinie wird jährlich oder früher überprüft, wenn dies durch regulatorische Änderungen, Datenschutzverletzungen oder wesentliche Änderungen der KI-Datenverarbeitungsaktivitäten ausgelöst wird.

Dokumentenlenkung

| Feld | Wert |

| Richtlinienverantwortlicher | [Datenschutzbeauftragter] |

| Genehmigt durch | [KI-Governance-Ausschuss] |

| Inkrafttreten | [Datum] |

| Nächste Überprüfung | [Datum + 12 Monate] |

| Version | 1.0 |

| Klassifizierung | Intern |

Bereit, diese Richtlinie umzusetzen?

Nutzen Sie VerifyWise, um diese Richtlinienvorlage anzupassen, bereitzustellen und die Compliance zu verfolgen.

Kostenlos startenAlle Vorlagen durchsuchen
KI-Datennutzungsrichtlinie | VerifyWise KI-Governance-Vorlagen