DSFA

Das Warten hat ein Ende
Ailance™ DSFA ist da!
Mehr erfahren

Berechtigte Interesse bei der Entwicklung von KI-Systemen: CNIL-Orientierungshilfe

Berechtigte Interesse bei der Entwicklung von KI-Systemen: Die französische Datenschutzaufsichtsbehörde CNIL hat dazu eine Orientierungshilfe veröffentlicht.
Kategorien:

Die französische Datenschutzaufsichtsbehörde CNIL hat im Juni 2025 eine Orientierungshilfe veröffentlicht, die die Anwendung des Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interesse) als Rechtsgrundlage für die Entwicklung von KI-Systemen präzisiert. Diese Hilfestellung richtet sich an Unternehmen und Organisationen, die sich in der Entwicklungs- oder Innovationsphase von IT-Systemen, Software oder KI-Anwendungen befinden.

Ziel der CNIL-Orientierungshilfe

Die zentrale Frage der CNIL-Orientierungshilfe lautet: Unter welchen Bedingungen dürfen personenbezogene Daten bereits in der Entwicklungsphase eines KI-Systems verarbeitet werden, ohne dass es einer Einwilligung oder einer anderen spezifischen Rechtsgrundlage bedarf?

Die CNIL betont, dass die Entwicklung von Systemen auch auf anderen Rechtsgrundlagen beruhen kann, insbesondere auf:

  • der Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO),
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).


Das berechtigte Interesse ist jedoch besonders relevant, wenn keine dieser Alternativen praktikabel ist.

Definition: „Entwicklung eines Systems”

Darunter fällt jede Tätigkeit zur Konzeption, Entwicklung, zum Testen und zur Verbesserung von Systemen, die später personenbezogene Daten verarbeiten sollen. Beispiele:

  • Entwicklung von Empfehlungssystemen
  • Aufbau von Fraud-Detection-Algorithmen
  • Training von Chatbots oder KI-Sprachmodellen.
  • Test neuer CRM- oder ERP-Module.


Wichtig: Es geht ausschließlich um die Vorproduktionsphase, also die Zeit vor dem Live-Betrieb.

Berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO

Die CNIL bestätigt, dass die Verarbeitung personenbezogener Daten zu Entwicklungszwecken grundsätzlich auf das berechtigte Interesse des Verantwortlichen gestützt werden kann. Voraussetzung dafür ist jedoch eine sorgfältige und strukturierte Prüfung, die sich an den Vorgaben von Art. 6 Abs. 1 lit. f DSGVO orientiert.

Zunächst muss der Verantwortliche ein legitimes Interesse nachweisen. Dieses kann beispielsweise in der Verbesserung von Dienstleistungen, der Erhöhung der IT-Sicherheit oder der Entwicklung neuer, kundenfreundlicher Funktionalitäten liegen. Auch wirtschaftliche Interessen oder die Optimierung interner Abläufe können als legitime Interessen anerkannt werden.

Anschließend ist zu prüfen, ob die geplante Verarbeitung erforderlich ist. Das bedeutet, dass es keine anderen, datenschutzfreundlicheren Alternativen geben darf, mit denen das gleiche Entwicklungsziel erreicht werden könnte. Dabei ist zu analysieren, ob die Nutzung anonymisierter oder synthetischer Daten ausreicht oder ob der Zugriff auf personenbezogene Daten wirklich notwendig ist.

Im dritten Schritt erfolgt die Abwägung zwischen den berechtigten Interessen des Verantwortlichen und den Grundrechten und Freiheiten der betroffenen Personen. Hierbei sind insbesondere folgende Faktoren zu berücksichtigen:

  • Art der verarbeiteten Daten (z.B. ob sensible Daten betroffen sind)
  • Umfang der Verarbeitung
  • Dauer der Speicherung
  • Transparenz gegenüber den Betroffenen
  • Implementierung von Schutzmaßnahmen wie Pseudonymisierung, Verschlüsselung oder Zugriffsbeschränkungen


Ziel dieser Abwägung ist es, sicherzustellen, dass die Interessen oder Grundrechte der Betroffenen gegenüber den Interessen des Verantwortlichen nicht überwiegen.

Besondere Kategorien personenbezogener Daten

Die CNIL stellt klar, dass die Verarbeitung dieser Daten nur unter sehr engen Voraussetzungen zulässig ist. Zu diesen besonderen Kategorien gehören beispielsweise Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung, genetische Daten, Daten zur rassischen oder ethnischen Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit sowie Daten zur sexuellen Orientierung.

Für die Entwicklungsphase eines Systems bedeutet dies konkret, dass eine Verarbeitung solcher Daten grundsätzlich unzulässig ist. Es sei denn, es greift eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmevorschriften. Hierzu zählen insbesondere:

  • Die ausdrückliche Einwilligung der betroffenen Person nach Art. 9 Abs. 2 lit. a DSGVO.
  • Eine Verarbeitung, die aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist (Art. 9 Abs. 2 lit. g DSGVO), sofern sie auf einer gesetzlichen Grundlage beruht.
  • Weitere, speziell geregelte Ausnahmen wie die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.


Die CNIL betont dabei, dass selbst bei Vorliegen einer Ausnahme die allgemeinen Datenschutzgrundsätze gem. Art. 5 DSGVO beachtet werden müssen, insbesondere:

  • Datenminimierung
  • Zweckbindung
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit


Zudem empfiehlt die CNIL, den Einsatz solcher Daten bereits in der Entwicklungsphase durch technische Schutzmaßnahmen wie Pseudonymisierung, Verschlüsselung oder die Verwendung von synthetischen Testdaten abzusichern. In Fällen, in denen sich die Verarbeitung besonderer Kategorien personenbezogener Daten nicht vermeiden lässt, sollte eine Datenschutz-Folgenabschätzung (DSFA) obligatorisch geprüft und dokumentiert werden.

Berechtigte Interesse und Datenschutz-Folgenabschätzung (DSFA)

Die CNIL hebt die Bedeutung einer Datenschutz-Folgenabschätzung (DSFA) als wichtiges Instrument zur Risikobewertung und -minimierung hervor, wenn Entwicklungsprojekte ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen. Die rechtliche Grundlage hierfür bildet Art. 35 DSGVO, der die Pflicht zur Durchführung einer DSFA bei risikobehafteten Verarbeitungsvorgängen vorschreibt.

Typische Indikatoren für eine DSFA-Pflicht sind unter anderem:

  • Umfangreiche Verarbeitung personenbezogener Daten, insbesondere wenn große Datenmengen oder eine Vielzahl an betroffenen Personen betroffen sind.
  • Der Einsatz neuer oder innovativer Technologien, beispielsweise bei der Entwicklung von KI-Systemen, Machine Learning Anwendungen oder Big Data Lösungen.
  • Die Verarbeitung von Daten mit hohem Risikocharakter, etwa wenn sensible oder besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) betroffen sind.
  • Automatisierte Entscheidungsfindung oder Profiling, die erhebliche Auswirkungen auf betroffene Personen haben können.


Die DSFA umfasst nach Vorgaben der DSGVO folgende Schritte:

  1. Systematische Beschreibung der geplanten Verarbeitungstätigkeiten, ihrer Zwecke und der betroffenen Datenkategorien.
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den verfolgten Zweck.
  3. Identifikation und Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
  4. Festlegung und Dokumentation von Abhilfemaßnahmen, mit denen die identifizierten Risiken verringert oder beseitigt werden sollen (z.B. technische und organisatorische Maßnahmen, Pseudonymisierung, Zugriffskontrollen).


Die CNIL empfiehlt, die DSFA frühzeitig in die Entwicklungsphase zu integrieren, um bereits bei der Systemgestaltung Risiken zu erkennen und geeignete Gegenmaßnahmen umzusetzen. Zudem sollte die DSFA regelmäßig aktualisiert werden, insbesondere bei wesentlichen Änderungen des Systems oder des Verarbeitungszwecks.

Lese-Tipp: Wann muss eine Datenschutz-Folgenabschätzung erfolgen?

Konkrete Datenschutzmaßnahmen ("Safeguards")

Die CNIL legt besonderen Wert auf die Umsetzung von datenschutzfreundlichen Vorkehrungen (Safeguards) bereits in der Entwicklungsphase eines Systems. Ziel dieser Maßnahmen ist es, das Risiko für die Rechte und Freiheiten der betroffenen Personen so weit wie möglich zu minimieren, auch wenn die Datenverarbeitung noch nicht im Produktivbetrieb erfolgt.

Zu den von der CNIL empfohlenen Safeguards gehören insbesondere:

  • Pseudonymisierung: Wo immer es technisch möglich und praktikabel ist, sollten personenbezogene Daten pseudonymisiert verarbeitet werden. Dies bedeutet, dass die Identität der betroffenen Personen ohne zusätzliche Informationen nicht unmittelbar erkennbar ist. Die Trennung von Identifikatoren und Inhaltsdaten sowie die sichere Aufbewahrung der Zuordnungslisten sind hierbei essenziell.
  • Datenminimierung: Es sollen nur solche Daten verarbeitet werden, die für den jeweiligen Entwicklungszweck zwingend erforderlich sind. Die CNIL empfiehlt ausdrücklich eine kritische Prüfung, ob die eingesetzten Datenfelder wirklich benötigt werden oder ob eine Reduzierung auf ein Mindestmaß möglich ist.
  • Zugriffsbeschränkungen und Rollenmanagement: Der Zugang zu personenbezogenen Daten muss strikt auf diejenigen Mitarbeiter oder Entwickler beschränkt werden, die unmittelbar an dem Entwicklungsprojekt beteiligt sind und für die die Kenntnis der Daten unerlässlich ist. Hierbei sind technische Zugriffskontrollsysteme (z.B. Role Based Access Control) sowie organisatorische Maßnahmen wie Vertraulichkeitsverpflichtungen einzusetzen.
  • Einsatz synthetischer oder anonymisierter Testdaten: Nach Möglichkeit sollten für Test- und Entwicklungszwecke vollständig anonymisierte oder synthetisch erzeugte Daten genutzt werden, um reale personenbezogene Daten zu vermeiden. Synthetische Daten bieten den Vorteil, dass sie realistische Datenstrukturen nachbilden, ohne auf echte personenbezogene Informationen zurückzugreifen.
  • Verschlüsselung und weitere technische Schutzmaßnahmen: Ergänzend zu den vorgenannten Punkten fordert die CNIL auch den Einsatz technischer Schutzmaßnahmen wie Verschlüsselung bei Speicherung und Übertragung, Logging von Zugriffen, sowie die regelmäßige Sicherheitsüberprüfung der Entwicklungsumgebung.


Verantwortliche sollten zudem eine detaillierte Dokumentation aller getroffenen Schutzmaßnahmen führen, um im Fall einer Prüfung durch Aufsichtsbehörden nachweisen zu können, dass die Anforderungen der DSGVO bereits in der Entwicklungsphase umfassend berücksichtigt wurden.

Transparenz- und Informationspflichten

Die CNIL betont, dass auch während der Entwicklungsphase eines Systems die Transparenz- und Informationspflichten gemäß Art. 13 und 14 DSGVO vollumfänglich gelten. Das bedeutet, dass betroffene Personen darüber informiert werden müssen, dass ihre personenbezogenen Daten zu Entwicklungszwecken verarbeitet werden, selbst wenn die Entwicklung noch nicht in den Produktivbetrieb überführt wurde.

Die betroffenen Personen müssen insbesondere über folgende Punkte in Kenntnis gesetzt werden:

  • Zweck der Verarbeitung: Es ist konkret anzugeben, dass die Verarbeitung der Daten zur Entwicklung, Testung oder Verbesserung eines Systems erfolgt.
  • Rechtsgrundlage der Verarbeitung: Hier ist auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO zu verweisen, einschließlich einer knappen Darstellung des jeweiligen Interesses.
  • Empfänger oder Kategorien von Empfängern: Falls externe Dienstleister oder andere Stellen Zugriff auf die Daten erhalten, müssen diese benannt werden.
  • Speicherdauer oder Kriterien für die Festlegung der Dauer: Es ist anzugeben, wie lange die Daten in der Entwicklungsphase gespeichert werden oder nach welchen Kriterien die Speicherdauer festgelegt wird.
  • Betroffenenrechte: Die Betroffenen sind über ihre Rechte, wie Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Beschwerde bei einer Aufsichtsbehörde, zu informieren.
  • Herkunft der Daten: Sofern die personenbezogenen Daten nicht direkt bei den Betroffenen erhoben wurden, ist auch die Quelle der Daten offenzulegen.

Zusätzlich empfiehlt die CNIL, die Informationen in klarer, einfacher Sprache zu formulieren und möglichst in den gleichen Kanälen bereitzustellen, über die die betroffenen Personen auch sonst mit dem Unternehmen kommunizieren (z.B. Datenschutzrichtlinien auf der Website, gesonderte Benachrichtigungsschreiben oder Hinweise in Kundenportalen).

Die Erfüllung dieser Informationspflichten sollte zudem schriftlich dokumentiert werden, um gegenüber Aufsichtsbehörden den Nachweis der ordnungsgemäßen Umsetzung erbringen zu können.

Berechtigte Interesse: Beispiele für zulässige und unzulässige Szenarien

Zulässig:

  • Entwicklung eines Fraud Detection Tools mit pseudonymisierten Echtdaten aus einem bestehenden Kundenbestand.

  • Test eines Empfehlungsalgorithmus mit minimaler Datenmenge und klarer Zugriffskontrolle.

Unzulässig:

  • Verwendung vollständiger Kundenprofile ohne Anonymisierung oder Risikoanalyse.

  • Verarbeitung besonderer Kategorien personenbezogener Daten ohne entsprechende Rechtsgrundlage oder Ausnahme.

Haftungs- und Sanktionsrisiken

Verstöße gegen die in der Orientierungshilfe dargestellten datenschutzrechtlichen Anforderungen können erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen. Die DSGVO sieht bei Verstößen gegen zentrale Pflichten, wie etwa die Grundsätze der Verarbeitung (Art. 5 DSGVO), die Rechtsgrundlagen (Art. 6 DSGVO) oder die Betroffenenrechte (Art. 12 ff. DSGVO), Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).

Konkret können Verstöße in der Entwicklungsphase zu folgenden Haftungsrisiken führen:

  • Bußgelder durch die Aufsichtsbehörden: Insbesondere bei fehlender oder unzureichender Interessenabwägung, nicht erfolgter Datenschutz-Folgenabschätzung oder ungenügenden technischen und organisatorischen Schutzmaßnahmen.

  • Anordnungen der Aufsichtsbehörden: Dazu können die Untersagung der Datenverarbeitung oder die Anordnung zur Löschung unrechtmäßig verarbeiteter Daten gehören.

  • Schadensersatzansprüche durch Betroffene: Gemäß Art. 82 DSGVO haben betroffene Personen Anspruch auf Ersatz des ihnen entstandenen materiellen oder immateriellen Schadens.

  • Reputationsschäden: Datenschutzverstöße können zu erheblichem Vertrauensverlust bei Kunden, Partnern und der Öffentlichkeit führen.

Die CNIL empfiehlt daher ausdrücklich, bereits in der Entwicklungsphase interne Compliance-Strukturen aufzubauen und alle relevanten Datenschutzprozesse umfassend zu dokumentieren. Dazu zählen unter anderem:

  • Durchführung und Dokumentation der Interessenabwägung

  • Durchführung einer Datenschutz-Folgenabschätzung, wo erforderlich

  • Dokumentation der implementierten technischen und organisatorischen Maßnahmen (TOMs)

  • Nachweis der ordnungsgemäßen Erfüllung der Informationspflichten

Durch diese präventiven Maßnahmen können Unternehmen nicht nur Sanktionen vermeiden, sondern auch ihre Datenschutz-Compliance im Sinne einer Rechenschaftspflicht (Accountability, Art. 5 Abs. 2 DSGVO) nachweisen.

Fazit: Datenschutz by Design und by Default während der Entwicklung

Die CNIL gibt Unternehmen und Entwicklern mit dieser Orientierungshilfe einen  Leitfaden zur datenschutzkonformen Systementwicklung an die Hand. Das berechtigte Interesse als Rechtsgrundlage bietet praxisnahe Vorteile. Es erfordert jedoch auch eine sorgfältige Risikoabwägung, Transparenz, die Durchführung von DSFA, wo erforderlich, sowie die konsequente Umsetzung technischer und organisatorischer Maßnahmen (TOMs).

Für Unternehmen bedeutet dies: Datenschutz by Design und by Default gilt bereits während der Entwicklung und nicht erst im Produktivbetrieb.

Quelle: “IA : Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA”

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman