KI-Kompetenz als neue Kern-Qualifikation für Datenschutzbeauftragte

Datenschutzbeauftragte brauchen KI-Kompetenz.
Categories:
, ,
Picture of Marcus Belke

Marcus Belke

CEO of 2B Advice GmbH, driving innovation in privacy compliance and risk management and leading the development of Ailance, the next-generation compliance platform.

Mit dem Aufkommen leistungsfähiger KI-Technologien wachsen auch die Anforderungen an Datenschutzbeauftragte. Denn Daten sind der Treibstoff moderner KI und Datenschutzbeauftragte befinden sich an der Schnittstelle von Innovation, Data Governance und regulatorischem Risiko. Dabei entsteht ein Spannungsfeld: Die GDPR verlangt strikte Data minimization, während KI-Systeme oft auf massiven Datenmengen basieren, um bessere Ergebnisse zu erzielen. Organisationen müssen diese gegensätzlichen Anforderungen ausbalancieren. Datenschutzbeauftragte sollten dabei eine Schlüsselrolle spielen und Leitplanken für einen rechtmäßigen, ethischen und vertrauenswürdigen KI-Einsatz setzen.

Von Datenmanagern zu strategischen KI-Beratern

Die Rolle der Datenschutz- und Compliance-Beauftragten entwickelt sich strategisch weiter. Während sie früher vorwiegend als Datenverwalter agierten, sollen sie nun zu KI-Beratern auf Augenhöhe werden. Die KI-Verordnung unterstreicht diese Entwicklung: Sie definiert risikobasierte Regeln für KI-Systeme und verpflichtet Unternehmen, geeignete KI-Governance-Strukturen zu etablieren. So verlangt Artikel 4 KI-VO ausdrücklich, dass Anbieter und Nutzer von KI-Systemen ein „ausreichendes Maß an KI-Kompetenz“ bei ihrem Personal sicherstellen, unabhängig vom Risikoniveau des KI-Systems. Diese Schulungspflicht betrifft nicht nur interne Mitarbeiter, sondern auch externe Akteure wie Auftragnehmer oder Dienstleister. Datenschutzbeauftragte (DSB) stehen somit vor der Aufgabe, KI-Compliance in ihr Aufgabenspektrum zu integrieren und ihr Wissen laufend anzupassen.

Auch wenn viele Datenschutzbeauftragte glauben, ihnen fehle die technische Expertise, um sich in KI-Fragen einzubringen: Tiefgehendes Programmier- oder IT-Wissen ist für ihre Funktion jedoch nicht notwendig. Wichtiger ist die Bereitschaft, KI als Teil des eigenen Zuständigkeitsbereichs anzuerkennen. Denn fast alle modernen KI-Anwendungen verarbeiten personenbezogene, oft auch sensible Daten. Wenn Datenschutzbeauftragte diesen Gestaltungsraum nicht aktiv für sich beanspruchen, werden es andere interne Stakeholder tun. In diesem Fall bliebe die GDPR zwar ihr Kernmandat, sie würde jedoch zu einer Teildisziplin einer umfassenderen, von anderen gesteuerten KI-Governance werden. Ihre Rolle und ihr Einfluss als DSB würden schwinden. Und das ausgerechnet in einer Zeit, in der ihre Mitwirkung wichtiger denn je ist.

Tatsächlich betonen Aufsichtsbehörden, dass KI-Governance kein rein technisches Thema ist. So richtet sich die britische ICO mit ihren KI-Leitlinien gezielt an Responsible persons in Compliance-Rollen, einschließlich Datenschutzbeauftragter, auch wenn gewisse Fachbegriffe den Input technischer Experten erfordern. Das Senior Management und die Datenschutzbeauftragten bleiben in der Verantwortung, KI-bezogene Datenschutzfragen zu verstehen, und können diese Aufgabe nicht einfach an Data-Science-Teams delegieren. Datenschutzbeauftragte müssen also keine KI-Ingenieure werden, aber genug wissen, um die richtigen Fragen zu stellen und Entscheidungen der Fachabteilungen kompetent zu hinterfragen.

KI-Kompetenz + Rechtsexpertise: Schlüssel für zukunftsfähige DSBs

Der zunehmende Einsatz von KI verschärft bestehende Datenschutz- und Sicherheitsrisiken erheblich. Verstöße können folgenschwerer ausfallen, die Auswirkungen sind weitreichender und die Kontrolle wird komplexer, da KI-Systeme oft undurchschaubar agieren. Zwar bietet die Datenschutz-Grundverordnung einen Schutzrahmen, doch allein reicht dieser nicht aus, um die spezifischen KI-Risiken vollumfänglich zu bewältigen. Genau deshalb ist das klassische risikobasierte Denken von Datenschutzbeauftragten heute unverzichtbar.

KI-Anwendungen können Fehler oder Missbräuche in größerem Maßstab produzieren, beispielsweise systematische Diskriminierung durch Bias in Trainingsdaten oder unkontrollierte automatisierte Entscheidungen. So können KI-Modelle bestehende Verzerrungen verstärken und bestimmte Gruppen benachteiligen. Ein Beispiel hierfür sind fehlkalibrierte Gesichtserkennungssysteme. Auch die Black-Box-Natur vieler KI-Algorithmen erschwert es, nachzuvollziehen, warum eine Entscheidung getroffen wurde. Im Zweifel beeinträchtigt dies die Rechenschaftspflicht. Hinzu kommt, dass Modelle nach dem Deployment einem Leistungsverfall (Model Drift) unterliegen können, wenn sich Daten oder Umgebungen ändern. Für Unternehmen bedeutet dies: „Privacy by Design” und Datenschutz-Folgenabschätzungen müssen noch früher ansetzen und umfassender gedacht werden. DSBs sollten die Prinzipien des Datenschutzes von Beginn an in KI-Projekte einbringen, um Risiken proaktiv zu mindern, bevor Systeme produktiv eingesetzt werden.

Diese Notwendigkeit wird durch die EU-Vorgaben unterstrichen. So verlangt die KI-Verordnung für „hochriskante” KI-Systeme strenge Maßnahmen entlang des gesamten Lebenszyklus. Dazu zählen beispielsweise Risikobewertungen, Risikomanagement, die Protokollierung aller Vorgänge und die Benennung einer verantwortlichen Person für die Konformitätsüberwachung. Werden KI-Systeme ohne ausreichende Schulung des Personals oder angemessene Kontrollen eingeführt, kann dies als fahrlässiges Handeln gewertet werden, was im Falle von Verstößen zu höheren Bußgeldern führen kann. Unternehmen, die die Chancen von KI nutzen wollen, sind daher gut beraten, auf die Expertise ihres Datenschutzbeauftragten zu setzen. Dessen klassisches Handwerkszeug – etwa das Bewerten von Risiken, das Implementieren von Privacy by Design und das Durchführen von DSFAs – ist gefragter denn je. Es muss lediglich an die komplexe KI-Umgebung angepasst werden.

Reading tip: KI-Governance erfolgreich umsetzen

Was DPOs über KI wissen sollten (Auswahl)

Um ihrer erweiterten Rolle gerecht zu werden, müssen Datenschutzbeauftragte über ein grundlegendes Verständnis von KI-Systemen und deren Risiken verfügen. Wichtige Wissensfelder sind unter anderem:

  • Funktionsweise und Kategorien von KI-Systemen: Wie KI-Modelle entwickelt, trainiert und eingesetzt werden. Dazu gehört ein Überblick über klassische Machine-Learning-Modelle, Generative KI (z. B. LLMs) sowie Hochrisiko-KI-Systeme, die unter die KI-Verordnung fallen. DSBs sollten die vier Risikostufen der KI-Verordnung kennen und wissen, in welche Kategorie welche Anwendungen fallen.

  • Zentrale technische Begriffe: Verständnis von Begriffen wie Datensatz, Training, Modell-Inferenz (Schlussfolgerung ziehen) sowie Input/Output von KI-Systemen. Nur so lassen sich Datenflüsse und Verarbeitungen korrekt bewerten. Wichtig ist beispielsweise zu wissen, wie ein Trainingsdatensatz die Performance und Bias eines Modells beeinflussen kann.

  • Lebenszyklus von KI-Systemen: Die Phasen reichen von der Entwicklung und dem Training eines Modells über Deployment und Nutzung bis hin zum laufenden Monitoring. In jeder Phase können unterschiedliche Risiken auftreten, beispielsweise Datenschutzeinstellungen in der Entwicklungsphase, Datenqualität beim Training, Modell-Drift während des Betriebs oder Incident Response beim Monitoring.

  • Datenqualität und -ethik: Wie Trainings- und Testdaten das Verhalten von KI-Modellen prägen. DSBs sollten auf die Herkunft, Repräsentativität und Anonymization von Daten achten, um Risiken wie Diskriminierung oder Re-Identifizierung zu minimieren. Auch Konzepte wie Halluzinationen (von generativen Modellen erfundene Inhalte) oder Datenverzerrung/Bias müssen ihnen geläufig sein.

  • Typische KI-bezogene Risiken: Dazu gehören neben Bias und Halluzinationen beispielsweise Modell-Drift (schleichende Verschlechterung), Intransparenz durch komplexe Black-Box-Modelle, (Un-)Fairness der Ergebnisse sowie eine übermäßige Abhängigkeit von automatisierten Entscheidungen (Automation Bias). Diese Risiken gilt es aus datenschutzrechtlicher Perspektive zu kennen und bewerten zu können.

  • Dokumentations- und Nachweispflichten: Die KI-Verordnung verlangt umfangreiche Documentation and Transparency. DSBs sollten wissen, welche Aufzeichnungen für KI-Systeme geführt werden müssen (z. B. Ereignis-Logs, technische Documentation) und welche Auskunfts- und Erklärungspflichten gegenüber Betroffenen bestehen. Beispielsweise haben Personen das Recht, informiert zu werden, wenn sie mit KI interagieren, und Entscheidungen durch KI anzufechten.

Erste Schritte: Wie DPOs KI-Kompetenz aufbauen können

Niemand erwartet, dass man über Nacht zum KI-Experten wird. Es gibt jedoch praxisnahe Wege, wie sich Datenschutzbeauftragte sich schrittweise das nötige Rüstzeug aneignen können:

  • Interne KI-Demos nutzen: Nehmen Sie an hausinternen KI-Demonstrationen oder Onboarding-Sessions für neue KI-Tools teil. So bekommen Sie ein Gespür für Anwendungsfälle und können frühzeitig Fragen stellen, etwa zu Datenquellen, eingesetzten Modellen und Vorbeugung von Bias.

  • Workshops mit Fachteams: Suchen Sie den Austausch mit Data-Science-, IT- oder Security-Teams in Ihrem Unternehmen. Gemeinsame Workshops oder Brown-Bag-Meetings können dabei helfen, gegenseitig Wissen zu vermitteln. Stellen Sie technische Grundlagenfragen (z.B. „Wie wird unser KI-Modell trainiert und welche Daten fließen ein?“).

  • Hersteller-Insights einholen: Nutzen Sie Sessions von KI-Anbietern oder Herstellern (z.B. Webinare der Hersteller von KI-Tools, Cloud-Anbieter etc.), um mehr über die Architektur der eingesetzten Systeme zu erfahren. Verstehen Sie, wo die Daten herkommen, wie sie fließen, wo sie gespeichert werden und welche Schnittstellen existieren.

  • Eigene KI-Anwendungsfälle analysieren: Schauen Sie sich die bereits laufenden KI-Projekte in Ihrer Organisation genauer an. Wo gibt es kritische Datenflüsse? Welche Art von personenbezogenen Daten wird genutzt und sind das wirklich die minimal erforderlichen? Treten bestimmte Risikotypen (Bias, Ungenauigkeiten, fehlende Erklärbarkeit) wiederholt auf?

  • Governance-Gremien beitreten: Wenn Ihr Unternehmen bereits ein internes KI-Steuerungsgremium oder ein AI-Governance-Board hat, versuchen Sie dort mitzuwirken oder zumindest die Protokolle zu verfolgen. So sind Sie bei wichtigen Entscheidungen eingebunden und können die Datenschutzperspektive früh einbringen.

  • Früh in Projekte einsteigen: Bestehen Sie darauf, bereits bei der Problemdefinition eines KI-Vorhabens dabei zu sein. Klären Sie gemeinsam mit den Fachbereichen, welches Geschäftsproblem gelöst werden soll bevor die Datenbeschaffung und Modellwahl erfolgen. Bringen Sie die Frage ein, ob dasselbe Ziel vielleicht mit weniger personenbezogenen Daten erreicht werden kann und welche Datenfelder wirklich unverzichtbar sind. Diese Privacy-by-Design-Impulse am Anfang sparen später viel Aufwand.

DSB als KI-Beauftragter

Zwar sieht die KI-Verordnung keine verpflichtende Rolle eines „KI-Beauftragten” vor, doch Unternehmen müssen interne Zuständigkeiten schaffen, um den Pflichten der Verordnung nachzukommen. Einige Organisationen berufen daher freiwillig einen AI Officer, der die Einhaltung der KI-Regeln koordiniert. Ein gut informierter Datenschutzbeauftragter kann diese Funktion jedoch oft mitübernehmen oder eng mit einem AI Officer zusammenarbeiten, was sich positiv auf eine integrierte Governance auswirkt.

In jedem Fall gilt es, die Brücke zwischen Recht und Technik zu schlagen. Datenschutzbeauftragte mit Datenschutz- und KI-Know-how werden für ihre Organisation unentbehrlich, da sie juristische Anforderungen in den technischen Kontext einordnen und so Risiken frühzeitig identifizieren können.

Sie möchten Ihre Daten fit für KI machen und schützen?

With Ailance DSB stellen wir zertifizierte Datenschutzbeauftragte bereit, die nicht nur DSGVO-sicher, sondern auch die entsprechenden KI-Kompetenzen mitbringen und Sie aktiv durch die Anforderungen der KI-Verordnung begleiten.

Erfahren Sie hier mehr über Ailance DSB.  

Marcus Belke is CEO of 2B Advice and a lawyer and IT expert for Data protection and digital Compliance. He writes regularly about AI governance, GDPR compliance and risk management. You can find out more about him on his Author profile page.

Contact us
Tags:
Share this post :

Popular categories

Newsletter

Subscribe to our data protection newsletter to receive the latest updates, tips and insights straight to your inbox.
Subscribe

Latest posts