DSGVO (Datenschutz-Grundverordnung)
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) regelt seit dem 25. Mai 2018, wie personenbezogene Daten in der Europäischen Union erhoben, verarbeitet und gespeichert werden dürfen. Sie gilt für alle Unternehmen, die Daten von Personen in der EU verarbeiten, unabhängig vom Firmensitz.
Was die DSGVO regelt
Jedes Mal, wenn ein System Daten einer identifizierbaren Person speichert oder verarbeitet, fällt das unter die DSGVO. Der Begriff „personenbezogene Daten“ ist dabei weit gefasst: Name, E-Mail-Adresse, IP-Adresse, Standortdaten, aber auch Verhaltensmuster, Vorlieben oder biometrische Merkmale.
Die Verordnung schafft einen einheitlichen Rechtsrahmen für alle EU-Mitgliedstaaten. Vor der DSGVO galten in jedem Land eigene Datenschutzgesetze mit unterschiedlichen Anforderungen. Seit 2018 gelten dieselben Regeln in allen 27 Mitgliedstaaten. Die abgekürzte Bezeichnung für diesen Rechtsrahmen lautet DSGVO (im Englischen: GDPR, General Data Protection Regulation).
Beispiel 1: Ein deutsches Unternehmen betreibt einen Onlineshop und speichert Kundenadressen. Die DSGVO regelt, auf welcher Rechtsgrundlage diese Speicherung zulässig ist, wie lange die Daten aufbewahrt werden dürfen und welche Rechte die Kunden gegenüber dem Unternehmen haben.
Beispiel 2: Ein US-amerikanisches Unternehmen bietet einen Cloud-Dienst an, den Nutzer in der EU verwenden. Obwohl das Unternehmen in den USA sitzt, gilt die DSGVO, weil personenbezogene Daten von EU-Bürgern verarbeitet werden. Das ist die sogenannte extraterritoriale Wirkung der Verordnung.
Die wichtigsten Grundsätze
Die DSGVO benennt in Artikel 5 sechs Grundsätze für die Verarbeitung personenbezogener Daten.
Zusätzlich verlangt die DSGVO Rechenschaftspflicht (Art. 5 Abs. 2): Das verarbeitende Unternehmen muss die Einhaltung aller Grundsätze nachweisen können.
Beispiel: Ein Unternehmen sammelt E-Mail-Adressen für einen Newsletter. Zweckbindung bedeutet: Diese Adressen dürfen nicht ohne Weiteres für Kaltakquise oder Profilbildung verwendet werden. Datenminimierung bedeutet: Es darf nur die E-Mail-Adresse erhoben werden, nicht zusätzlich Geburtsdatum und Telefonnummer, wenn diese für den Newsletter nicht erforderlich sind.
Rechte der betroffenen Personen
Die DSGVO gibt jeder Person, deren Daten verarbeitet werden, eine Reihe konkreter Rechte.
- Auskunftsrecht (Art. 15): Du kannst von jedem Unternehmen erfahren, welche Daten über dich gespeichert sind, zu welchem Zweck und an wen sie weitergegeben wurden.
- Recht auf Berichtigung (Art. 16): Falsche Daten müssen korrigiert werden.
- Recht auf Löschung (Art. 17): Unter bestimmten Voraussetzungen müssen Daten gelöscht werden. Dieses Recht wird auch als „Recht auf Vergessenwerden“ bezeichnet.
- Recht auf Datenübertragbarkeit (Art. 20): Daten müssen in einem maschinenlesbaren Format bereitgestellt werden, damit sie zu einem anderen Anbieter mitgenommen werden können.
- Widerspruchsrecht (Art. 21): Gegen bestimmte Arten der Verarbeitung, etwa Direktwerbung, kann jederzeit Widerspruch eingelegt werden.
Beispiel: Ein Nutzer möchte von einem sozialen Netzwerk zu einem anderen wechseln. Das Recht auf Datenübertragbarkeit verpflichtet das erste Netzwerk, die gespeicherten Daten (Beiträge, Kontakte, Profilinformationen) in einem strukturierten, maschinenlesbaren Format herauszugeben.
Beispiel: Ein Kunde fordert von einem Onlineshop Auskunft über seine gespeicherten Daten. Das Unternehmen muss innerhalb eines Monats antworten und dabei alle gespeicherten Daten, die Verarbeitungszwecke, die Empfänger und die geplante Speicherdauer offenlegen.
Pflichten für Unternehmen
Die DSGVO verpflichtet verarbeitende Unternehmen zu konkreten organisatorischen und technischen Maßnahmen.
- Rechtsgrundlage (Art. 6): Jede Datenverarbeitung braucht eine Rechtsgrundlage. Die häufigsten sind: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung oder berechtigtes Interesse.
- Informationspflicht (Art. 13/14): Betroffene Personen müssen vor der Datenerhebung transparent informiert werden.
- Datenschutz-Folgenabschätzung (Art. 35): Bei Verarbeitungen mit hohem Risiko muss vorab eine Risikoanalyse durchgeführt werden.
- Meldepflicht bei Datenpannen (Art. 33): Datenschutzverletzungen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.
- Datenschutzbeauftragter (Art. 37): In bestimmten Fällen ist die Benennung eines Datenschutzbeauftragten Pflicht.
- Privacy by Design und by Default (Art. 25): Datenschutz muss von Anfang an in die Systemarchitektur eingebaut sein, nicht nachträglich aufgesetzt werden.
Beispiel: Ein Unternehmen entwickelt eine App, die Standortdaten erhebt. Privacy by Design bedeutet: Die App darf Standortdaten nur erheben, wenn der Nutzer aktiv zustimmt. Die Standardeinstellung muss die datensparsame Variante sein (Privacy by Default). Die Standortdaten dürfen nicht länger gespeichert werden, als für den angegebenen Zweck erforderlich.
Bedeutung für KI-Systeme
Für KI-Anwendungen stellt die DSGVO besondere Anforderungen, weil diese Systeme häufig große Mengen personenbezogener Daten verarbeiten und automatisierte Entscheidungen treffen.
Automatisierte Entscheidungen (Art. 22): Personen haben das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht und ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. In der Praxis bedeutet das: Wenn ein Algorithmus über Kreditwürdigkeit, Bewerbungen oder Versicherungstarife entscheidet, muss es eine Möglichkeit geben, die Entscheidung von einem Menschen überprüfen zu lassen.
Beispiel: Ein Versicherungsunternehmen nutzt ein KI-Modell zur Risikobewertung von Antragstellern. Wenn das Modell einen Antrag automatisch ablehnt, muss der Antragsteller darüber informiert werden, dass eine automatisierte Entscheidung vorliegt. Er hat das Recht auf eine Überprüfung durch einen Menschen und auf eine nachvollziehbare Erklärung der Entscheidungsgründe.
Trainingsdaten: Wenn ein KI-Modell mit personenbezogenen Daten trainiert wird, gelten die DSGVO-Grundsätze für den gesamten Prozess: von der Datenerhebung über die Aufbereitung bis zum Training. Zweckbindung, Datenminimierung und Speicherbegrenzung müssen eingehalten werden.
Beispiel: Ein Unternehmen möchte ein Sprachmodell auf Kundensupport-E-Mails fine-tunen. Die E-Mails enthalten Namen, Adressen und Vertragsnummern. Vor dem Training müssen die Daten pseudonymisiert oder anonymisiert werden. Außerdem braucht das Unternehmen eine Rechtsgrundlage für diese Verwendung, die über den ursprünglichen Zweck (Beantwortung der Anfrage) hinausgeht.
RAG-Systeme: Wenn ein RAG-System auf Dokumente mit personenbezogenen Daten zugreift, muss sichergestellt sein, dass der Zugriff nur für berechtigte Nutzer möglich ist und die Daten nicht über den definierten Zweck hinaus verwendet werden.
Fachliche Einordnung: Die DSGVO wird durch weitere Regulierung ergänzt. Der EU AI Act (Verordnung (EU) 2024/1689) schafft einen eigenständigen Rechtsrahmen speziell für KI-Systeme mit Risikokategorien und Transparenzpflichten. Beide Verordnungen gelten parallel und ergänzen sich: Die DSGVO schützt personenbezogene Daten, der AI Act reguliert das KI-System als Ganzes.
Konsequenzen bei Verstößen
Die DSGVO sieht Geldbußen in zwei Stufen vor (Art. 83):
- Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei Verstößen gegen organisatorische Pflichten (Datenschutzbeauftragter, Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung).
- Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei Verstößen gegen die Grundprinzipien, die Betroffenenrechte oder bei unzulässiger Datenübermittlung in Drittstaaten.
Maßgeblich ist jeweils der höhere Betrag.
Beispiel: Ein soziales Netzwerk wird wegen mangelhafter Einwilligungsmechanismen bei personalisierter Werbung mit einem Bußgeld in dreistelliger Millionenhöhe belegt. Die Aufsichtsbehörde stellt fest, dass die Einwilligung nicht freiwillig, nicht spezifisch und nicht informiert eingeholt wurde.
Beispiel: Ein mittelständisches Unternehmen meldet eine Datenpanne nicht innerhalb von 72 Stunden. Die Aufsichtsbehörde verhängt ein Bußgeld wegen Verstoßes gegen die Meldepflicht, unabhängig davon, ob die Panne selbst vermeidbar war.