DZ CompliancePartner
Alle

KI als Chance
Fachinfo #003

KI-Verordnung und DSGVO –
zwei Regelwerke, ein integrierter Compliance-Ansatz

Mit dem zunehmenden Einsatz von KI rückt eine zentrale Frage in den Fokus: Wie stehen Datenschutz-Grundverordnung (DSGVO) und KI-Verordnung (KI-VO) eigentlich zueinander? 

Die KI-VO setzt dort an, wo die DSGVO endet – beim System selbst.

Sobald KI-Systeme personenbezogene Daten verarbeiten (z. B. Kunden-, Mitarbeiter- oder Trainingsdaten), gilt die DSGVO vollumfänglich. Besonders relevant sind dabei u. a. Zweckbindung, Datenminimierung, Transparenz, Datenqualität, Vertraulichkeit und Sicherheit. 

Infografik KI-Fachinfo 003.png

Die KI-VO geht über die Regelungen der DSGVO hinaus und regelt spezifische Aspekte der eingesetzten KI-Systeme.

Die Anforderungen an Transparenz, Nachvollziehbarkeit und Datenqualität werden in Bezug auf den Einsatz von KI-Systemen spezifisch geregelt:

  • Die KI-VO regelt den Einsatz von KI-Systemen, indem sie Risikoklassen definiert. Viele KI-Anwendungen im Bankenumfeld implizieren gemäß KI-VO ein „hohes Risiko“ (z. B. Kreditentscheidungen oder auch Betrugsprävention). 

  • Mit der jeweiligen Risikoklassifizierung sind entsprechende Pflichten verbunden - wie z. B.
    - die Einrichtung eines Risiko-Managementsystem, 
    - die Einhaltung von Daten- und Governance-Standards,
    - die technische Dokumentation sowie
    - definierte Kontrollmechanismen.

Verarbeitet also ein KI-System personenbezogene Daten, greift immer die DSGVO. Zusätzlich sind je nach Risikoklasse, die Anforderungen aus der KI-VO umzusetzen. Das heißt auch: Beide Regelwerke können verletzt werden - mit 
jeweils eigenen Sanktionen. 

In der Praxis hat sich Folgendes bewährt:

  • Integriertes Compliance-Konzept: 
    Datenschutz-Management und KI-Compliance werden in einem gemeinsamen Governance-Framework 
    gedacht. 

  • Aufbau von Audit-Trails:
    Eine lückenlose Dokumentation von Trainingsdaten, Modelländerungen, Entscheidungen und Kontrollen erhöhen die Resilienz.

  • Stringente Steuerung der Dienstleister: 
    Auftragsverarbeitungsverträge nach DSGVO und Pflichten aus der KI-Verordnung werden aufeinander abgestimmt - insbesondere bei Cloud-SaaS- und KI-Anbietern.
Zusammen genommen bilden beide Regelwerke - DSGVO und KI-VO - eine solide Basis für eine hohe Resilienz und auch Prüfungssicherheit.
 
Beide Regelwerke gelten parallel und kumulativ: Das heißt auch, Verstöße können gleichzeitig datenschutzrechtliche und KI-regulatorische Konsequenzen nach sich ziehen. 

In der Praxis hat sich ein integrierter Ansatz, eine lückenlose Dokumentation und die richtige Einbindung der Dienstleister bewährt.

KI als Chance

Sie brauchen Unterstützung in der sicheren Anwendung der KI-Verordnung? Sie erwägen, einen KI-Beauftragten für Ihr Haus einzurichten, um einen sicheren Einsatz von KI zu gewährleisten? Unsere Mitarbeitenden sind bereits als KI-Beauftragte zertifiziert. Wir begleiten, beraten und schulen Sie in allen regulativen Fragen zum Einsatz von KI-Produkten.

Erfahren Sie mehr zu unseren Unterstützungsangeboten in der KI-Compliance.

Bleiben Sie auf dem Laufenden und registrieren sich jetzt für die KI-Fachinfo.

Sie haben Fragen ?

Wir unterstützen Sie gerne bei der Auswahl und dem 
Einsatz von KI-Anwendungen.

Benjamin Wellnitz

Benjamin Wellnitz
Bereichsleiter IKT-Compliance & Datenschutz
Telefon: 069 580024-246
E-Mail: benjamin.wellnitz@dz-cp.de

Kontakt