KI & Datenschutz: Warum wir beide im Blick behalten müssen

Michael Mrak

Michael Mrak

3 min read
KI & Datenschutz: Warum wir beide im Blick behalten müssen
Photo by Immo Wegmann / Unsplash

Künstliche Intelligenz ist längst Teil unseres Alltags – von Sprachassistenten bis hin zu automatisierten Entscheidungsprozessen in Unternehmen. Doch was bedeutet das für den Datenschutz, der in Europa bekannterweise als Grundrecht verankert ist? Roberto Lattanzi, Leiter der Abteilung für Künstliche Intelligenz bei der italienischen Datenschutzbehörde, bringt es in einem Vortrag im Rahmen der Privacy Days Prag 2025 auf den Punkt: KI und Datenschutz sind keine Gegensätze, sondern Partner. Aber es ist eine komplizierte Partnerschaft.

Komplementarität statt Konkurrenz

Lattanzi betont, dass KI und Datenschutz nicht gegeneinander ausgespielt werden dürfen. Beide müssen zusammen gedacht werden. KI ist aus unser aller Lebensrealität nicht mehr wegzudenken, doch sie bringt Risiken für Persönlichkeitsrechte mit sich. Aufgabe der Regulierung ist es, diese Balance zu sichern: Datenschutz als Grundrecht auf der einen, Innovations- und Freiheitsrechte auf der anderen Seite.

Zwei Gesetze – ein Ziel: AI-Act & DSGVO

Die europäische KI-Verordnung (AI-Act) und die Datenschutzgrundverordnung (DSGVO) sind keine konkurrierenden Rechtsakte, vielmehr ergänzen sie sich. Relevant wird das, wenn KI-Systeme personenbezogene Daten verarbeiten.

Die KI-Verordnung verfolgt einen humanzentrierten Ansatz: Der Schutz von Grundrechten steht im Mittelpunkt. Gleichzeitig räumt sie Datenschutzbehörden neue Rollen ein, in manchen Ländern etwa als Marktüberwachungsbehörden für Hochrisiko-KI-Systeme. Damit werden die dortigen Aufsichtsbehörden in eine Doppelrolle gedrängt: Garant für Grundrechte und Wächter über den Marktzugang.

Behörden im Zwang zur Zusammenarbeit

Das Zusammenspiel verschiedener Aufsichtsbehörden ist gesetzlich vorgeschrieben, in der Praxis aber hochkomplex. Das Prinzip der „aufrichtigen Zusammenarbeit“ verpflichtet etwa Wettbewerbs-, Datenschutz- und Marktaufsichtsbehörden zu gegenseitiger Konsultation.

Konkret bedeutet das: Wenn die eine Behörde einen Fall untersucht, muss sie die andere informieren, sobald Überschneidungen bestehen. So soll verhindert werden, dass Fälle unbearbeitet bleiben. In der KI-Verordnung finden sich dazu umfassende Informations- und Meldepflichten, die im Alltag aber organisatorische und politische Hürden mit sich bringen.

Darüber hinaus sind in manchen EU-Ländern die Datenschutzbehörden bislang gar nicht als Marktaufsichtsbehörden benannt. Das ist eine Lücke, die wirksame Kontrolle erschwert.

Marktlogik trifft Grundrechte

Ein Kernproblem liegt laut Lattanzi in der Ausrichtung der KI-Verordnung. Das Parlament hat sie stark als „Sicherheits- und Marktzugangsgesetz“ konzipiert. KI wird hier in erster Linie als Produkt reguliert. Mit den dort üblichen klassischen Anforderungen an Sicherheit und Haftung.

Doch das greift laut Lattanzi zu kurz. Viele KI-Funktionalitäten sind für Nutzer unsichtbar in Produkte eingebettet. Transparenzprobleme bleiben bestehen, und ohne Integration von Datenschutz in Produktsicherheit geraten Grundrechte ins Hintertreffen.

Technische Komplexität verlangt (auch) rechtliche Antworten

KI-Systeme sind schon heute Black Boxes für die meisten Menschen. Entscheidungen entstehen automatisiert und sind schwer erklärbar. Für Nutzer bedeutet das Unsicherheit.

Für Juristen stellt sich in diesem Zusammenhang die Frage: Wie sichern wir den Anspruch auf Erklärbarkeit?

Lattanzi verweist darauf, dass Datenschutzbehörden zwar Erfahrung mit automatisierten Verfahren haben, KI aber eine völlig neue Dimension eröffnet. Das bereits 2014 durchgeführte Projekt Robo Law oder die sich entwickelnde Regulierung autonomer Fahrzeuge zeigen, wie Recht und Technik zunehmend verschmelzen. Hier braucht es enge Verzahnung: Datenschutzvorgaben müssen integraler Bestandteil der Produktsicherheit werden.

Unabhängigkeit als Knackpunkt

Besonders kritisch sieht Lattanzi die geplante EU-Aufsichtsstruktur für generische KI-Modelle. Zuständig ist die Europäische Kommission selbst, dies allerdings ohne die notwendige institutionelle Unabhängigkeit.

Das widerspricht dem Grundsatz unabhängiger Datenschutzaufsicht und schafft Lücken in der Governance. Beispiele wie ChatGPT zeigen, dass zentrale Fragen auf EU-Ebene ungelöst bleiben, während nationale Behörden außen vor sind. Für Lattanzi ist klar: Ohne robuste und unabhängige Aufsicht droht ein Kontrollverlust.

Fazit: Balanceakt mit Zukunft

KI und Datenschutz sind keine Gegner, sondern komplementäre Systeme. Aber sie müssen in Governance, Regulierung und technischer Umsetzung so miteinander verflochten werden, dass Grundrechte nicht zum Kollateralschaden des Marktes werden.

Für IT-Experten bedeutet das: Datenschutz darf nicht als nachträgliche Compliance-Übung verstanden werden. „Privacy by Design“ ist Pflicht.
Für Juristen gilt: Regulierung muss technisches Verständnis entwickeln und die Black Box der KI ernst nehmen.

Meine persönliche Konklusio: Nur wenn Recht und Technik wirklich zusammenarbeiten, kann Europa eine KI-Zukunft gestalten, die Innovation ermöglicht und Grundrechte wahrt.

Read more