Eine neue Orientierungshilfe der Datenschutzkonferenz bietet auch Handwerksbetrieben eine gute Orientierung für KI-Projekte.
Im Juni 2025 hat die Datenschutzkonferenz (DSK), der Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, eine neue Orientierungshilfe für KI-Projekte veröffentlicht. Sie richtet sich an alle, die Künstliche Intelligenz entwickeln, einsetzen oder in ihre Betriebsabläufe integrieren möchten – also auch an kleine und mittlere Unternehmen im Handwerk. Ziel ist es, konkrete Hilfestellungen zu geben, wie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) praxisnah und rechtskonform in jeder Phase eines KI-Projekts umgesetzt werden können.
Datenschutz von Anfang an mitdenken
Im Mittelpunkt der Orientierungshilfe steht nicht die juristische Einzelfallbewertung, sondern die Frage, welche technischen und organisatorischen Maßnahmen erforderlich sind, um personenbezogene Daten auch beim Einsatz von KI sicher zu verarbeiten. Grundlage ist das sogenannte Standard-Datenschutzmodell, das die Anforderungen der DSGVO in sieben Schutzziele übersetzt: Dazu gehören Datenminimierung, Verfügbarkeit, Vertraulichkeit, Integrität, Intervenierbarkeit, Transparenz und Nichtverkettung.
Anhand dieser Ziele zeigt die Orientierungshilfe, wie Datenschutz systematisch in den vier typischen Phasen eines KI-Projekts berücksichtigt werden kann – von der Planungs- bis zur Betriebsphase.
Vom Design bis zum Betrieb: Was Unternehmen beachten sollten:
1. Planungsphase:
Bereits hier sollte definiert werden, wofür das KI-System eingesetzt wird, welche Daten dafür notwendig sind und auf welcher Rechtsgrundlage diese erhoben werden. Wichtig ist eine lückenlose Dokumentation, zum Beispiel durch sogenannte Datasheets, die Informationen zu Herkunft, Art, Zweck und Einschränkungen jeder Datenquelle enthalten. Auch die technische Umsetzung von Betroffenenrechten wie Auskunft oder Löschung sollte frühzeitig mitgedacht werden.
2. Entwicklungsphase:
Hier gilt das Prinzip: So viel wie nötig, so wenig wie möglich. Sensible Daten haben nichts in Trainingssätzen verloren, und sämtliche Verarbeitungsschritte müssen nachvollziehbar dokumentiert sein. Zudem sollten Schutzmechanismen gegen fehlerhafte oder manipulierte Trainingsdaten integriert werden. Wichtig: Es muss möglich bleiben, einzelne Informationen aus dem Modell zu entfernen, wenn beispielsweise das Recht auf Löschung geltend gemacht wird.
3. Vor dem Echtbetrieb:
Bevor ein KI-System live geht, müssen datenschutzfreundliche Voreinstellungen gewählt werden. Dazu gehören verschlüsselte Datenübertragungen, Zugriffskontrollen und getrennte Speicherbereiche. Wo personenbezogene Daten technisch nicht vermeidbar sind, müssen zusätzliche Sicherheitsmaßnahmen greifen.
4. Im laufenden Betrieb:
Datenschutz ist keine Einmalmaßnahme. Systeme müssen regelmäßig überprüft und an neue rechtliche, technische oder organisatorische Rahmenbedingungen angepasst werden. Die Rechte Betroffener – etwa auf Berichtigung – dürfen nicht daran scheitern, dass das Modell nachträglich nicht mehr verändert werden kann. Die DSK warnt auch vor sogenannten Model Inversion Attacks, bei denen durch gezielte Abfragen Rückschlüsse auf Trainingsdaten gezogen werden können. Lokale Modell-Ausführung oder Zugriffsbeschränkungen können hier wirksame Gegenmaßnahmen sein.
Alexander Petto, Digitalisierungsbeauftragter (DigiBIT) der Handwerkskammer des Saarlandes, betont: „Gerade im Handwerk ist Vertrauen ein zentraler Erfolgsfaktor – das gilt auch beim Einsatz von KI. Wer Datenschutz von Anfang an mitdenkt, schafft nicht nur rechtliche Sicherheit, sondern auch Transparenz und Glaubwürdigkeit gegenüber Mitarbeitenden und Kundschaft.“
Er rät kleinen und mittleren Betrieben, die Orientierungshilfe als praktisches Werkzeug und nicht als Hindernis zu begreifen: „Datenschutz ist kein Hemmschuh für Innovation, sondern ein Qualitätsmerkmal digitaler Lösungen. Gerne unterstütze ich Betriebe dabei, KI-Projekte datenschutzkonform zu planen und umzusetzen.“
Die komplette Orientierungshilfe ist auf der Website der Datenschutzkonferenz verfügbar.
Ansprechpartner
Alexander Petto
Beauftragter für Innovation und Technologie Themenschwerpunkt Digitalisierung (DIGI–BIT)
Telefon 0681 5809-141
a.petto@hwk-saarland.de