Der Landesbeauftragte für den Datenschutz Niedersachsen hat ein FAQ-Dokument zur Künstlichen Intelligenz bereitgestellt (Stand März 2026), um insbesondere professionelle Anwender in Wirtschaft und Verwaltung bei der Umsetzung der neuen rechtlichen Anforderungen zu unterstützen.
Ich habe mir das Dokument kurz angesehen und möchte in der gebotenen Kürze auf die Inhalte hinweisen. Die FAQ gibt es dankenswerterweise zum Download als PDF-Dokument.
Das FAQ des Landesbeauftragten für den Datenschutz Niedersachsen ordnet den Einsatz von KI in den Rahmen des europäischen KI-Rechts ein und macht zugleich deutlich, dass bei personenbezogenen Daten weiterhin vor allem die DSGVO, das BDSG und das TDDDG maßgeblich bleiben. (Anmerkung: An dieser Stelle sei übrigens darauf hingewiesen, dass Art. 59 KI-VO eine eigene Rechtsgrundlage für die Verarbeitung bestimmter Daten in Reallaboren enthält, die wir allerdings leider noch nicht haben). Die KI-Verordnung verfolgt einen risikobasierten Ansatz: Verbotene Praktiken nach Art. 5 KI-VO sind unzulässig, Hochrisiko-Systeme unterliegen strengen Anforderungen, transparente Systeme wie Chatbots haben Kennzeichnungspflichten, und für KI-Modelle mit allgemeinem Verwendungszweck gelten eigene Pflichten.
Für Unternehmen ist besonders wichtig, dass die KI-VO zwar bereits in Kraft ist, ihre Pflichten aber stufenweise greifen: seit 2. Februar 2025 gelten unter anderem die KI-Kompetenzpflicht und die Verbote; seit 2. August 2025 weitere Governance- und GPAI-Regeln; ab 2. August 2026 kommen weitere Regelungen hinzu; ab 2. August 2027 gilt sie vollständig (Anmerkung: Durch das EU-Omnibusverfahren können bestimmte Fristen sich verlängern). Das Dokument betont außerdem, dass die KI-VO nicht nur Entwickler, sondern vor allem auch Anbieter, Einführer, Händler und Betreiber erfasst; wer ein KI-System im Unternehmen in eigener Verantwortung einsetzt, ist Betreiber – auch wenn das System nicht selbst entwickelt wurde.
Inhaltlich grenzt die FAQ die wichtigsten Risikokategorien ab: Verbotene KI-Praktiken betreffen insbesondere manipulative oder täuschende Verhaltensbeeinflussung sowie den ungezielten Aufbau von Gesichtserkennungsdatenbanken. Hochrisiko-KI-Systeme liegen vor allem dort vor, wo Produktsicherheitsrecht greift oder der Anhang III der KI-VO einschlägig ist, etwa bei biometrischer Fernidentifizierung oder Kreditwürdigkeitsprüfung. Für solche Systeme gelten umfangreiche Anforderungen, einschließlich Konformitätsbewertung und – für bestimmte Betreiber – einer Grundrechte-Folgenabschätzung, die die Datenschutz-Folgenabschätzung ergänzt.
Besonderes Gewicht legt die FAQ auf organisatorische Pflichten. Anbieter und Betreiber müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt, also über technische und rechtliche Kenntnisse sowie ein Bewusstsein für Risiken wie falsche personenbezogene Daten, Bias, Halluzinationen und automatisierte Entscheidungen. Vor dem Einsatz von Large-Language-Modellen im Büroalltag empfiehlt das Dokument eine Risikoeinstufung, klare Einsatzregeln, Prüfung der Rechtsgrundlage, technische und organisatorische Maßnahmen, Betroffenenrechte, DSFA-Prüfung, ggf. eine Grundrechte-Folgenabschätzung sowie eine Dienst- oder Betriebsanweisung. Ebenfalls hervorgehoben werden die Risiken von „Schatten-KI“, also der unautorisierten Nutzung externer KI-Tools durch Beschäftigte, weil dadurch schnell Verstöße gegen KI-VO und DSGVO entstehen können.
Im Datenschutzkontext bleibt die Kernbotschaft nüchtern: KI ersetzt keine rechtliche Prüfung, sondern verstärkt die Pflicht zu Rechtmäßigkeit, Transparenz, Datenminimierung, Zweckbindung, Richtigkeit und zur Sicherung der Betroffenenrechte. Für Webseitenbetreiber wird zudem darauf hingewiesen, dass öffentlich zugängliche personenbezogene Daten durch Web-Scraping für das Training von KI-Modellen verwendet werden können; dagegen helfen vor allem die Reduktion öffentlicher personenbezogener Inhalte, geschlossene Zugangsbereiche und technisch unterstützende Maßnahmen wie robots.txt.
Für Unternehmen ist die wichtigste Erkenntnis aus der FAQ: KI-Einsatz sollte nicht als bloßes Produktivitätswerkzeug verstanden werden, sondern als Compliance-Thema mit Governance, Zuständigkeiten, Schulungen, Dokumentation und klaren Freigabeprozessen. Wer KI ohne Risikoprüfung, Rechtsgrundlage, vertragliche und organisatorische Leitplanken einführt, riskiert Verstöße gegen KI-VO, DSGVO und interne Kontrollpflichten; deshalb sollten Unternehmen ein verbindliches KI-Regelwerk, eine technische Freigabepolitik und eine belastbare Schulungs- und Prüfstruktur etablieren.
Da die europäische KI-Verordnung (KI-VO) bereits am 1. August 2024 in Kraft getreten ist, kann ich die FAQ nur empfehen, da sie einen guten Überblick über die Materie gibt.👍🏻
