Der Digitalverband Bitkom hat eine umfassende Stellungnahme zur Konsultation der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vorgelegt. Thema: der datenschutzkonforme Umgang mit personenbezogenen Daten in KI-Modellen.
Mit der Stellungnahme setzt Bitkom ein klares Zeichen: Die Transformation durch künstliche Intelligenz erfordert nicht nur technologischen Mut, sondern auch rechtliche Klarheit. Nur in einem verlässlichen Regulierungsrahmen können Unternehmen Vertrauen aufbauen und Innovationen verantwortungsvoll vorantreiben.
1. Risikobasierte Regulierung statt pauschaler Vorgaben
Der Bitkom mahnt, dass regelmäßig nicht alle KI‑Modelle gleich zu behandeln sind. Die Konsultation fokussiere zu stark auf „große Sprachmodelle“ — dabei sind datenschutzrelevante Fragestellungen ebenso bei kleineren, domänenspezifischen oder eingebetteten Modellen essentiell.
Ein flexibler, kontextsensitiver Ansatz sei nötig, um Innovation nicht abzuwürgen, insbesondere für mittelständische Unternehmen und Startups.
2. Anonymität als Schutzziel mit Bedacht definieren
Der Bitkom betont, dass vollständige Anonymisierung in KI‑Trainingsdaten heute kaum zuverlässig garantiert werden könne.
Ein Modell könne jedoch als anonym gelten, wenn
es nicht gezielt zur Reproduktion personenbezogener Daten entworfen wurde,
eine Identifizierung mit zumutbaren Mitteln nicht möglich ist,
stabile personenbezogene Inhalte weder explizit noch implizit ausgeben werden.
Zudem seien technische Verfahren wie Differential Privacy, Datenmaskierung, Output‑Filterung und Governance‑Mechanismen (Audit‑Logging, Zugriffskontrollen) wichtige Bausteine.
3. Verarbeitung durch KI: kein genereller „Datenschutz‑Tatbestand“
Eindrucksvoll verteidigt Bitkom den Standpunkt, dass die reine Inferenz eines KI-Modells (also der Prozess, bei dem ein Modell eine Ausgabe basierend auf intern gespeicherten Parametern erzeugt) nicht automatisch eine „Verarbeitung personenbezogener Daten“ im Sinne der DSGVO darstellt — solange die Ausgabe selbst keine personenbezogenen Daten enthält und keine Reproduktion solcher Daten möglich ist.
Ein weiter gefasster Verarbeitungsbegriff würde nahezu jede Software unter die strengen Regeln der Datenschutzgrundverordnung stellen – mit erheblichen Innovationshemmnissen.
4. Klare Zuordnung von Verantwortlichkeiten entlang der KI-Wertschöpfungskette
Da Unternehmen häufig auf Modelle Dritter zurückgreifen, fordert Bitkom eine präzise Rollenverteilung zwischen Entwicklerinnen, Betreiberinnen und Nutzer*innen. Die Datenquelle, das Training oder das Feintuning müsse transparent dokumentiert sein – und Verantwortungen klar geregelt.
5. Betroffenenrechte: pragmatische Umsetzung statt theoretischer Idealansprüche
Bitkom erkennt ausdrücklich die Bedeutung von Auskunft, Löschung und Berichtigung personenbezogener Daten an. Zugleich weist der Verband darauf hin, dass eine klassische Umsetzung dieser Rechte innerhalb eines KI-Modells technisch kaum möglich ist.
Stattdessen schlägt Bitkom einen mehrstufigen Ansatz vor:
Rechte sollen primär auf Ebene der Trainingsdaten geltend gemacht werden,
auf Ausgabeseite durch Filter, Prompt‑Blockierung oder Red Teaming kontrolliert werden,
eine „gezielte Änderung im Modell“ im Regelfall nicht zumutbar ist.
Für Führungskräfte, CIOs, CDOs und KI-Verantwortliche bietet die Stellungnahme wertvolle Orientierung:
Sie zeigt, dass Datenschutz und Innovation kein Gegensatz sein müssen, sondern sich durch kluge technische und organisatorische Maßnahmen verbinden lassen.
Wer heute bereits auf datenschutzfreundliche Maßnahmen (z. B. Datenminimierung, Output-Filterung, Red Teaming, Logging) setzt, schafft Vorarbeit für künftige regulatorische Anforderungen.
Die Forderung nach klaren Rollen entlang der Wertschöpfungskette signalisiert: Geschäftsmodelle, die auf KI-Dienste Dritter setzen, müssen vertraglich und technisch sauber aufgestellt sein.
Für Entscheider in Startups und KMU ist besonders wichtig: eine Regulierung, die Unterschiede von Modellart, Einsatzgebiet und Risiko berücksichtigt — keine Einheitsgröße für alle KI-Systeme.
Die Bitkom-Stellungnahme ist Teil eines konstruktiven Dialogs mit der Datenschutzaufsicht und anderen Stakeholdern. Sie richtet sich klar an Politik, Aufsichtsbehörden und die Wirtschaft zugleich.
Für Unternehmen empfiehlt sich ein dreistufiges Vorgehen:
Analyse und Risikoabschätzung
Identifizieren Sie bestehende KI‑Komponenten und prüfen Sie systematisch, wo personenbezogene Daten involviert sind oder sein könnten.
Technik und Governance verstärken
Implementieren Sie datenschutzfreundliche Methoden (z. B. Maskierung, Anonymisierung, Output-Filter) und etablieren Sie Monitoring, Audit-Logs und Red-Teaming.
Transparenz & Dokumentation
Führen Sie eine umfassende Dokumentation zu Datenquellen, Trainingsprozessen, Modifikationen und Testverfahren – sowohl für interne Nachvollziehbarkeit als auch für externe Compliance.
Für politische Entscheidungsträger*innen liegt die Aufgabe darin, Regulierungsrahmen so zu gestalten, dass sie Vertrauen schaffen, Rechtssicherheit gewährleisten und gleichzeitig Entwicklungsfreiheit für Unternehmen sichern.
Mit dieser Stellungnahme macht Bitkom deutlich: Wir stehen am Scheideweg zwischen regulatorischer Überforderung und technologiepolitischer Vision. Der Weg in eine vertrauenswürdige, verantwortungsbewusste KI‑Zukunft verlangt Weitsicht, Pragmatismus und partnerschaftliche Gestaltung zwischen Staat, Wirtschaft und Gesellschaft.
