Zum Inhalt springen
Künstliche Intelligenz

EDPB KI-Standards: 6 konkrete technische Anforderungen an Datenschutz-Architektur

EDPB KI-Standards, Datenschutz KI-Architektur – Compliance-Expertin prüft EDPB KI-Standards auf Monitor mit DSGVO-Audit-Checkliste
Die EDPB Opinion 28/2024 verlangt nachweisbare technische Maßnahmen – kein Papierdatenschutz mehr. (Symbolbild)

Der EDPB macht Ernst: Mit den Guidelines 4/2024 und der Opinion 28/2024 vom Dezember 2024 legen europäische Datenschutzbehörden erstmals konkrete technische Anforderungen an KI-Systeme vor – von Resistenztests gegen Privacy-Angriffe bis hin zu dokumentierter Anonymisierung. Was das für Unternehmen bedeutet, die heute KI-Modelle trainieren oder betreiben, ist keine abstrakte Compliance-Frage mehr.

Vom Prinzip zur Prüfpflicht: Was EDPB KI-Standards wirklich bedeuten

Wer KI-Regulierung bisher als Zuständigkeitsstreit zwischen Behörden wahrgenommen hat, sollte jetzt genauer hinschauen. Der Europäische Datenschutzausschuss (EDPB) hat in den vergangenen zwölf Monaten eine bemerkenswerte Kursänderung vollzogen: weg von abstrakten Forderungen, hin zu technisch greifbaren Prüfmaßstäben. Die EDPB KI-Standards, die sich aus den Guidelines 4/2024 und der Opinion 28/2024 ableiten lassen, sind zwar formal nicht bindend – aber jede Aufsichtsbehörde in Europa wird sie bei Prüfverfahren heranziehen. Das ist kein Unterschied, der in der Praxis noch relevant ist.

Der Wandel ist deutlich: Wo die gemeinsame EDPB/EDPS-Stellungnahme 5/2021 zum KI-Gesetz noch auf abstrakte Risiken und Verbote setzte, fordern die aktuellen Dokumente nachweisbare technische Tests, dokumentierte Anonymisierungskonzepte und strukturierte Risikomodellierung. Datenschutz KI-Architektur ist damit kein optionales Feature mehr, das man am Ende eines Entwicklungsprozesses draufschraubt.

Meine Einschätzung dazu: Es war längst überfällig. Zu lange haben Unternehmen KI-Systeme mit personenbezogenen Daten trainiert und dabei auf vage Compliance-Bekenntnisse gesetzt, die bei näherer technischer Betrachtung keinen Bestand hatten. Die EDPB KI-Standards setzen dem jetzt ein konkretes Prüfraster entgegen.

KI-Modelle als Datenspeicher: Die zentrale These der Opinion 28/2024

Der Kern der EDPB Opinion 28/2024, veröffentlicht am 18. Dezember 2024, ist radikal und konsequent zugleich: Ein KI-Modell gilt nicht automatisch als anonymisiert. Wer ein Modell auf personenbezogenen Daten trainiert hat, muss fallweise und technisch nachweisen, dass die Wahrscheinlichkeit der Re-Identifikation unerheblich ist. Das klingt nach juristischer Feinarbeit, ist aber ein fundamentaler Paradigmenwechsel für die gesamte Branche.

Konkret unterscheidet der EDPB zwei Risikodimensionen: Erstens die Wahrscheinlichkeit, beim Modellexport oder -zugriff direkt personenbezogene Trainingsdaten zu extrahieren. Zweitens die Wahrscheinlichkeit, durch gezielte Abfragen personenbezogene Informationen aus dem Modell zu rekonstruieren. Beide Pfade müssen nach dem Maßstab aller vernünftigerweise einsetzbaren Mittel bewertet werden – ein Maßstab, der aus der WP29-Opinion 05/2014 zur Anonymisierung stammt und nun konsequent auf KI-Architekturen angewendet wird.

Das bedeutet praktisch: Membership-Inference-Angriffe und Model-Reconstruction-Szenarien sind keine akademischen Bedrohungsmodelle mehr, sondern Prüfgegenstände, gegen die Unternehmen ihre Modelle testen müssen. Wer das nicht tut, kann Anonymität seiner KI nicht belegen – und die DSGVO greift vollumfänglich. Für LLM-Anbieter in Europa, die Modelle via API oder als Open-Source teilen, ist das eine direkte Konsequenz, die Datenschutz KI-Architektur grundlegend verändert.

Privacy by Design ist keine Wunschliste mehr

Die Guidelines 4/2024 des EDPB konkretisieren, was Datenschutz KI-Architektur technisch bedeutet. Datenminimierung, Zweckbindung, Speicherbegrenzung und Vertraulichkeit sind keine abstrakten DSGVO-Artikel mehr, die man im Impressum erwähnt – sie müssen in der Architektur eines KI-Systems verankert sein. Der EDPB nennt dafür explizite Beispiele: strikte Trennung von Trainings- und Produktionsdaten, rollenbasierte Zugriffssteuerung, Logging und Monitoring von Modellzugriffen sowie Verschlüsselung sowohl im Ruhezustand als auch bei der Übertragung.

Wer heute ein KI-System für den EU-Markt entwickelt oder betreibt, muss diese Anforderungen als Designprinzip verstehen, nicht als nachträgliche Auflage. Das ist der Unterschied zwischen einem System, das Privacy by Design ernst nimmt, und einem, das Datenschutzdokumentation als lästige Pflicht betrachtet. Resistenztests gegen Privacy-Angriffe müssen dabei regelmäßig durchgeführt und dokumentiert werden – kein einmaliger Audit, sondern ein fortlaufender Prozess.

Interessant ist dabei die Verschiebung, die sich gegenüber herkömmlicher Informationssicherheit und Datenschutz ergibt. Klassische Sicherheitsmaßnahmen schützen den Perimeter – Zugriffskontrolle, Firewall, Verschlüsselung. KI-spezifische Datenschutzarchitektur muss zusätzlich das Modell selbst als potenziellen Datenspeicher behandeln. Das ist eine andere Sicherheitslogik, für die viele Compliance-Teams noch keine Werkzeuge haben. Ressourcen wie nationale Orientierungshilfen, etwa der ONKIDA-Navigator des LfDI Baden-Württemberg, zeigen, wie einzelne Behörden diese abstrakte Anforderung für konkrete Anwendungsfälle wie HR-KI oder öffentliche Verwaltung herunterbrechen.

DPIA: Pflicht, nicht Option – und was das technisch bedeutet

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei KI-Systemen mit hohem Risiko für Betroffene keine Kann-Bestimmung. Der EDPB macht in den Guidelines 4/2024 deutlich, was eine DPIA für KI konkret umfassen muss: systematische Risikobewertung entlang der Dimensionen Vertraulichkeit, Integrität, Verfügbarkeit und Re-Identifikation, kombiniert mit einer dokumentierten Darstellung der eingesetzten Minderungsmaßnahmen.

Besonders HR-KI-Systeme – also automatisierte Bewerbungsscreening-Tools, Leistungsbewertungssoftware oder Personalplanungs-KI – fallen nach aktuellen Leitfäden klar in die DPIA-Pflicht. Das ist keine überraschende Auslegung; es ist die konsequente Anwendung bekannter DSGVO-Grundsätze auf einen Anwendungsbereich, der bislang regulatorisch unterbelichtet war. Viele Sicherheitsrisiken bei KI-Assistenten im Unternehmenseinsatz entstehen genau in solchen Graubereichen, in denen Systeme mehr personenbezogene Daten verarbeiten als ursprünglich beabsichtigt.

Die DPIA muss dabei auch den Legitimate-Interest-Test abdecken, wenn personenbezogene Daten für das KI-Training genutzt werden. Drei Schritte sind dabei nachweislich zu dokumentieren: das legitime Interesse identifizieren, die Notwendigkeit der Verarbeitung prüfen und die Interessen gegen die Rechte der Betroffenen abwägen. Wer Web-Scraping-Daten für KI-Training nutzt, steht hier vor besonders hohen Hürden – Opinion 28/2024 verschärft den Blick auf die mögliche Rekonstruktion von Trainingsdaten erheblich.

Membership-Inference-Resistenztest läuft auf Entwicklerworkstation mit sichtbarem Code-Output
Resistenztests gegen Privacy-Angriffe sind laut EDPB kein akademisches Thema mehr, sondern Compliance-Pflicht. (Symbolbild)

Was formal nicht bindend ist und trotzdem Maßstab setzt

An dieser Stelle lohnt eine klare Einordnung, die in vielen Berichten untergeht: Die EDPB-Leitlinien und Stellungnahmen sind formal keine verbindlichen Rechtsnormen. Verbindliche technische Standards entstehen primär im Rahmen des AI Acts, also durch harmonisierte Normen und delegierte Rechtsakte der EU-Kommission. Der EDPB ist nicht selbst Normgeber im technischen Sinne.

Gleichzeitig wäre es naiv, diesen Unterschied als praxisrelevant zu behandeln. Nationale Datenschutzbehörden orientieren sich bei Prüfverfahren, Bußgeldentscheidungen und Empfehlungen direkt an EDPB-Dokumenten. Wer die Guidelines 4/2024 ignoriert und darauf verweist, sie seien „nicht bindend“, wird in einer Behördenprüfung wenig Gehör finden. De facto sind die EDPB KI-Standards der Maßstab, an dem sich KI-Architekturen in Europa heute messen lassen müssen.

Dazu kommt eine kritische Passage aus Opinion 28/2024, die Juristen bereits intensiv diskutieren: Der EDPB scheint zu suggerieren, dass nach erfolgreicher Anonymisierung die DSGVO nicht mehr auf die anonymisierten Daten anwendbar ist – selbst wenn diese ursprünglich rechtswidrig erhoben wurden. Experten, darunter Kommentare im European Law Blog, warnen, dass dies eine problematische Anreizstruktur schaffen könnte: Wer zunächst rechtswidrig Daten erhebt und sie dann anonymisiert, könnte damit nachträglich dem DSGVO-Rahmen entkommen. Diese Auslegung ist ausdrücklich umstritten und sollte für Praxisentscheidungen nicht als gesicherte Rechtsauffassung behandelt werden.

Konkrete Anforderungen: Was Unternehmen jetzt dokumentieren müssen

Aus den belegten EDPB-Dokumenten lassen sich sechs technische Anforderungsbereiche destillieren, die Unternehmen mit KI-Systemen im EU-Markt heute angehen müssen. Das ist keine vollständige Compliance-Checkliste – aber es ist der Kern dessen, was Behörden prüfen werden.

  • Anonymisierungsnachweis: Dokumentierte Bewertung, ob Re-Identifikationsrisiken über Singling-out, Linkability und Inference tatsächlich als unerheblich gelten können. Nicht als einmalige Behauptung, sondern als technisch belegte Einschätzung.
  • Resistenztests: Durchgeführte und protokollierte Tests gegen Membership-Inference-Angriffe und Model-Reconstruction-Szenarien. Ergebnisse müssen Teil der Compliance-Dokumentation sein.
  • DPIA mit KI-Spezifika: Risikobewertung entlang aller vier Dimensionen (Vertraulichkeit, Integrität, Verfügbarkeit, Re-Identifikation) plus dokumentierte Minderungsmaßnahmen.
  • Privacy-by-Design-Nachweis: Architektonische Trennung von Trainings- und Produktionsdaten, rollenbasierte Zugriffssteuerung, Logging aller Modellzugriffe.
  • Verschlüsselung: At-rest und in-transit, mit dokumentierter Implementierung, nicht nur als pauschale Behauptung im Datenschutzkonzept.
  • Legitimate-Interest-Test: Dreistufige Dokumentation bei der Nutzung personenbezogener Trainingsdaten, inklusive geprüfter Alternativen wie anonymisierten oder aggregierten Datenquellen.

Der letzte Punkt ist für viele Startups und KI-Anbieter der unangenehmste. Wer bisher Web-Scraping-Daten als Trainingsgrundlage genutzt hat, ohne einen dokumentierten Legitimate-Interest-Test durchzuführen, steht vor einem erheblichen Compliance-Rückstand. Datenschutz KI-Architektur nachzurüsten ist teuer – es nachträglich zu dokumentieren, ohne es wirklich implementiert zu haben, ist gefährlicher.

Praktische Konsequenzen für Entwicklungsteams und Datenschutzbeauftragte

Die sechs Anforderungsbereiche klingen auf dem Papier überschaubar, entfalten in der Praxis aber erhebliche organisatorische Konsequenzen. Entwicklungsteams, die bisher in schnellen Iterationszyklen gearbeitet haben, müssen künftig Datenschutzprüfungen als festen Bestandteil des Build-Test-Deploy-Zyklus integrieren. Das betrifft nicht nur die Modellentwicklung selbst, sondern auch die Daten-Pipeline: Wo kommen Trainingsdaten her, wie werden sie gefiltert, wann werden sie gelöscht?

Datenschutzbeauftragte stehen vor der Aufgabe, technische Dokumentation zu beurteilen, für die sie oft keine eigene Expertise mitbringen. Ein Resistenztest gegen Membership-Inference-Angriffe ist kein juristisches Dokument – er ist ein technisches Prüfprotokoll. Die Zusammenarbeit zwischen Datenschutzbeauftragten und ML-Ingenieuren wird damit zu einer strukturellen Anforderung, nicht zu einem optionalen Best-Practice-Tipp. Unternehmen, die hier frühzeitig gemeinsame Sprachen und Prozesse entwickeln, sparen erheblichen Aufwand bei späteren Behördenprüfungen.

Ein konkretes Praxisszenario: Ein mittelständisches Unternehmen entwickelt ein internes Chatbot-System, das auf HR-Dokumenten und Mitarbeiterdaten feinabgestimmt wurde. Nach den EDPB KI-Standards reicht es nicht aus, darauf hinzuweisen, dass der Chatbot intern betrieben wird und keine Daten nach außen sendet. Gefordert ist ein dokumentierter Nachweis, dass das Modell keine personenbezogenen Mitarbeiterdaten über gezielte Abfragen rekonstruierbar speichert – und ein Protokoll der durchgeführten Tests, das im Zweifel einer Aufsichtsbehörde vorgelegt werden kann.

Nationaler Trend: Branchenspezifische Leitfäden werden zunehmen

Der EDPB gibt die Richtung vor, aber nationale Behörden füllen sie mit Inhalt. Das Beispiel ONKIDA aus Baden-Württemberg zeigt, wie ein Orientierungsrahmen für spezifische Domänen – öffentliche Verwaltung, HR-KI, automatisierte Entscheidungen – die abstrakten EDPB KI-Standards in konkrete Mindestanforderungen übersetzt. Das ist der Weg, den Behörden in mehreren EU-Mitgliedstaaten gehen werden.

Für Unternehmen bedeutet das: Die relevante Compliance-Frage ist nicht nur „Was sagt der EDPB?“, sondern auch „Was fordert die zuständige nationale Aufsichtsbehörde für meinen Anwendungsbereich?“ Gesundheits-KI, Finanz-KI und Bildungs-KI werden voraussichtlich eigene Leitfäden bekommen, die technische Mindestschutzanforderungen deutlich schärfer formulieren als die allgemeinen EDPB-Dokumente. Wer das heute antizipiert und Datenschutz KI-Architektur als modulares Fundament anlegt, ist besser positioniert als jemand, der auf jede neue Behördenveröffentlichung reaktiv antwortet.

Gleichzeitig bleibt eine unbequeme Wahrheit: Die technischen Kapazitäten vieler Datenschutzbehörden halten mit dem Tempo der KI-Entwicklung nicht Schritt. EDPB-Leitlinien entstehen in Konsultationsprozessen, die Monate dauern – während Foundation Models in Quartalszyklen neue Versionen veröffentlichen. Das ist eine strukturelle Spannung, die sich nicht durch mehr Leitlinien auflöst. Wie Behörden diesen Rückstand in der Praxis kompensieren werden, bleibt eine der offenen Fragen dieses Regulierungsfelds.

Gegenargumente: Hemmt die Regulierung europäische KI-Innovation?

Die Anforderungen aus den EDPB-Dokumenten stoßen nicht überall auf Zustimmung. Ein verbreitetes Gegenargument lautet, dass strenge Datenschutzanforderungen europäische KI-Unternehmen gegenüber US-amerikanischen und chinesischen Wettbewerbern strukturell benachteiligen, weil diese auf deutlich größere und weniger regulierte Datenpools zugreifen können.

Dieses Argument ist nicht ohne Substanz. Wer für jeden Resistenztest Ressourcen aufwenden muss und jeden Datensatz auf Re-Identifikationsrisiken prüfen soll, hat höhere Entwicklungskosten als ein Wettbewerber, der diese Anforderungen nicht kennt. Besonders für kleine Unternehmen und Startups ohne dedizierte Datenschutz- und Sicherheitsteams kann das zur echten Belastung werden.

Auf der anderen Seite steht das Argument, dass europäische KI-Systeme durch nachweisbare Datenschutzarchitektur mittelfristig einen Vertrauensvorsprung erarbeiten können – insbesondere in regulierten Branchen wie Gesundheit, Finanzdienstleistungen und öffentlicher Verwaltung, wo Datenschutz kein Nice-to-have, sondern Voraussetzung für den Einsatz ist. Welche dieser Perspektiven die Realität stärker prägen wird, lässt sich heute noch nicht abschließend beurteilen. Klar ist: Unternehmen, die Datenschutz KI-Architektur als Investition statt als Kostenfaktor verstehen, dürften langfristig besser aufgestellt sein.

Was bleibt – und was Sie jetzt tun sollten

Der EDPB hat mit den Dokumenten aus 2024 klargemacht, dass KI-Systeme keine regulatorische Sonderzone sind. Die EDPB-Leitlinienübersicht zu Künstlicher Intelligenz listet alle relevanten Dokumente und zeigt, wie dicht das normative Geflecht inzwischen geworden ist. Privacy by Design, Resistenztests gegen Privacy-Angriffe, strukturierte DPIAs und dokumentierte Anonymisierungsnachweise sind keine bürokratischen Extraanforderungen – sie sind der technische Mindeststandard für KI-Systeme, die personenbezogene Daten verarbeiten.

Unternehmen, die heute mit dem Aufbau dieser Dokumentation beginnen, investieren nicht nur in Compliance. Sie schaffen die Grundlage für belastbare KI-Systeme, bei denen Datenschutz und Sicherheit tatsächlich im Modell verankert sind, nicht nur im Begleitpapier. Der Unterschied wird sichtbar, wenn die erste Behördenprüfung kommt.

Die entscheidende Frage ist nicht ob Behörden die EDPB KI-Standards als Prüfmaßstab anlegen werden – sondern ob Ihr Unternehmen bis dahin belegen kann, dass kritische Vertraulichkeitslücken in Ihrer KI-Architektur systematisch identifiziert und geschlossen wurden. Haben Sie schon begonnen, diese Dokumentation aufzubauen?

Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.