EU-Kommission, KI-Training

EU-Kommission will KI-Training per „berechtigtes Interesse erlauben

04.12.2025 - 12:59:12

EU-Kommission will KI-Training per „berechtigtes Interesse erlauben - Foto: über boerse-global.de
EU-Kommission will KI-Training per „berechtigtes Interesse" erlauben - Foto: über boerse-global.de

Die Regeln für künstliche Intelligenz werden konkret: Während Brüssel mit dem „Digital Omnibus”-Entwurf die DSGVO für KI-Entwickler lockern will, führt Australien seit dieser Woche verpflichtende Risikobewertungen ein. Für deutsche Unternehmen bedeutet das: Wer KI im Personalbereich einsetzt, muss sofort handeln.

Was in den letzten 72 Stunden als juristisches Fachthema begann, entwickelt sich zum Grundsatzstreit über die Zukunft der Datenverarbeitung. Die Fronten sind klar: Innovation gegen Datenschutz. Und mittendrin stehen Unternehmen, die nicht wissen, welche Regeln morgen gelten.

Der Kern der Debatte: Artikel 88c, den die EU-Kommission Ende November als Teil des „Digital Omnibus” vorgeschlagen hat. Die Neuregelung würde erstmals ausdrücklich erlauben, personenbezogene Daten für das Training von KI-Modellen auf Basis des „berechtigten Interesses” nach Artikel 6 Absatz 1 Buchstabe f DSGVO zu verarbeiten – ohne vorherige Einwilligung der Betroffenen.

Anzeige

Passend zum Thema KI‑Regulierung: Seit August 2024 gelten neue Vorgaben zur Klassifizierung, Kennzeichnung und Dokumentation von KI‑Systemen — viele Unternehmen sind noch unvorbereitet. Unser kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt Risikokategorien, Kennzeichnungspflichten, Dokumentationsanforderungen und welche Nachweise Sie jetzt parat haben müssen, um Bußgelder und operative Risiken zu vermeiden. Enthält Checklisten für DSFA, Kennzeichnungs‑Templates und einen Step‑by‑Step‑Plan für die nächsten 90 Tage. Jetzt kostenlosen KI‑Verordnungs‑Leitfaden herunterladen

Bislang bewegten sich viele KI-Projekte in einer Grauzone. Durfte man Millionen von Datensätzen für Sprachmodelle nutzen? Brauchte man dafür Zustimmung? Die Antwort war unklar, viele Datenschutz-Folgenabschätzungen stagnierten genau an dieser Frage.

Die Kommission argumentiert pragmatisch: KI-Innovation benötige riesige Datenmengen. Ein striktes Einwilligungsmodell sei schlicht nicht praktikabel. Doch die neue Regelung kommt nicht ohne Auflagen. GamingTechLaw analysierte am 1. Dezember die Details:

  • Verschärfte Datensparsamkeit: Unternehmen müssen nachweisen, dass personenbezogene Daten zwingend erforderlich sind
  • Unbedingtes Widerspruchsrecht: Betroffene können jederzeit verlangen, aus Trainingsdaten entfernt zu werden
  • Vorrang synthetischer Daten: Entwickler müssen begründen, warum anonymisierte oder künstlich erzeugte Daten nicht ausreichen

Klingt nach Kompromiss? Datenschützer sehen das anders.

Gewerkschaften warnen vor Deregulierung

Die Kritik ließ nicht lange auf sich warten. Social Europe veröffentlichte am 2. Dezember eine scharfe Analyse: Die Reform verwandle das „berechtigte Interesse” in eine „Hintertür für KI-Training, die die DSGVO nie vorsah”. Besonders brisant: Die Lockerung könnte Arbeitnehmerrechte aushöhlen, wenn KI zur Leistungsüberwachung eingesetzt wird.

Die Gewerkschaftsperspektive ist eindeutig: Bisher erforderten solche Systeme strenge Datenschutz-Folgenabschätzungen. Mit der neuen Regelung könnte die Beweislast faktisch umgekehrt werden – nicht mehr das Unternehmen muss Erlaubnis einholen, sondern der Beschäftigte muss widersprechen.

Australien macht Ernst mit Pflicht-Bewertungen

Während in Europa noch diskutiert wird, handelt Australien. Am 1. Dezember veröffentlichte die Digital Transformation Agency Version 2.0 ihrer KI-Richtlinie für Behörden. Ab dem 15. Dezember gilt: Jede nicht-kommerzielle Bundeseinrichtung muss für KI-Anwendungen ein verpflichtendes Impact Assessment durchführen.

Die Anforderungen sind konkret:
* Verantwortliche Beamte: Jede Behörde benennt einen KI-Beauftragten
* Transparenzerklärungen: Öffentliche Dokumentation aller KI-Einsätze
* Risikostufen: Das Assessment-Tool kategorisiert Anwendungsfälle und definiert je nach Risiko unterschiedliche Prüftiefen

Branchenbeobachter werten das australische Modell als Blaupause: „Hier sieht man, wie ein rigoroser DPIA-Prozess praktisch aussieht – mit konkreten, prüfbaren Nachweisen statt vagen Prinzipien.”

Deutsche Arbeitgeber müssen HR-Systeme prüfen

Für deutsche Unternehmen wird es konkret. Die Düsseldorfer Kanzlei Hoffmann Liebs stellte heute klar: KI-Systeme in Personalabteilungen – etwa für Recruiting, Aufgabenverteilung oder Leistungsbewertung – gelten nach dem EU-KI-Gesetz eindeutig als Hochrisiko-Anwendungen.

Das bedeutet: Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO ist Pflicht. Die Kanzlei warnt deutsche Arbeitgeber vor drei kritischen Punkten:

  1. Alternativenprüfung dokumentieren: Warum reichen herkömmliche Methoden nicht aus?
  2. Echte menschliche Kontrolle: Keine Schein-Aufsicht, sondern substanzielle Prüfinstanzen
  3. Bias-Erkennung: Trainingsdaten müssen vor dem Einsatz auf diskriminierende Muster getestet werden

Der Rat der Juristen: Nicht auf 2026 warten, bis die KI-Verordnung vollständig greift. Wer jetzt keine Risikobasis schafft, riskiert später rückwirkende Compliance-Verstöße.

Das Dilemma: Innovation oder Kontrolle?

Die Entwicklungen der vergangenen Woche offenbaren den Kernkonflikt der KI-Regulierung: Wie viel Datenzugang braucht Innovation? Wie viel Kontrolle verträgt sie?

Brüssels Schwenk zum „berechtigten Interesse” zielt offensichtlich darauf ab, die KI-Entwicklung nicht in weniger regulierte Länder abwandern zu lassen. Indem die Kommission diese Rechtsgrundlage kodifiziert, schafft sie Klarheit für Entwickler, die jahrelang in der Grauzone operierten.

Doch der Preis ist hoch: Die Schutzlast verschiebt sich vom Datensammler zum Individuum. Nicht mehr „Ich muss zustimmen”, sondern „Ich muss widersprechen” wird zum Standard. Für Datenschutz-Folgenabschätzungen ändert das alles. Künftig müssen Unternehmen weniger die Rechtmäßigkeit der Datenerhebung nachweisen, dafür aber umso mehr die Wirksamkeit ihrer Schutzmaßnahmen: Wie einfach ist der Widerspruch? Wie effektiv die Anonymisierung?

Was 2026 bringt

Compliance-Verantwortliche sollten sich auf drei Entwicklungen einstellen:

Parlamentsschlacht um Artikel 88c: Datenschutzverbände werden im Europaparlament auf strengere Opt-in-Vorgaben für sensible Daten drängen. Der aktuelle Entwurf ist erst der Auftakt.

Verbreitung standardisierter Tools: Das australische Assessment-Instrument dürfte weltweit Nachahmer finden. Auch die BaFin und das BSI könnten ähnliche Frameworks für den deutschen Markt entwickeln.

Klagewelle steht bevor: Mit der neuen „berechtigten Interesse”-Tür werden Gerichte bald prüfen müssen, ob die Schutzmaßnahmen der Unternehmen tatsächlich ausreichen. Die ersten Musterklagen sind nur eine Frage der Zeit.

Die Botschaft aus Brüssel und Canberra ist unmissverständlich: Die Ära des unregulierten KI-Experimentierens ist vorbei. Ob durch neue Rechtsgrundlagen oder Pflicht-Assessments – Dokumentation und Risikomanagement sind ab sofort der Eintrittspreis für KI-Projekte.

Anzeige

PS: Setzen Sie KI im HR-Bereich ein oder verantworten Compliance? Dann ist eine praktische Umsetzungscheckliste unverzichtbar. Unser gratis E‑Book zur EU‑KI‑Verordnung fasst Kennzeichnungs‑ und Dokumentationspflichten, Risikokategorien sowie Übergangsfristen zusammen und liefert sofort anwendbare Schritte für Datenschutz‑Folgenabschätzungen und prüfbare Dokumentation. Nutzen Sie die Vorlagen, um Ihre nächsten Schritte präzise zu planen und prüffähig gegenüber Aufsichtsbehörden zu werden. Gratis Umsetzungsleitfaden zur EU‑KI‑Verordnung anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler