EDPS Guidelines — der EU-Datenschutzbeauftragte zu KI
Compliance · 8 min · Stand: Mai 2026
Wer ist der EDPS?
Der European Data Protection Supervisor wurde 2004 eingerichtet. Aufgaben: (a) Überwachung des Datenschutzes innerhalb der EU-Institutionen (Kommission, Parlament, Rat, Agenturen), (b) Beratung des EU-Gesetzgebers bei datenschutzrelevanten Vorhaben, (c) Veröffentlichung von Leitlinien und Stellungnahmen. Sitz: Brüssel. Aktueller Supervisor (Stand 2026): Wojciech Wiewiórowski.
Welche EDPS-Dokumente sind relevant für KI?
| Dokument | Worum es geht |
|---|---|
| Generative AI & EUDPR Orientations (2024) | Praxisleitfaden für den DSGVO-konformen Einsatz generativer KI in EU-Institutionen — gilt analog für jeden EU-Verantwortlichen. |
| TechDispatch on Generative AI | Technische Analyse: Wie generative Modelle personenbezogene Daten verarbeiten und welche Datenschutz-Risiken entstehen. |
| Opinion on the EU AI Act Proposal | EDPS-Stellungnahme zum Verordnungsentwurf — kritisch zu Lücken bei Grundrechten und Massenüberwachung. |
| Joint Opinion EDPB-EDPS | Gemeinsame Stellungnahme mit dem European Data Protection Board zum Zusammenspiel von DSGVO und EU AI Act. |
Die 10 Praxis-Empfehlungen des EDPS
Aus den „Generative AI & EUDPR Orientations" lassen sich die zentralen Empfehlungen herausfiltern. Sie sind für KMUs direkt anwendbar:
1. DPIA vor Einsatz
Vor dem Einsatz generativer KI: Datenschutz-Folgenabschätzung durchführen. Auch bei „nur internem" Einsatz, sobald personenbezogene Daten verarbeitet werden.
2. Rechtsgrundlage explizit dokumentieren
Art. 6 DSGVO — auf welcher Grundlage werden Daten zu KI-Prompts? Berechtigtes Interesse, Einwilligung, Vertragserfüllung. Pauschale Begründungen reichen nicht.
3. Datenminimierung im Prompt
Keine personenbezogenen Daten in Prompts ohne Notwendigkeit. Pseudonymisierung wo möglich. Mitarbeitende schulen, keine Kundendaten in ChatGPT zu kopieren.
4. Transparenz gegenüber Betroffenen
Datenschutzerklärung muss KI-Nutzung benennen. Wer wird mit welchen Daten gegenüber welchem Anbieter geprompted? Klare Sprache, keine Formulierungs-Floskeln.
5. Sub-Auftragsverarbeiter erfassen
Welche Sub-Provider nutzt der KI-Anbieter? Azure-OpenAI über Microsoft, OpenAI direkt, Anthropic via Bedrock — Datenfluss-Diagramme erstellen.
6. Drittlandtransfer prüfen
US-Anbieter: TADPF (Trans-Atlantic Data Privacy Framework) prüfen. Bei Nicht-Beitritt: SCC plus zusätzliche Maßnahmen nach Schrems-II-Doktrin.
7. Aufbewahrung und Löschung
Wie lange speichert der Anbieter Prompts und Outputs? Gibt es ein Opt-Out für Training auf Nutzerdaten? Schriftlich fixieren.
8. Betroffenenrechte sicherstellen
Auskunft, Berichtigung, Löschung — wie umgesetzt bei einem Modell, das Daten in Gewichten gespeichert hat? Prozess vor Einsatz dokumentieren.
9. Menschliche Aufsicht über KI-Outputs
Keine automatisierten Entscheidungen mit rechtlicher Wirkung allein durch KI (Art. 22 DSGVO). Review-Schritte einbauen, Eskalationspfade dokumentieren.
10. Schulung und Awareness
Mitarbeitende müssen Risiken kennen — Halluzinationen, Bias, Datenleck. Deckt sich mit Art. 4 EU AI Act (KI-Kompetenz).
Warum sind EDPS-Guidelines auch für KMUs relevant?
Formal richten sich die Guidelines an EU-Institutionen — KMUs unterliegen der nationalen Aufsichtsbehörde (DSB in Österreich, LfDI/BfDI in Deutschland, EDÖB in der Schweiz für EU-Berührungspunkte). Praktisch orientieren sich diese Behörden aber an den EDPS-Veröffentlichungen, und die Guidelines sind oft die einzige zugängliche Konkretisierung dessen, was „DSGVO-konformer KI-Einsatz" bedeutet.
Wer im Audit gegenüber einer nationalen Aufsichtsbehörde nachweisen kann, dass die EDPS-Empfehlungen berücksichtigt wurden, hat einen starken Argumentationsboden.
Zusammenspiel mit dem EU AI Act
| Aspekt | DSGVO + EDPS | EU AI Act |
|---|---|---|
| Fokus | Personenbezogene Daten | KI-Systeme als Produkt |
| Risiko-Logik | Risiko für Rechte/Freiheiten Betroffener | Risikoklassen (Verboten/High/Limited/Minimal) |
| Instrument | DPIA (Art. 35 DSGVO) | Konformitätsbewertung + FRIA (Art. 27 für Behörden) |
| Strafrahmen | EUR 20 Mio. oder 4% Umsatz | EUR 35 Mio. oder 7% Umsatz (Art. 5) |
| Synergien | Datenschutz-Pflichten | DPIA kann mit KI-Risikobewertung kombiniert werden |
Praxis-Empfehlung
Für KMUs: Die EDPS-Orientations zu Generative AI als Pflichtlektüre für den Datenschutzbeauftragten oder die compliance-verantwortliche Person. Ergänzend zu den nationalen Auslegungen der DSB (Österreich) bzw. LfDIs (Deutschland) und zu den Konkretisierungen des European Data Protection Board (EDPB).
Weiterführend in unserem Wiki
Weitere Inhalte auf den AI Engineering Plattformen
- • Hub: Kuratierte Compliance-Skills und MCP Server — hub.ai-engineering.at
- • YouTube: Praxis-Videos zu DSGVO & KI — @AIEngineering-at
- • LinkedIn: Updates zu Aufsichtsbehörden-Entscheidungen — Jörg Fuchs auf LinkedIn
- • GitHub: Templates und DPIA-Vorlagen — github.com/AI-Engineering-at
Quellen
War dieser Artikel hilfreich?
Nächster Schritt: Compliance in den Betrieb bringen
Nutze fertige DSGVO-Templates, Checklisten und Praxis-Guides für AI-Systeme, die dokumentiert und auditierbar sein müssen.
- Lokal und self-hosted gedacht
- Dokumentiert und auditierbar
- Aus eigener Runtime entwickelt
- Made in Austria