Betroffenenrechte und AI

Die DSGVO gibt betroffenen Personen umfangreiche Rechte — und diese gelten auch für AI-Systeme. Besonders relevant ist Art. 22 DSGVO: das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden.

Die Betroffenenrechte im AI-Kontext

1. Auskunftsrecht (Art. 15)

Betroffene können fragen: „Was wissen Sie über mich?"

Bei AI-Systemen umfasst das:

Welche personenbezogenen Daten werden verarbeitet?
Zu welchem Zweck werden sie durch AI verarbeitet?
An wen werden Daten übermittelt (inkl. AI-Provider)?
Wie lange werden Daten gespeichert?
Aussagekräftige Informationen über die involvierte Logik (bei automatisierten Entscheidungen)

Herausforderung: Wie erklärt man die „involvierte Logik" eines LLM? Die Antwort: Sie müssen nicht den Algorithmus erklären, aber den Entscheidungsprozess nachvollziehbar machen.

2. Recht auf Berichtigung (Art. 16)

Betroffene können falsche Daten korrigieren lassen.

AI-spezifisch: Wenn ein AI-System eine falsche Klassifizierung vornimmt (z. B. falsche Bonitätsbewertung), muss die Korrektur nicht nur im Output, sondern auch in den zugrunde liegenden Daten erfolgen.

3. Recht auf Löschung (Art. 17)

Das „Recht auf Vergessenwerden" — Betroffene können die Löschung ihrer Daten verlangen.

AI-Herausforderung: Kann man Daten aus einem trainierten Modell „löschen"? Praktisch kaum:

Prompt-/Response-Logs: Können und müssen gelöscht werden
Trainingsdaten: Löschung aus dem Datensatz möglich, Retraining aufwendig
Modellgewichte: Einzelne Datenpunkte sind nicht extrahierbar
Lösung: Dokumentieren Sie, dass die Daten aus dem Trainingsdatensatz entfernt wurden, und führen Sie bei Gelegenheit ein Retraining durch

4. Recht auf Einschränkung (Art. 18)

Betroffene können die Einschränkung der Verarbeitung verlangen — z. B. während einer Prüfung der Richtigkeit.

Praxis: Markieren Sie betroffene Datensätze so, dass sie von der AI-Verarbeitung ausgeschlossen werden.

5. Recht auf Datenübertragbarkeit (Art. 20)

Betroffene können ihre Daten in einem maschinenlesbaren Format erhalten.

AI-Kontext: Gilt für Daten, die der Betroffene bereitgestellt hat — nicht für AI-generierte Outputs oder Ableitungen.

Art. 22: Automatisierte Entscheidungen

Der wichtigste Artikel für AI — Art. 22 DSGVO:

Grundsatz: Betroffene haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.

Was bedeutet das konkret?

Erlaubt (kein Art. 22)	Verboten ohne Ausnahme (Art. 22)
AI-Empfehlung, Mensch entscheidet	AI entscheidet allein über Kreditvergabe
AI-Vorfilterung, Mensch trifft finale Auswahl	AI lehnt Bewerbung automatisch ab
AI-Score als Entscheidungshilfe	AI kündigt automatisch den Vertrag

Ausnahmen von Art. 22

Automatisierte Entscheidungen sind erlaubt, wenn:

Sie für einen Vertrag erforderlich sind
Sie durch EU- oder nationales Recht erlaubt sind
Die betroffene Person ausdrücklich eingewilligt hat

Bei Ausnahmen gelten zusätzliche Schutzmaßnahmen:

Recht auf menschliche Überprüfung
Recht auf Darlegung des eigenen Standpunkts
Recht auf Anfechtung der Entscheidung

Praktische Umsetzung

Maßnahme	Priorität
Prozess für Auskunftsanfragen definieren (inkl. AI-Daten)	Hoch
Human-in-the-Loop bei AI-Entscheidungen mit rechtlicher Wirkung	Kritisch
Löschkonzept für AI-Verarbeitungsdaten erstellen	Hoch
Art. 22-Compliance prüfen für alle automatisierten Entscheidungsprozesse	Kritisch

Merke: Art. 22 bedeutet nicht, dass Sie keine AI für Entscheidungen nutzen dürfen. Es bedeutet, dass ein Mensch das letzte Wort haben muss, wenn die Entscheidung rechtliche Wirkung hat oder den Betroffenen erheblich beeinträchtigt.