Warum benötigt KI spezifische Datenschutzrichtlinien?
Systeme der künstlichen Intelligenz verarbeiten personenbezogene Daten auf grundlegend andere Weise als herkömmliche Datenverarbeitungsmethoden. Modelle des maschinellen Lernens werden mit großen Datensätzen trainiert, die personenbezogene Daten enthalten können; automatisierte Entscheidungssysteme erstellen Profile von Personen anhand von Verhaltensmustern; und generative KI kann unbeabsichtigt personenbezogene Daten aus ihrem Trainingskorpus reproduzieren. Diese Eigenschaften bergen Datenschutzrisiken, die eine spezielle Regulierung erfordern. CISOS spielen eine zentrale Rolle bei der Etablierung dieses Governance-Rahmens.
ISO 27701:2025 bietet den Rahmen für Managementsysteme zur Bewältigung dieser Risiken. Obwohl die Norm KI nicht in jeder Klausel explizit erwähnt, gelten ihre Kontrollen für die Verarbeitung personenbezogener Daten, die Zweckbindung, die Datenminimierung und die Rechte der betroffenen Personen direkt für KI-Systeme, die personenbezogene Daten verarbeiten.
Einen umfassenderen Überblick darüber, wie der Standard aufkommende Technologien berücksichtigt, finden Sie in unserem Leitfaden zu Datenschutz bei KI, IoT und Biometrie gemäß ISO 27701:2025.
Welche ISO 27701-Kontrollen gelten für KI-Systeme?
Mehrere Kategorien von Anhang A-Kontrollen haben einen direkten Bezug zur Datenschutz-Governance im Bereich KI:
| Kontrollkategorie | KI-Anwendung | Wichtige Überlegungen |
|---|---|---|
| A.2 — Bedingungen für die Erhebung und Verarbeitung | Trainingsdatenerfassung | Stellen Sie eine rechtmäßige Grundlage für die Erhebung personenbezogener Daten in Trainingsdatensätzen sicher. Dokumentieren Sie die Zweckbindung für jeden KI-Anwendungsfall. |
| A.2 — Datenschutzfolgenabschätzung | Einsatz von KI-Systemen | Führen Sie Datenschutz-Folgenabschätzungen durch, bevor Sie KI-Systeme einsetzen, die personenbezogene Daten in großem Umfang verarbeiten oder automatisierte Entscheidungen über Einzelpersonen treffen. |
| A.3 — Verpflichtungen gegenüber PII-Auftraggebern | Automatisierte Entscheidungsfindung | Implementieren Sie Mechanismen, die es Einzelpersonen ermöglichen, auf KI-gestützte Entscheidungen, die sie betreffen, zuzugreifen, diese zu verstehen und anzufechten. |
| A.4 – Datenschutz durch Design | Modellarchitektur | Techniken zum Schutz der Privatsphäre (differentielle Privatsphäre, föderiertes Lernen, Anonymisierung) in das Design von KI-Systemen einbetten |
| A.5 – Weitergabe und Übermittlung personenbezogener Daten | KI-Dienste von Drittanbietern | Steuern Sie die Datenflüsse zu Cloud-KI-Anbietern, Drittanbietern von Modellen und grenzüberschreitende KI-Verarbeitung |
Welche Überschneidungen gibt es zwischen ISO 27701 und ISO 42001?
ISO 42001 ist der internationale Standard für KI-Managementsysteme. Während ISO 27701 den Fokus auf Datenschutz und den Schutz personenbezogener Daten legt, befasst sich ISO 42001 mit der umfassenderen Steuerung von KI-Systemen, einschließlich Sicherheit, Fairness, Transparenz und Verantwortlichkeit. Organisationen, die KI-Systeme betreiben, welche personenbezogene Daten verarbeiten (insbesondere …), sollten ISO 42001 beachten. SaaS-Plattformen) sollten berücksichtigen, wie diese Standards zusammenwirken:
| Aspekt | ISO 27701:2025 | ISO 42001 | Integrationspunkt |
|---|---|---|---|
| Geltungsbereich | Datenschutz und Schutz personenbezogener Daten | Verantwortungsvolles KI-Management | KI-Systeme, die personenbezogene Daten verarbeiten, fallen in beide Bereiche. |
| Risikobewertung | Datenschutzrisiken für personenbezogene Daten | KI-Risiken einschließlich Voreingenommenheit, Sicherheit und Transparenz | Kombinierte Risikobewertung, die datenschutz- und KI-spezifische Risiken abdeckt |
| Folgenabschätzung | Datenschutzfolgenabschätzung | KI-Auswirkungsanalyse | Einheitliche Bewertung für KI-Systeme, die personenbezogene Daten verarbeiten |
| Datenamt | PII-Lebenszyklusmanagement | Trainingsdatenverwaltung | Gemeinsamer Rahmen für die Datenverwaltung, der Qualität, Herkunft und Einwilligung umfasst |
| Transparenz | Datenschutzhinweise und Informationen für betroffene Personen | Transparenz und Erklärbarkeit von KI-Systemen | Kombinierte Transparenzmaßnahmen für die KI-gestützte Verarbeitung personenbezogener Daten |
| Management System | PIMS (Klauseln 4 bis 10) | ZIELE (Klauseln 4 bis 10) | Eine gemeinsame übergeordnete Struktur ermöglicht ein integriertes Managementsystem |
Beide Standards nutzen die ISO-Harmonisierte Struktur (Abschnitte 4 bis 10), was die Integration vereinfacht. Organisationen können ein einziges integriertes Managementsystem betreiben, das Informationssicherheit (ISO 27001), Datenschutz (ISO 27701) und KI-Governance (ISO 42001) mit gemeinsamen Prozessen für Risikomanagement, interne Revision und Managementbewertung abdeckt.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche zentralen Datenschutzrisiken im Zusammenhang mit KI müssen angegangen werden?
Organisationen, die KI-Systeme zur Verarbeitung personenbezogener Daten einsetzen, sollten diese spezifischen Datenschutzrisiken in ihrem PIMS bewerten und minimieren:
Risiken der Trainingsdaten:
- Unrechtmäßige Sammlung — Personenbezogene Daten in Trainingsdatensätzen wurden möglicherweise ohne entsprechende Einwilligung oder rechtmäßige Grundlage für die Verwendung im KI-Training erhoben.
- Zweckveränderung — Ursprünglich für einen bestimmten Zweck erhobene Daten werden ohne Aktualisierung der Einwilligung oder der Rechtsgrundlage für das Training von KI-Modellen wiederverwendet.
- Vorratsdatenspeicherung — In trainierten Modellen eingebettete personenbezogene Daten bleiben über den für die ursprünglichen Daten geltenden Aufbewahrungszeitraum hinaus erhalten.
- Datenqualität — Ungenaue personenbezogene Daten in Trainingsdaten führen zu fehlerhaften Ergebnissen, die sich auf Einzelpersonen auswirken.
Verarbeitungsrisiken:
- Automatisierte Entscheidungsfindung — KI-Systeme, die Entscheidungen über Einzelpersonen (Kreditvergabe, Beschäftigung, Versicherung) treffen oder maßgeblich beeinflussen, ohne angemessene menschliche Aufsicht
- Profiling — Erstellung detaillierter Profile von Einzelpersonen durch Schlussfolgerung und Aggregation, wodurch möglicherweise sensible Informationen offengelegt werden, die nicht direkt angegeben wurden
- Neuidentifizierung — Die Kombination von KI-Ergebnissen mit anderen Datenquellen zur Reidentifizierung von Personen aus vermeintlich anonymisierten Datensätzen
- Modell auswendig lernen — Große Sprachmodelle und andere neuronale Netze, die personenbezogene Daten aus Trainingsdaten speichern und in ihren Ausgaben wiedergeben
Rechte- und Transparenzrisiken:
- Erklärbarkeit — Die Unfähigkeit, zu erklären, wie ein KI-System zu einer Entscheidung über eine Person gelangt ist, untergräbt das Recht auf aussagekräftige Informationen über die Entscheidungslogik.
- Recht auf Löschung — Schwierigkeit bei der Entfernung personenbezogener Daten aus einem trainierten Modell ohne erneutes Training (die Herausforderung des „maschinellen Verlernens“)
- Widerspruchsrecht — Sicherstellen, dass Einzelpersonen wirksam gegen KI-gestützte Profilerstellung und automatisierte Entscheidungsfindung Einspruch erheben können
Wie sollten Trainingsdaten gemäß ISO 27701 verwaltet werden?
Die Verwaltung von Trainingsdaten ist einer der wichtigsten Aspekte des Datenschutzes im Bereich KI. ISO 27701 Anforderungen Für das PII-Lebenszyklusmanagement wenden Sie sich bitte direkt an uns:
- Dokumentieren Sie die rechtliche Grundlage bei der Aufnahme personenbezogener Daten in jeden Trainingsdatensatz, wobei zu prüfen ist, ob die ursprüngliche Einwilligung auch KI-Trainingszwecke abdeckt.
- Durchführung von Datenschutz-Folgenabschätzungen vor der Verwendung personenbezogener Daten in neuen Trainingsszenarien, insbesondere wenn es sich um Daten besonderer Kategorien oder um Datenverarbeitung in großem Umfang handelt.
- Datenminimierung implementieren indem nur die für den Schulungszweck notwendigen personenbezogenen Daten verwendet werden, wobei Anonymisierung oder Pseudonymisierung angewendet wird, wenn keine vollständigen personenbezogenen Daten erforderlich sind.
- Herkunftsnachweise pflegen Dokumentation der Quelle, der Einwilligungsgrundlage und der Verarbeitungshistorie von personenbezogenen Daten in Trainingsdatensätzen
- Retentionskontrollen anwenden zu Trainingsdatensätzen, einschließlich Verfahren zur Aktualisierung oder Löschung von Datensätzen nach Ablauf der Aufbewahrungsfristen.
- Test zum Auswendiglernen durch die Beurteilung, ob trainierte Modelle personenbezogene Daten aus Trainingsdaten reproduzieren können, und die Implementierung von Risikominderungsmaßnahmen, wo Risiken identifiziert werden
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wie sieht ein Rahmenwerk zur Steuerung des Datenschutzes im Bereich KI aus?
Organisationen können ein Rahmenwerk zur KI-Datenschutzgovernance innerhalb ihres ISO 27701 PIMS aufbauen, indem sie vier Ebenen berücksichtigen:
| Schicht | Governance-Aktivitäten | ISO 27701 Ausrichtung |
|---|---|---|
| Strategisch | Datenschutzrichtlinien für KI, Grundsätze der zulässigen Nutzung, Risikobereitschaft für die KI-Verarbeitung | Klausel 5 (Führung), Anforderungen an die Datenschutzrichtlinie |
| Risiko | Risikobewertung des Datenschutzes im Zusammenhang mit KI (beginnend mit einer Lückenanalyse), Datenschutz-Folgenabschätzung für KI-Systeme, laufende Risikoüberwachung | Klausel 6 (Planung), Risikobewertung und Behandlung |
| Betrieblich | Verwaltung von Trainingsdaten, Modelltests, Gewährleistung von Rechten, Reaktion auf Vorfälle im Zusammenhang mit KI | Klausel 8 (Betrieb), Anhang A regelt |
| Sicherheit: | Interne Prüfung der Datenschutzmaßnahmen im Bereich KI, Managementbewertung, kontinuierliche Verbesserung | Klausel 9 (Leistungsbewertung), Klausel 10 (Verbesserung) |
Dieser mehrschichtige Ansatz gewährleistet, dass der Datenschutz im Bereich KI auf strategischer, Risiko-, Betriebs- und Sicherungsebene geregelt wird – die gleiche Struktur, die ISO 27701 für alle Verarbeitungstätigkeiten personenbezogener Daten vorsieht.
Für Organisationen, die der DatenschutzZusätzliche Anforderungen an automatisierte Entscheidungsfindung (Artikel 22), Datenschutz durch Technikgestaltung (Artikel 25) und Datenschutz-Folgenabschätzungen (Artikel 35) müssen in diesem Rahmen berücksichtigt werden. Die Zuordnung in Anhang D der ISO 27701:2025 stellt eine direkte Querverbindung zwischen den Kontrollmechanismen der Norm und diesen Artikeln der DSGVO her.
Warum sollten Sie sich ISMS.online für die Datenschutzgovernance im Bereich KI?
ISMS.online bietet die Plattforminfrastruktur für ein effektives Management der Datenschutzrichtlinien für KI:
- Integration mehrerer Standards — Verwalten Sie ISO 27701, ISO 27001 und ISO 42001 über eine einzige Plattform mit gemeinsamen Kontrollen und Nachweisen bei Überschneidungen der Normen.
- KI-spezifische Risikoworkflows — Konfigurieren Sie Risikoregister, um KI-Datenschutzrisiken mit benutzerdefinierten Wirkungskategorien für automatisierte Entscheidungsfindung, Profilerstellung und Trainingsdaten zu erfassen.
- Vorlagen für Folgenabschätzungen — Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen für KI-Systeme unter Verwendung strukturierter Vorlagen, die den Anforderungen von Artikel 35 der DSGVO und der ISO 27701 entsprechen
- Steuerungszuordnung — Erfahren Sie, wie die Datenschutzmaßnahmen für KI den Anforderungen von ISO 27701, ISO 42001 und der DSGVO entsprechen, wodurch Doppelarbeit vermieden und eine umfassende Abdeckung gewährleistet wird.
- Beweisführung — Verknüpfen Sie Testergebnisse, Prüfberichte, Modellkarten und Dokumentationen zur Datenverwaltung direkt mit Kontrollen zur Vorbereitung auf Audits
- Werkzeuge zur Zusammenarbeit — Weisen Sie Aufgaben im Bereich Datenschutz im Zusammenhang mit KI Datenwissenschaftlern, Ingenieuren, Rechts- und Compliance-Teams zu (einschließlich DSB), die Fortschritte über funktionale Grenzen hinweg zu verfolgen
- Kontinuierliche Überwachung — Verfolgen Sie die Wirksamkeit der KI-Datenschutzmaßnahmen im Zeitverlauf mithilfe von Dashboards, die Lücken und Verbesserungsmöglichkeiten aufzeigen.
Häufig gestellte Fragen
Behandelt ISO 27701:2025 KI-Systeme speziell?
ISO 27701:2025 enthält keine KI-spezifischen Klauseln oder Kontrollen. Ihre Anforderungen an die Verarbeitung personenbezogener Daten, Zweckbindung, Datenminimierung, Datenschutz-Folgenabschätzung und individuelle Rechte gelten jedoch uneingeschränkt für KI-Systeme, die personenbezogene Daten verarbeiten. Der Standard ist technologieneutral konzipiert, d. h. seine Prinzipien gelten unabhängig davon, ob personenbezogene Daten durch traditionelle Systeme oder KI-Algorithmen verarbeitet werden. Organisationen sollten die Kontrollen im Kontext ihrer spezifischen KI-Verarbeitungsaktivitäten interpretieren und anwenden.
Benötigen wir sowohl ISO 27701 als auch ISO 42001 für die KI-Governance?
Es hängt von den Prioritäten Ihrer Organisation ab. ISO 27701 deckt den Datenschutz und den Schutz personenbezogener Daten ab. ISO 42001 umfasst eine umfassendere KI-Governance, einschließlich Sicherheit, Fairness und Transparenz. Wenn Ihr Hauptanliegen der Schutz personenbezogener Daten ist, die von KI-Systemen verarbeitet werden, ist ISO 27701 der Ausgangspunkt. Benötigen Sie eine umfassende KI-Governance, die auch Risiken jenseits des Datenschutzes abdeckt, sollten Sie die Implementierung beider Normen in Betracht ziehen. Die gemeinsame harmonisierte Struktur ermöglicht eine unkomplizierte Integration. ISMS.online Unterstützt beide Standards auf einer einzigen Plattform.
Wie gehen wir mit dem Recht auf Löschung von Daten in trainierten KI-Modellen um?
Dies ist einer der größten Herausforderungen im Bereich Datenschutz bei KI. Sobald personenbezogene Daten (PII) zum Trainieren eines Modells verwendet wurden, erfordert deren Entfernung in der Regel ein erneutes Training. Praktische Ansätze umfassen: die Verwendung anonymisierter oder pseudonymisierter Daten für das Training, wo immer möglich; die Implementierung von Machine-Unlearning-Verfahren, sofern verfügbar; die Pflege der Trainingsdatensätze, um bei Bedarf ein erneutes Training durchführen zu können; und die Dokumentation Ihres Vorgehens bei Löschungsanträgen im Rahmen Ihres Datenschutzmanagementsystems (PIMS). Ihre Datenschutz-Folgenabschätzung sollte dieses Risiko vor der Implementierung bewerten und die Risikominderungsstrategie festlegen.
In welchem Verhältnis steht die EU-KI-Gesetzgebung zu ISO 27701?
Der EU-KI-Act reguliert KI-Systeme anhand ihres Risikogrades (inakzeptabel, hoch, begrenzt, minimal). Er ergänzt die DSGVO und damit auch die ISO 27701. KI-Systeme mit hohem Risiko unterliegen gemäß dem Act spezifischen Anforderungen an Daten-Governance, Transparenz und menschliche Aufsicht, die sich mit den Datenschutzbestimmungen der ISO 27701 überschneiden. Die Implementierung der ISO 27701 für KI-Systeme, die personenbezogene Daten verarbeiten, trägt zur Erfüllung mehrerer Anforderungen des KI-Acts bei, insbesondere in Bezug auf Datenqualität, Dokumentation und Folgenabschätzung. Der KI-Act enthält jedoch zusätzliche, nicht datenschutzrelevante Anforderungen, die von der ISO 27701 allein nicht abgedeckt werden.
Sollten wir für jedes KI-System eine Datenschutz-Folgenabschätzung durchführen?
Nicht unbedingt, aber die meisten KI-Systeme, die personenbezogene Daten verarbeiten, benötigen eine Datenschutz-Folgenabschätzung (DSFA). Artikel 35 der DSGVO fordert eine DSFA für Verarbeitungen, die voraussichtlich ein hohes Risiko für Einzelpersonen bergen. Die Leitlinien der Artikel-29-Datenschutzgruppe nennen automatisierte Entscheidungsfindung, Profiling und Verarbeitung in großem Umfang als Auslöser. KI-Systeme erfüllen häufig eines oder mehrere dieser Kriterien. Es empfiehlt sich, für jedes KI-System eine Vorprüfung durchzuführen und für diejenigen, die eines der Auslösekriterien erfüllen, eine vollständige DSFA vorzunehmen. Dokumentieren Sie Ihre Entscheidungsbegründung in Ihrem Datenschutzinformationsmanagementsystem (PIMS).
