Auf einen Blick
Die CNIL und Partner haben die für den 3. Juli 2026 geplante Veröffentlichung der Ergebnisse einer 2025 durchgeführten Umfrage zur Entwicklung der Rolle des DSB im Zeitalter der KI und der KI-Verordnung angekündigt. Die Studie hebt die weit verbreitete Akzeptanz von KI, die mangelhafte Strukturierung der internen Governance und die Notwendigkeit hervor, dass DSB neue, spezifische Kompetenzen in Bezug auf die KI-Verordnung erwerben müssen. Diese Forschung ist von grundlegender Bedeutung, um zukünftige Herausforderungen und notwendige Maßnahmen zur Compliance zu verstehen.
Hintergrund
Am 3. Juli 2026 planen das Ministerium für Arbeit und Solidarität, die AFCDP (Association française des correspondants à la protection des données) und die CNIL (Commission Nationale de l'Informatique et des Libertés), die Ergebnisse einer im Jahr 2025 gestarteten Untersuchung zu veröffentlichen. Diese Untersuchung ist die 5. Ausgabe des Observatoriums zur DPO-Tätigkeit, das seit 2018 die Auswirkungen der DSGVO und nun auch der künstlichen Intelligenz (KI) und der KI-Verordnung (KIV) auf die Rolle des DSB überwacht. Die von der Afpa (Agence pour la formation professionnelle des adultes) durchgeführte Umfrage bietet eine Perspektive auf den Einsatz von KI in Organisationen, deren Governance und die von DSB im Zusammenhang mit der DSGVO und der KIV identifizierten Compliance-Herausforderungen sowie auf den Unterstützungsbedarf der DSB.
Die DSB-Profile im Jahr 2025 zeigen, dass 79% interne Mitarbeiter sind, 54% aus nicht-juristischen oder IT-Bereichen stammen, 85% der internen und gemeinsam genutzten DSB Teilzeit arbeiten und 45% über mehr als 6 Jahre Erfahrung verfügen. Der Einsatz von KI nimmt stark zu: 70% der befragten Organisationen nutzen oder planen den Einsatz von KI, wobei 81% generative KI verwenden. Zwei Drittel beziehen Lösungen von externen Anbietern. Die KI-Governance ist jedoch noch wenig strukturiert: Weniger als ein Viertel der Organisationen verfügt über eine formale Strategie oder Politik zu diesem Thema, weniger als ein Drittel hat Sensibilisierungsmaßnahmen für Mitarbeiter initiiert oder eine Charta zur KI-Nutzung verabschiedet, und nur 31% haben mit den Vorbereitungen für die Anwendung der KI-Verordnung begonnen. Die DSB sind der Meinung, dass KI-Systeme hauptsächlich personenbezogene Daten verarbeiten werden, wodurch die DSGVO im Mittelpunkt der Herausforderungen steht. Mehr als die Hälfte der befragten DSB ist häufig oder systematisch an KI-Projekten beteiligt.
Obwohl der DSB involviert sein sollte, wenn KI personenbezogene Daten verarbeitet, erwähnt die KI-Verordnung dies nicht explizit, was die Frage nach der formalen Erweiterung seiner Kompetenzen offenlässt. Dennoch geben 55% der DSB an, die KIV bereits in ihrem Verantwortungsbereich zu haben, und 71% wünschen sich eine Erweiterung dieses Bereichs auf die KIV-Compliance. Die KI-Verordnung ist jedoch noch wenig bekannt: Nur 27% der DSB geben an, ein gutes Kenntnisniveau des Textes zu haben, und 85% haben noch keine spezifische KI-Schulung absolviert. Die DSB sind für die Bewertung der DSGVO-Aspekte von KI gerüstet, es fehlen ihnen jedoch Instrumente und Methoden für die Aspekte im Zusammenhang mit der KIV.
Warum es wichtig ist
Diese Studie ist von grundlegender Bedeutung für Organisationen, die personenbezogene Daten verarbeiten, und für deren Compliance. Die zunehmende Integration von künstlicher Intelligenz, insbesondere generativer KI, in Geschäftspraktiken, kombiniert mit der bevorstehenden Anwendung der KI-Verordnung (KIV), schafft neue und komplexe Herausforderungen für den Datenschutz und die interne Governance. Die Feststellung, dass die KI-Governance in den meisten Organisationen noch wenig strukturiert ist (Mangel an formalen Strategien, Richtlinien und Mitarbeiter-Sensibilisierung), birgt erhebliche Risiken der Nicht-Compliance sowohl mit der DSGVO als auch mit der zukünftigen KIV.
Für DSB und IT-Verantwortliche ist die Notwendigkeit offensichtlich, die Kompetenzen über die DSGVO hinaus zu erweitern und ein tiefes Verständnis der KI-Verordnung einzuschließen. Das Fehlen expliziter Verweise auf den DSB in der KIV mindert die Bedeutung seiner Rolle nicht, insbesondere da KI-Systeme überwiegend personenbezogene Daten verarbeiten werden. Organisationen müssen in die spezifische Schulung ihrer DSB und in die Implementierung einer robusten KI-Governance investieren, um rechtliche, operative und reputationelle Risiken zu mindern und gleichzeitig eine verantwortungsvolle und konforme Innovation zu gewährleisten.
Was zu tun ist
- Formale Strategien und Richtlinien für den Einsatz künstlicher Intelligenz innerhalb der Organisation implementieren.
- Sensibilisierungs- und Schulungsprogramme für alle Mitarbeiter zum verantwortungsvollen Umgang mit KI und zu den relevanten Vorschriften (DSGVO und KI-Verordnung) starten.
- Den DSB systematisch von den ersten Phasen jedes KI-Projekts an einbeziehen, insbesondere wenn es die Verarbeitung personenbezogener Daten beinhaltet.
- Spezifische Schulungen für DSB zur KI-Verordnung bereitstellen, um deren Kompetenzen zu erweitern und methodische Instrumente für die Compliance zu liefern.
- Die Organisation auf das Inkrafttreten der KI-Verordnung vorbereiten, indem Auswirkungen und notwendige Änderungen bewertet werden.
Was zu vermeiden ist
- Vermeiden Sie es, KI-Systeme ohne eine strukturierte Governance und formale Richtlinien zu implementieren.
- Vermeiden Sie es, den DSB nicht in KI-Projekte einzubeziehen, insbesondere wenn diese personenbezogene Daten verarbeiten.
- Vermeiden Sie es, die spezifische Schulung von DSB zur KI-Verordnung und die Bereitstellung geeigneter Tools zu vernachlässigen.
- Vermeiden Sie es, sich nicht auf das Inkrafttreten der KI-Verordnung vorzubereiten und deren Auswirkungen zu unterschätzen.
Praktische Auswirkungen
Organisationen müssen die wachsende Integration künstlicher Intelligenz proaktiv angehen und deren Auswirkungen auf den Datenschutz und die Compliance erkennen. Das Fehlen einer robusten KI-Governance und eine unzureichende Vorbereitung des DSB auf die KI-Verordnung setzen signifikanten Risiken aus. Es ist unerlässlich, einen strategischen Ansatz zu verfolgen, der über die DSGVO hinausgeht und sicherstellt, dass KI-Systeme ethisch und im Einklang mit den neuen Vorschriften entwickelt und genutzt werden, wobei der DSB eine zentrale Garantenrolle spielt.
Empfohlene Maßnahmen
- Eine interne Strategie und Politik für den verantwortungsvollen Einsatz künstlicher Intelligenz entwickeln und formalisieren.
- Kontinuierliche Sensibilisierungs- und Schulungsprogramme für Mitarbeiter zum Einsatz von KI und zu den relevanten Vorschriften, einschließlich der KI-Verordnung, implementieren.
- Sicherstellen, dass der DSB in allen Phasen von KI-Projekten, die die Verarbeitung personenbezogener Daten beinhalten, involviert ist und ihm Ressourcen und Befugnisse zur Verfügung gestellt werden.
- In die Weiterbildung des DSB und des IT-Teams zur KI-Verordnung und ihren technischen und rechtlichen Anforderungen investieren.
- Ein internes Governance-Framework für KI etablieren, das Rollen, Verantwortlichkeiten und Prozesse zur Risikobewertung und Compliance definiert.
Zu vermeidende Fehler
- Keine formale KI-Strategie oder -Politik haben, was Raum für Unsicherheit und Risiken lässt.
- Mitarbeiter nicht ausreichend sensibilisieren, was das Risiko unsachgemäßer oder nicht konformer KI-Nutzung erhöht.
- Den DSB nicht in KI-Projekte einbeziehen, wodurch eine wichtige Gelegenheit zur Bewertung und Minderung von Datenschutzrisiken verpasst wird.
- Dem DSB und dem IT-Team nicht die notwendigen Kompetenzen und Tools für die Compliance mit der KI-Verordnung zur Verfügung stellen.
- Die transformative Wirkung von KI und der neuen Verordnung auf Geschäftsabläufe und Unternehmens-Compliance unterschätzen.
Fragen zur Selbsteinschätzung
- Hat unsere Organisation bereits eine formale Strategie oder Politik für den Einsatz von KI definiert?
- Wurden Schulungs- und Sensibilisierungsprogramme für unsere Mitarbeiter zum ethischen und konformen Einsatz von KI implementiert?
- Ist unser DSB systematisch in die Konzeption und Implementierung von KI-Systemen involviert, die personenbezogene Daten verarbeiten?
- Verfügen unser DSB und das IT-Team über ausreichende Kenntnisse der KI-Verordnung und haben sie spezifische Schulungen erhalten?
- Haben wir begonnen, die Auswirkungen der KI-Verordnung auf unsere Operationen zu bewerten und die notwendigen Änderungen für die Compliance vorzubereiten?
Verweise
Nationales Recht: Regolamento Generale sulla Protezione dei Dati (GDPR) · Regolamento IA (AI Act)
Zum Originalartikel auf CNIL (Francia) ↗
Lesen Sie auch
- PL Consulting und Studio Pfeifer & Partners: Pioniererfolg mit ISO 9001 und BIM 11 Jul 2026
- Die Rolle des DSB: Wann er Pflicht ist und warum er strategisch für Ihr Unternehmen ist 11 Jul 2026
- Chatkontrolle in Europa: Vorschlag, Debatte und Implikationen für Datenschutz und Cybersicherheit 10 Jul 2026
