KI und Datenschutz: Warum dieser Konflikt nicht lösbar ist

Gastbeitrag von Prof. Dr. Angelika Kreitel, Gesellschaft für Leben und Gesundheit mbH (GLG)

Es gibt einen Satz, der in Beschaffungsgesprächen über KI-Tools fast immer fällt: „Das System ist DSGVO-konform.“ Gemeint ist damit, dass irgendwo in der Lieferkette jemand etwas unterschrieben hat.

Was dieser Satz nicht beantwortet — und nicht beantworten kann — ist die eigentlich entscheidende Frage: Wie soll ein System, das aus der Masse der Daten lebt, gleichzeitig die Rechte jedes einzelnen Betroffenen an diesen Daten wahren?

Die Antwort ist unbequem. Es kann das nicht.

Nicht ein Fehler im System. Das System selbst.

Die DSGVO basiert auf einer Vorstellung von Daten als etwas Diskretem, Kontrollierbarem, Rückverfolgbarem. Daten haben Besitzer. Sie haben Zwecke. Sie können gelöscht werden. Das ist nicht nur eine regulatorische Forderung — es ist eine Grundannahme darüber, wie Information in rechtlichen Verhältnissen existiert.

KI-Systeme — insbesondere große Sprachmodelle — operieren nach einer völlig anderen Logik. Sie übersetzen Daten in Muster, in Gewichtungen, in statistische Wahrscheinlichkeiten. Was als Information hineinging, kommt nicht als Information wieder heraus. Es ist verallgemeinert, diffundiert, eingewoben in ein Netz von Milliarden Parametern.

Das führt zu drei Widersprüchen, die sich nicht wegkonfigurieren lassen:

Die DSGVO fordert Datenminimierung — so wenig wie möglich, so zweckgebunden wie nötig. KI-Systeme brauchen das Gegenteil: Masse, Vielfalt, Quervernetzung. Nicht weil ihre Entwickler gierig sind, sondern weil Mustererkennung ohne kritische Datendichte schlicht nicht funktioniert.

Die DSGVO fordert Zweckbindung — Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. KI zieht ihre Stärke gerade aus dem Überqueren von Zweckgrenzen. Ein Modell, das aus Texten gelernt hat, generiert medizinischen Rat, juristische Einschätzungen, emotionale Reaktionen — keiner davon war der ursprüngliche Erhebungszweck.

Die DSGVO garantiert das Recht auf Löschung. Ein Sprachmodell kann dieses Recht strukturell nicht erfüllen. Es erinnert sich nicht an einzelne Datenpunkte — es hat aus ihnen gelernt. Das ist kein technisches Versagen. Es ist der Normalzustand.

Was das für Bürger, Konsumenten und Unternehmen bedeutet

Für Bürger heißt das: Rechte, die das Gesetz ihnen garantiert — Auskunft, Berichtigung, Löschung — werden durch den Einsatz von KI-Systemen faktisch nicht einlösbar. Nicht wegen böser Absicht, sondern weil die Logik des Systems diese Rechte nicht vorgesehen hat.

Für Konsumenten bedeutet es: Wenn ein KI-System entscheidet, wer einen Kredit bekommt, wer zum Vorstellungsgespräch eingeladen wird, wer welche Inhalte sieht — dann hat niemand entschieden. Ein Muster hat sich fortgesetzt. Niemand haftet für ein Muster. Und niemand kann erklären, warum genau diese Person, genau diese Entscheidung erhalten hat. Das ist nicht Transparenz — das ist organisierte Unverantwortlichkeit.

Für Unternehmen ist die Lage paradox: Sie tragen die volle rechtliche Verantwortung — nach DSGVO, nach Art. 4 KI-VO — für Systeme, die sie nicht vollständig verstehen, nicht vollständig kontrollieren und deren Entscheidungen sie im Zweifelsfall nicht erklären können. Das ist nicht die Ausnahme. Das ist der Regelfall.

Was folgt daraus?

Nicht Resignation. Aber Ehrlichkeit.

Der Konflikt zwischen KI und Datenschutz ist kein Problem, das mit einem besseren Tool, einer schlaueren Konfiguration oder einem ausführlicheren Vertrag verschwindet. Er ist in den gegensätzlichen Grundlogiken beider Systeme verankert — und wer das nicht anerkennt, schützt weder seine Nutzer noch sein Unternehmen.

Was verantwortungsvoller KI-Einsatz stattdessen verlangt, sind klare Entscheidungen: Welche Systeme dürfen welche Daten sehen? Wo bleibt menschliche Letztverantwortung — nicht als formales Feigenblatt, sondern als tatsächlich gelebte Kontrollinstanz? Und welche Fragen darf man einer KI schlicht nicht stellen?

---