EN Login
T2-C20-05 tactics

EDPB Opinion 28/2024 — die zentrale KI-Datenschutz-Auslegung für 2026

Im Dezember 2024 hat das European Data Protection Board die Opinion 28/2024 zu KI-Modellen und personenbezogenen Daten verabschiedet. Diese Opinion ist 2026 das wichtigste EDPB-Dokument zur DSGVO-KI-Schnittstelle. Sie betrifft Trainings-Daten-Verarbeitung, Lawful-Basis-Anforderungen, Anonymisierungs-Standards für KI-Outputs.

Im Dezember 2024 hat das European Data Protection Board die Opinion 28/2024 zu KI-Modellen und personenbezogenen Daten verabschiedet.[1] Diese Opinion ist 2026 das wichtigste EDPB-Dokument zur DSGVO-KI-Schnittstelle. Sie betrifft Trainings-Daten-Verarbeitung, Lawful-Basis-Anforderungen, Anonymisierungs-Standards für KI-Outputs. Für Mandatsträger-Pipelines hat Opinion 28/2024 indirekte aber wichtige Bedeutung — sie prägt die Provider-Pflichten und damit die Tool-Verfügbarkeit.

Was hier untersucht wird

Dieser Tiefe-2-Artikel schließt den T2-C20-Cluster mit der EDPB-Opinion-Analyse. Die Vor-Vertiefungen T2-C20-01 bis T2-C20-04 haben einzelne DSGVO-KI-Felder behandelt. Hier wird das übergreifende EDPB-Auslegungs-Dokument erläutert.

Die zentralen Aussagen der Opinion 28/2024

Drei Kernpunkte.[1]

Kernpunkt eins: KI-Modelle sind nicht per se “anonym”. Auch wenn ein KI-Modell aus Trainings-Daten lernt, ohne diese direkt zu speichern, kann das Modell selbst personenbezogene Daten enthalten — wenn Re-Identifikation möglich ist. Die Standard-Annahme “trainierte KI-Modelle sind anonym” ist nach Opinion 28/2024 nicht haltbar.

Kernpunkt zwei: Lawful-Basis ist während des gesamten KI-Lifecycle erforderlich. Trainings-Phase, Deployment-Phase, Output-Phase — alle drei brauchen DSGVO-konforme Rechtsgrundlage. Provider tragen Verantwortung für die Trainings-Phase; Deployer für die Deployment- und Output-Phase.

Kernpunkt drei: berechtigtes Interesse als Lawful-Basis ist möglich, aber mit strenger Abwägung. Insbesondere für Web-Scraping als Trainings-Daten-Quelle: nicht pauschal zulässig, sondern fallbezogene Abwägung erforderlich.

Was das für KI-Tool-Provider bedeutet

Drei Konsequenzen für Provider 2026.

Trainings-Daten-Dokumentation. Provider müssen 2026 zunehmend dokumentieren, welche Trainings-Daten genutzt wurden, mit welcher Lawful-Basis.

Anonymisierungs-Standards. Output-Anonymisierung muss aktiv geprüft werden — nicht angenommen.

DSGVO-Konforme Modell-Updates. Bei Updates eines Modells: erneute DSGVO-Konformitäts-Prüfung.

Was das für Mandatsträger-Pipelines bedeutet

Drei Konsequenzen für Deployer-Pipelines 2026.

Konsequenz eins: KI-Output kann personenbezogene Daten enthalten — auch unerwartet. Wenn ein LLM-Output einen Namen oder identifizierende Merkmale produziert, der nicht im Prompt stand: kann das ein “Memorization-Effect” aus dem Trainings-Daten-Stadium sein. Pipeline-Output sollte auf solche unerwarteten Personen-Daten geprüft werden.

Konsequenz zwei: Provider-Verlässlichkeit prüfen. Provider, die ihre Opinion-28/2024-Compliance nicht dokumentieren können, sind 2026 Risiko-Kandidaten. EU-Datenschutz-Aufsichten können in Zukunft KI-Tools mit unklarer Compliance verbieten.

Konsequenz drei: dokumentierte Lawful-Basis pro Pipeline-Stufe. Wie in T2-C20-03 beschrieben: pro KI-berührende Stufe wird die Lawful-Basis schriftlich fixiert.

Die EDPB-Position zu Web-Scraping (besonderes Kapitel)

Opinion 28/2024 widmet ein Kapitel dem Web-Scraping als Trainings-Daten-Quelle.[1]

Web-Scraping ist nicht per se verboten, aber die Abwägung “berechtigtes Interesse vs. Betroffenen-Rechte” muss aktiv durchgeführt werden.

Erkennbare Personen-Daten (z.B. von Social-Media-Profilen) genießen besonderen Schutz.

Wegfall-Mechanismen (Opt-Out für Trainings-Daten-Inklusion) sind 2026 wichtige Compliance-Komponenten.

Für Mandatsträger-Pipelines: wenn die eigene Pipeline Web-Scraping nutzt (z.B. für Konkurrenz-Tracking via Brandwatch-ähnliche Tools), die Provider-Compliance prüfen.

Operative Konsequenzen

Drei priorisierte Empfehlungen 2026.

Priorität A: KI-Output-Audit-Routine. Pro Cut wird der KI-Output stichproben-geprüft auf unerwartete personenbezogene Daten (Namen, Identifikatoren).

Priorität B: Provider-Compliance-Dokumentation einfordern. Bei jedem KI-Tool: Anfrage an Provider, wie die Opinion-28/2024-Konformität dokumentiert ist.

Priorität C: Quartalsweise EDPB-Update-Sichtung. Neue EDPB-Opinions und nationale DPA-Stellungnahmen werden quartalsweise gesichtet.

Empfehlungen mit Priorität

Priorität A: KI-Output-Audit-Routine. — Priorität B: Provider-Compliance-Dokumentation. — Priorität C: Quartalsweise EDPB-Update-Sichtung.

Status-Hinweis

Stand 19.05.2026: Pre-Launch-Compliance-Review abgeschlossen. Bei konkretem Anwendungs- oder Streitfall ist die Konsultation eines spezialisierten Fachanwalts weiterhin empfohlen. EDPB-Opinion 28/2024 ist die wichtigste KI-DSGVO-Auslegung 2026, aber weitere EDPB-Stellungnahmen sind erwartet. Vor operativen Entscheidungen ist Datenschutz-Beauftragter-Konsultation empfohlen.

Wo das hingehört

Tiefe-1 DSGVO und KI: T1-C20. Art.-22-automatisierte-Entscheidungen: T2-C20-01. KI-Auftragsverarbeitung: T2-C20-02. Whisper-DSGVO: T2-C20-03. Voice-Cloning-Datenschutz: T2-C20-04. EU AI Act Hochrisiko: T2-C19-02.

Codex AI-Automation Sektion 13.

Quellen

  1. EDPB, Opinion 28/2024 on Certain Data Protection Aspects related to the Processing of Personal Data in the Context of AI Models, Permalink, Abruf 18.05.2026.

  2. Measured Collective, EDPB Issues New Guidelines on AI Systems and Personal Data — Key Changes, Permalink, Abruf 18.05.2026.

  3. DSGVO, Art. 6, 9, 22 — Konsolidierter Text, Permalink, Abruf 18.05.20

Verwandte Knoten
T1-C20 T2-C20-01 T2-C19-02