Ctrl+C, Ctrl+Comply: Der Aufstieg von KI-gestützten DSARs
Das Bewusstsein der Einzelnen für ihre Datenschutzrechte, teilweise durch hochkarätige Rechtsstreitigkeiten angeheizt, hat zu einem anhaltenden Anstieg der Anfragen von betroffenen Personen (DSARs) geführt, die Organisationen erhalten. Dieser Anstieg wird teilweise durch maschinell generierte Anfragen vorangetrieben, wobei generative KI detaillierte und umfassende DSARs in Sekundenschnelle erstellt und die Hürden für das Verfassen komplexer und weitreichender Forderungen senkt.
Künstliche Intelligenz in der Praxis: Umfang und Komplexität von DSARs
Nach der DSGVO und dem Datenschutzgesetz haben Einzelpersonen das Recht auf Bestätigung der Verarbeitung und Zugang zu ihren personenbezogenen Daten, zusammen mit Informationen über Quellen, Aufbewahrung und Schutzmaßnahmen. DSARs hatten daher schon immer das Potenzial, weitreichend zu sein, aber KI-generierte Anfragen überschreiten routinemäßig einfache Fragen wie „Was haben Sie über mich?“ und versuchen stattdessen, jede denkbare Datenart über jedes denkbare System zu verlangen: E-Mails und Anhänge, Messaging-Plattformen, Protokolle von Anrufen, Ticket-Systeme, Personalakten, CCTV und Zugangsprotokolle. Sie fordern auch häufig die Offenlegung von Suchparametern, den relevanten Systemen und Audit-Trails sowie detaillierte Erklärungen zu etwaigen Schwärzungen oder Ausnahmen.
Diese Rahmenbedingungen können echte Konsequenzen für Arbeitsaufwand und Verteidigungsfähigkeit haben. Wenn die Organisation keinen disziplinierten Prozess hat, besteht das Risiko einer ausufernden, unklaren Suche, die hohe Überprüfungskosten und Verzögerungen erzeugt. Wenn man sogar nur eine kleine Anzahl weiterer DSARs hinzufügt, kann es schnell schwierig werden, die Ergebnisse zu verwalten.
Identifizierung von KI-generierten DSARs
Eine Organisation sollte eine ansonsten gültige DSAR nicht ablehnen, nur weil sie in ihrem Ton, Stil oder aufgrund des Verdachts auf die Nutzung von KI verdächtig erscheint. Dennoch kann eine frühe Erkennung der Merkmale einer KI-verfassten Anfrage helfen, Komplexität abzuschätzen, den Aufwand zu schätzen und effektiv mit dem Antragsteller zu kommunizieren.
Häufige Indikatoren für KI-verfasste DSARs sind:
- Ungewöhnlich formale oder US-zentrierte Terminologie, die im Widerspruch zur Sprache steht, die die Person normalerweise verwenden würde.
- Ausführliche Standardtexte, die jedes gesetzliche Recht und jede Ausnahme namentlich aufführen.
- Unzusammenhängende Behauptungen, die mehrere Rechtsordnungen umfassen oder nicht anwendbare Regelungen zitieren.
- Inkonsistente persönliche Daten, Pronomen oder Formatierungen, die auf kopierten Inhalt hindeuten.
- Identische oder nahezu identische Texte aus mehreren Anfragen, die in kurzer Zeit eingegangen sind.
Keine dieser Eigenschaften ist für sich allein schlüssig, aber zusammen können sie ein nützliches frühes Signal dafür liefern, dass eine Anfrage in der Triage-Phase näher betrachtet werden sollte.
Was Organisationen tun können
Die Beantwortung aller DSARs, unabhängig davon, ob sie KI-unterstützt sind oder nicht, erfordert ein Verständnis dessen, was angefragt wird, und die Fähigkeit, dieses Verständnis in eine dokumentierte, angemessene und verhältnismäßige Suchstrategie umzusetzen.
Nach dem Datenschutzgesetz müssen Verantwortliche angemessene und verhältnismäßige Suchen durchführen, anstatt alle personenbezogenen Daten, die die Organisation über den Antragsteller haben könnte, umfassend zu durchforsten. Das Gesetz ermöglicht es den Verantwortlichen auch, die gesetzliche Frist „anzuhalten“, um Klarstellungen zu suchen, wenn eine Anfrage unklar oder zu weit gefasst ist.
Frühe Engagement on Scope
Wenn eine DSAR wie eine „Küchen-Sink“-Anfrage aussieht, kann es von Vorteil sein, den Antragsteller frühzeitig einzubeziehen:
- Bitten Sie den Antragsteller, klarzustellen, wonach er tatsächlich sucht, indem er sich auf spezifische Systeme, Zeiträume oder Dokumenttypen bezieht.
- Erklären Sie, dass klarere Parameter Ihnen helfen werden, die Suchen zu fokussieren und genaue Antworten zu liefern.
- Gestalten Sie den Prozess als konstruktiven Dialog und nicht als Verzögerungstaktik, während Sie transparent mit dem Antragsteller kommunizieren, dass die gesetzliche Frist ausgesetzt wird, bis eine Antwort vorliegt.
Wenn dies gut gemacht wird, hilft eine frühzeitige Klärung des Umfangs den Organisationen, eine verhältnismäßige, effiziente und genaue Antwort zu geben, während die Überprüfung irrelevanter Materialien minimiert und die gesamte administrative Belastung bei der Beantwortung der DSAR verringert wird.
Dokumentation von Entscheidungen zur Verhältnismäßigkeit
Sobald eine Organisation bestimmt hat, was eine angemessen verhältnismäßige Suche darstellt, sollte sie den gewählten Umfang, die einbezogenen (und ausgeschlossenen) Systeme, die berücksichtigten Faktoren und die Begründung, die diese Faktoren mit den relevanten gesetzlichen Bestimmungen und regulatorischen Richtlinien verknüpft, dokumentieren. Dieser Prozess hilft zu zeigen, dass der gewählte Ansatz durchdacht, verteidigbar und auf die jeweilige Anfrage zugeschnitten war.
Die Dokumentation von Entscheidungen ist besonders wichtig in der aktuellen Umgebung, da Regulierungsbehörden selbst von der Auswirkung KI-gestützter Entwürfe betroffen sind – am sichtbarsten in den steigenden Beschwerdevolumina über unter anderem die Bearbeitung von DSARs. Aktuelle Berichte haben gezeigt, dass Beschwerden im Zusammenhang mit Artikel 15 der DSGVO nach wie vor die größte Kategorie von Datenschutzbeschwerden ausmachen, wobei die Zahlen von Jahr zu Jahr steigen.
Ähnlich berichtete die Datenschutz- und Informationsfreiheitskommission von Berlin, dass sie im Jahr 2025 fast 50 % mehr Datenschutzbeschwerden als 2024 erhalten hat. Die Kommission identifizierte KI als Haupttreiber dieses Anstiegs und stellte fest, dass die rechtlichen Bewertungen, auf denen KI-generierte Ansprüche basieren, oft unvollständig oder schlichtweg falsch sind.
Fazit: Die Herausforderung moderner DSARs meistern
Während KI zu einem Anstieg von DSARs und den damit verbundenen Beschwerden beiträgt, kann sie auch Teil des Compliance-Tools einer Organisation sein, vorausgesetzt, sie wird durchdacht und mit angemessener Aufsicht eingesetzt. Organisationen nutzen zunehmend KI-gestützte Lösungen, um Teile ihres DSAR-Prozesses zu rationalisieren und zu skalieren. Unter anderem können KI-Plattformen die Datenermittlung und -klassifizierung automatisieren, indem sie durch strukturierte und unstrukturierte Quellen suchen, um relevante personenbezogene Daten schnell und genau zu identifizieren, was den manuellen Aufwand und menschliche Fehler reduziert.
Durch die Kombination dieser Technologien mit menschlicher Überprüfung, die für alle DSARs wichtig bleibt, insbesondere für solche mit komplexen oder herausfordernden Sachverhalten, können rechtliche und Compliance-Teams die Herausforderung des Anstiegs von DSARs in eine Gelegenheit verwandeln, die Effizienz zu steigern, die Genauigkeit zu verbessern und die Compliance in der gesamten Organisation zu stärken.
