Spanische Aufsichtsbehörde veröffentlicht detaillierte Richtlinien zu agentischen KI-Systemen und GDPR-Konformität
Im Februar 2026 veröffentlichte die spanische Datenschutzbehörde Richtlinien zu datenschutzrechtlichen Fragen im Zusammenhang mit dem Einsatz von KI-Agenten. Diese Richtlinien folgen einer früheren, ähnlichen Analyse des britischen Informationsbeauftragten.
Was ist ein KI-Agent?
Ein KI-Agent wird als ein System beschrieben, das „angemessen entsprechend seinen Umständen und Zielen handelt, flexibel auf sich ändernde Umgebungen und Ziele reagiert, aus Erfahrungen lernt und angemessene Entscheidungen unter Berücksichtigung seiner Wahrnehmungs- und Rechenbeschränkungen trifft“. Das entscheidende Merkmal ist die operative Autonomie: Ein Agent kann eigenständig Aktionen planen und anpassen, um ein Ziel zu verfolgen.
Wer ist der Verantwortliche? Wer ist der Auftragsverarbeiter?
Die Richtlinien weisen darauf hin, dass KI-Agenten aus datenschutzrechtlicher Sicht Operationen an personenbezogenen Daten durchführen können. Diese Operationen fallen unter das breite Konzept der „Verarbeitung“ gemäß GDPR. Dennoch bedeutet dies nicht, dass der KI-Agent selbst für die Verarbeitung verantwortlich ist; vielmehr wird er als technisches Mittel betrachtet, mit dem die Verarbeitung durchgeführt wird.
Wie nutzen KI-Agenten externe Dienste?
KI-Agenten verbinden sich oft mit Drittanbieter-Tools, APIs oder Online-Plattformen, um Aufgaben zu erledigen. Die Aufsichtsbehörde empfiehlt, dass Verantwortliche überprüfen, ob personenbezogene Daten an Dritte gesendet werden und wie zuverlässig diese externen Quellen sind.
Compliance-Risiken durch „Gedächtnis“
Agentische KI kann Daten in verschiedenen Gedächtnisebenen speichern, was eigene datenschutzrechtliche Probleme aufwirft. Die Aufsichtsbehörde unterstützt klare Regeln, was der Agent speichern darf und warum.
Was sollten Organisationen jetzt tun?
Die Richtlinien sind eine der umfassendsten Bewertungen der datenschutzrechtlichen Implikationen agentischer KI. Organisationen sollten klare Verantwortlichkeiten für KI-gestützte Prozesse festlegen und ein gutes Verständnis der Datenflüsse haben.
Die Aufsichtsbehörde betont, dass technologische Innovation die Anwendung bestehender Datenschutzkonzepte nicht stört. Organisationen müssen effektive Governance und Verantwortlichkeit über die Verarbeitung agentischer KI nachweisen.
