Ratgeber · recht
KI und Datenschutz: was die DSGVO für KI-Tools bedeutet
Welche Datenschutzfragen KI-Anwendungen aufwerfen: Rechtsgrundlagen nach DSGVO, Eingaben in Chatbots, Trainingsdaten und der Unterschied zwischen serverbasierten und rein lokalen Tools wie dem Quiz auf ki-lernen.net.
Kaum eine Technologie hat den Alltag so schnell durchdrungen wie die künstliche Intelligenz. Ob Du einen Text zusammenfassen lässt, ein Bild generierst oder einem Chatbot eine Frage stellst: In vielen Fällen fließen dabei Daten, und nicht selten sind es personenbezogene Daten. Genau an dieser Stelle wird aus einer rein technischen Frage eine rechtliche. Denn sobald personenbezogene Daten verarbeitet werden, greift in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO).
Dieser Ratgeber ordnet ein, welche Datenschutzfragen KI-Anwendungen typischerweise aufwerfen, welche Rechtsgrundlagen es gibt und worauf Du als Nutzerin oder Nutzer achten solltest. Er erklärt außerdem, warum es einen erheblichen Unterschied macht, ob ein Tool Deine Eingaben an einen Server schickt oder alles lokal in Deinem Browser verarbeitet, so wie das Quiz auf dieser Seite.
Wann greift die DSGVO überhaupt?
Die DSGVO gilt, sobald personenbezogene Daten verarbeitet werden. Personenbezogen ist jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht: der Name, die E-Mail-Adresse, eine IP-Adresse, aber auch ein Freitext, in dem Du beiläufig erwähnst, wer wann wo etwas getan hat.
Der entscheidende Punkt bei KI-Tools ist, dass die Verarbeitung oft unsichtbar geschieht. Wenn Du einem großen Sprachmodell einen Sachverhalt schilderst, damit es Dir einen Brief formuliert, gibst Du möglicherweise Namen, Gesundheitsdaten oder Vertragsdetails preis, ohne den Vorgang bewusst als Datenverarbeitung wahrzunehmen. Aus Sicht des Rechts ist es aber genau das. Wer solche Werkzeuge geschäftlich einsetzt, wird schnell selbst zum Verantwortlichen im Sinne der DSGVO und muss die entsprechenden Pflichten erfüllen.
Wie diese Sprachmodelle technisch funktionieren und warum sie so datenhungrig sind, erläutert der Beitrag Große Sprachmodelle verstehen genauer.
Rechtsgrundlagen nach Art. 6 DSGVO
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Art. 6 DSGVO nennt mehrere mögliche Grundlagen. Für KI-Anwendungen sind vor allem drei relevant.
Die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ist die bewusste, freiwillige Zustimmung der betroffenen Person. Sie muss informiert erfolgen und lässt sich jederzeit widerrufen. Bietet etwa ein Anbieter an, Deine Chatverläufe zum Training seiner Modelle zu verwenden, braucht er dafür in vielen Fällen Deine Einwilligung.
Der Vertrag (Art. 6 Abs. 1 lit. b DSGVO) trägt eine Verarbeitung, wenn sie zur Erfüllung eines Vertrags erforderlich ist. Nutzt Du einen kostenpflichtigen KI-Dienst, ist die Verarbeitung Deiner Eingaben, soweit sie zur Leistungserbringung nötig ist, über diese Grundlage abgedeckt.
Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) erlaubt eine Verarbeitung, wenn der Verantwortliche ein berechtigtes Interesse hat und dieses die Interessen der betroffenen Person nicht überwiegt. Diese Grundlage ist flexibel, aber auch streitanfällig, weil stets eine Abwägung nötig ist.
| Rechtsgrundlage (Art. 6 DSGVO) | Kurzbeschreibung | Typischer KI-Fall |
|---|---|---|
| Einwilligung (lit. a) | Freiwillige, informierte Zustimmung, jederzeit widerrufbar | Nutzung von Eingaben für Modelltraining |
| Vertrag (lit. b) | Verarbeitung zur Vertragserfüllung erforderlich | Bezahlter KI-Dienst erbringt die vereinbarte Leistung |
| Berechtigtes Interesse (lit. f) | Interessenabwägung zugunsten des Verantwortlichen | Missbrauchserkennung, Betriebssicherheit |
Für besondere Datenkategorien, etwa Gesundheits- oder Religionsdaten, gelten zusätzlich die strengeren Voraussetzungen des Art. 9 DSGVO. Solche Daten gehören grundsätzlich nicht ungeprüft in ein KI-Tool.
Die Kernprinzipien der DSGVO
Neben der Rechtsgrundlage verlangt die DSGVO die Einhaltung einiger Grundprinzipien, die in Art. 5 DSGVO verankert sind.
Die Datenminimierung besagt, dass nur so viele Daten verarbeitet werden dürfen, wie für den Zweck wirklich erforderlich sind. Gerade bei KI, die tendenziell möglichst viele Daten aufnimmt, ist dieses Prinzip eine echte Leitplanke.
Die Zweckbindung bedeutet, dass Daten nur für den Zweck genutzt werden dürfen, für den sie erhoben wurden. Eingaben, die Du für eine Übersetzung machst, dürfen nicht ohne Weiteres für völlig andere Zwecke weiterverwendet werden.
Die Transparenz verpflichtet Anbieter, verständlich zu erklären, was mit den Daten geschieht. Das ist der Grund, warum jede seriöse Anwendung eine Datenschutzerklärung braucht.
Hinzu kommen die Betroffenenrechte. Du hast unter anderem das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) und das Recht auf Löschung (Art. 17 DSGVO). Du kannst also verlangen zu erfahren, welche Daten über Dich gespeichert sind, und deren Löschung fordern. In der Praxis der KI-Systeme ist gerade die Löschung technisch anspruchsvoll, sobald Daten in ein Modell eingeflossen sind.
Das besondere Risiko bei Chatbots
Chatbots und Assistenzsysteme verdienen eine gesonderte Betrachtung, weil sie zum ungefilterten Teilen von Informationen einladen. Der Dialog fühlt sich privat an, ist es technisch aber nicht. Was Du eintippst, verlässt in der Regel Dein Gerät und wird auf Servern des Anbieters verarbeitet.
Mit Deinen Eingaben kann grundsätzlich mehrerlei geschehen. Sie können zwischengespeichert werden, um die Antwort zu erzeugen. Sie können länger aufbewahrt werden, etwa zur Missbrauchserkennung oder aus vertraglichen Gründen. Und sie können, je nach Anbieter und Einstellung, zum weiteren Training der Modelle herangezogen werden. Im letzten Fall besteht das Risiko, dass Bruchstücke Deiner Eingaben später in anderer Form wieder auftauchen.
Daraus folgt eine einfache, aber wichtige Regel: Gib in fremde Chatbots keine sensiblen oder vertraulichen Informationen ein, die Du nicht auch einer unbekannten dritten Partei anvertrauen würdest. Dazu gehören Gesundheitsdaten, Zugangsdaten, Geschäftsgeheimnisse und personenbezogene Daten Dritter, für die Du keine Erlaubnis zur Weitergabe hast.
Trainingsdaten und automatisierte Entscheidungen
Ein grundlegendes Spannungsfeld liegt in den Trainingsdaten selbst. Große Modelle werden auf riesigen Textmengen trainiert, die auch personenbezogene Daten enthalten können. Für betroffene Personen ist es kaum nachvollziehbar, ob und wie ihre Daten Teil eines Modells geworden sind. Genau hier stoßen die Betroffenenrechte auf technische Grenzen, denn ein einmal trainiertes Modell lässt sich nicht ohne Weiteres um einzelne Datenpunkte bereinigen.
Ein weiterer Aspekt betrifft automatisierte Entscheidungen. Art. 22 DSGVO gibt Dir das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die Dir gegenüber rechtliche Wirkung entfaltet oder Dich in ähnlicher Weise erheblich beeinträchtigt. Wenn also ein KI-System allein und ohne menschliche Kontrolle über eine Kreditvergabe oder eine Bewerbung entscheidet, greift dieser Schutz. Betroffene haben dann in der Regel Anspruch auf menschliches Eingreifen und auf eine Erklärung.
Der EU AI Act als ergänzender Rahmen
Neben der DSGVO ist der EU AI Act zu beachten, die europäische Verordnung zur Regulierung künstlicher Intelligenz. Sie verfolgt einen risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung für Grundrechte und Sicherheit, desto strenger die Anforderungen.
Bestimmte Praktiken gelten als unannehmbar und sind verboten. Hochrisiko-Systeme, etwa im Personalwesen oder in kritischer Infrastruktur, unterliegen umfangreichen Pflichten zu Dokumentation, Transparenz und menschlicher Aufsicht. Für viele alltägliche Anwendungen gelten vor allem Transparenzpflichten, zum Beispiel die Kennzeichnung, dass ein Inhalt von einer KI erzeugt wurde.
Wichtig ist das Zusammenspiel: Der EU AI Act ersetzt die DSGVO nicht, sondern ergänzt sie. Wo personenbezogene Daten verarbeitet werden, gilt weiterhin die DSGVO. Der AI Act legt zusätzliche Anforderungen an das KI-System als solches fest. Beide Regelwerke müssen also nebeneinander erfüllt werden.
Serverbasierte gegen lokale Tools
Ein oft unterschätzter Faktor ist der grundsätzliche Aufbau eines Tools. Vereinfacht gesagt gibt es zwei Modelle.
Serverbasierte KI-Tools senden Deine Eingaben über das Internet an einen entfernten Server, wo die eigentliche Verarbeitung stattfindet. Das ist bei den meisten großen Chatbots und Bildgeneratoren der Fall, weil die Modelle zu groß sind, um lokal zu laufen. Der Vorteil ist Leistungsfähigkeit, der Nachteil ist, dass Deine Daten Dein Gerät verlassen.
Rein lokale Tools verarbeiten alles direkt in Deinem Browser oder auf Deinem Gerät. Es findet keine Übertragung an einen KI-Dienst statt. Damit entfällt ein großer Teil der Datenschutzrisiken von vornherein, weil schlicht keine personenbezogenen Daten an Dritte fließen.
| Merkmal | Serverbasiertes KI-Tool | Rein lokales Tool |
|---|---|---|
| Ort der Verarbeitung | Entfernter Server des Anbieters | Dein Browser oder Gerät |
| Datenübertragung | Eingaben verlassen das Gerät | Keine Übertragung an einen KI-Dienst |
| Datenschutzrisiko | Erhöht, abhängig vom Anbieter | Gering, da datensparsam |
| Typische Beispiele | Große Chatbots, Bildgeneratoren | Quiz und Glossar auf ki-lernen.net |
Das interaktive Quiz und das Glossar auf ki-lernen.net gehören zur zweiten Kategorie. Sie verarbeiten Deine Eingaben und Deinen Lernfortschritt rein lokal in Deinem Browser. Wir senden diese Daten nicht an einen externen KI-Dienst zur Auswertung. Dieser Ansatz ist bewusst datensparsam gewählt und Teil unseres Qualitätsverständnisses, das wir im Beitrag Die AKARA-Toolsite-Methodik ausführlich beschreiben. Welche Daten beim Besuch der Seite technisch anfallen, kannst Du in unserer Datenschutzerklärung nachlesen.
Praktische Tipps für den Alltag
Aus den rechtlichen Grundlagen lassen sich einige praktische Empfehlungen ableiten, die Dir helfen, KI-Werkzeuge datenschutzbewusst zu nutzen.
Gib grundsätzlich keine sensiblen Daten in fremde Chatbots ein. Behandle jede Eingabe so, als könnte sie gespeichert und weiterverwendet werden. Bevor Du einen neuen Dienst nutzt, wirf einen Blick in dessen Datenschutzerklärung. Achte darauf, wo der Anbieter sitzt, ob Daten in Drittländer übertragen werden und ob Eingaben zum Training verwendet werden.
Prüfe, ob sich das Training mit Deinen Daten in den Einstellungen abschalten lässt. Viele Anbieter bieten inzwischen eine solche Option. Nutze für nicht sensible Aufgaben nach Möglichkeit Werkzeuge, die datensparsam arbeiten oder lokal laufen. Und wenn Du KI beruflich einsetzt, kläre den Einsatz mit den Verantwortlichen für Datenschutz in Deiner Organisation ab, denn dort gelten oft zusätzliche Vorgaben.
Fazit
Künstliche Intelligenz und Datenschutz stehen nicht im Widerspruch, verlangen aber Aufmerksamkeit. Die DSGVO gibt einen klaren Rahmen vor: Es braucht eine Rechtsgrundlage, die Grundprinzipien wie Datenminimierung und Zweckbindung müssen eingehalten werden, und die Betroffenenrechte bleiben bestehen. Der EU AI Act ergänzt diesen Rahmen um risikobasierte Anforderungen an die KI selbst.
Für Dich als Nutzerin oder Nutzer ist die wichtigste Erkenntnis, dass es einen Unterschied macht, wohin Deine Daten fließen. Rein lokale Werkzeuge wie das Quiz auf dieser Seite vermeiden viele Risiken von vornherein, weil sie schlicht keine personenbezogenen Daten an Dritte weitergeben.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die rechtliche Bewertung eines konkreten Einzelfalls wende Dich bitte an eine fachkundige Beratung.
Quellen
- https://gdpr-info.eu/
- https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai
- https://www.datenschutzkonferenz-online.de/
Korrekturen oder bessere Quellen? Schreib an info@akara-solutions.de. Änderungen landen mit Datum auf /korrekturen.
