Author Rechtsanwalt Dr. Tobias Beltle

KI-Training und DSGVO: So vermeiden Unternehmen Datenschutzverstöße beim Einsatz künstlicher Intelligenz

Veröffentlicht am Categories Blog Tags ·

Wenn Datenschutz zum Trainingshindernis wird: Überblick und Problemstellung

Künstliche Intelligenz (KI) ist für viele Unternehmen ein Innovationsmotor. Doch gerade beim Training von KI-Systemen entstehen erhebliche datenschutzrechtliche Risiken. Der Grund: Viele Trainingsdaten enthalten personenbezogene Informationen – ob direkt oder indirekt. Werden diese Daten ohne hinreichende rechtliche Grundlage verarbeitet, drohen schwerwiegende Konsequenzen.

Insbesondere die Anforderungen der DSGVO gelten regelmäßig uneingeschränkt auch für KI-Systeme, wenn personenbezogene Daten betroffen sind, wobei dies z.B. auch eine IP-Adresse sein kann. Das stellt viele Unternehmen vor eine doppelte Herausforderung: Einerseits besteht ein hoher Innovationsdruck, andererseits sind die rechtlichen Vorgaben komplex und technologieoffen formuliert. Dieser Beitrag beleuchtet die rechtlichen Fallstricke und zeigt Lösungsansätze für ein datenschutzkonformes KI-Training auf.

Unerlaubte Datennutzung beim KI-Training: Wann ist das Training rechtswidrig?

Die Verwendung personenbezogener Daten beim Training von KI-Systemen ist regelmäßig nur zulässig, wenn eine geeignete Rechtsgrundlage gemäß Art. 6 DSGVO vorliegt. Liegt keine Einwilligung zur Verarbeitung von Nutzerdaten der betroffenen Personen oder ein anderer Erlaubnistatbestand vor, ist das Training datenschutzrechtlich regelmäßig rechtswidrig. Besonders kritisch ist dies bei Daten, die aus dem Internet oder aus Nutzerinteraktionen stammen und ohne ausdrückliche Zweckbindung weiterverwendet werden.

Auch die Transparenzpflichten aus Art. 13 und 14 DSGVO dürfen nicht vernachlässigt werden: Betroffene müssen grundsätzlich darüber informiert werden, dass ihre Daten zur Entwicklung von KI-Systemen genutzt werden. Zudem gilt das Zweckbindungsprinzip (Art. 5 Abs. 1 lit. b DSGVO). Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres für KI-Trainingszwecke eingesetzt werden. Die Nutzer haben nach Art. 21 DSGVO ein Recht zum Widerspruch.

Zwischen Bußgeld und Systemverbot: Mögliche Sanktionen und Haftungsrisiken

Datenschutzverstöße beim KI-Training können gravierende Folgen haben. Die Aufsichtsbehörden verfügen nach Art. 58 DSGVO über ein breites Instrumentarium für datenschutzrechtliche Sanktionen. Sie können unter anderem anordnen, dass eine rechtswidrige Datenverarbeitung eingestellt oder der Zugang zu bestimmten Daten beschränkt wird. In schwerwiegenden Fällen kann auch die Untersagung des KI-Systems durch die zuständige Datenschutzbehörde erfolgen – etwa bei grob fahrlässiger Nutzung personenbezogener Daten.

Zusätzlich drohen empfindliche Bußgelder nach Art. 83 DSGVO – bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Auch die KI-VO (EU-KI-Verordnung), bei der weitere Regelungen ab dem 2. August 2025 und stufenweise auch noch danach in Kraft treten, sieht Sanktionen vor: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei Verstößen gegen Vorschriften zur Datenqualität, Transparenz oder beim Einsatz von Hochrisiko-KI-Systemen.

Zudem drohen neben aufsichtsrechtlichen Sanktionen, etwa durch die Empfehlung des EDSA (Europäischer Datenschutzausschuss), auch zivilrechtliche Haftungsrisiken nach Art. 82 DSGVO und erhebliche Reputationsschäden. Beispielsweise durch die Verbraucherzentralen öffentlich gewordenen Verstöße gegen Datenschutzregeln – insbesondere im sensiblen Bereich der KI – können zu erheblichem Vertrauensverlust bei Kunden, Partnern und Investoren führen und sich langfristig negativ auf die Marktposition eines Unternehmens auswirken. Dies zeigte zuletzt z.B. der Fall Meta im Zusammenhang mit Instagram und Facebook, bei dem die Nutzung von Nutzerdaten zum Training von KI-Modellen datenschutzrechtlich durch die DPC (Data Protection Commissioner) beanstandet wurde.

Vom Risiko zur Compliance: Korrekturmaßnahmen und strategische Implementierung

Wird festgestellt, dass ein KI-System unter Verstoß gegen datenschutzrechtliche Vorgaben trainiert wurde, müssen Unternehmen aktiv werden: etwa durch nachträgliche Bereinigung der Datenbestände und Datensätze, Retraining auf zulässiger Datenbasis oder Machine Unlearning.

Parallel dazu sollte eine rechtliche Neubewertung erfolgen, bei der geprüft wird, ob für die bisherige Datenverarbeitung nachträglich eine tragfähige Rechtsgrundlage geschaffen werden kann – etwa durch das Einholen einer Einwilligung oder eine Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO im Rahmen von sog. berechtigtem Interesse als datenschuzrechtliche Rechtfertigungsgrundlage für die Datenverarbeitung.

Um derartige Risiken jedoch gar nicht erst entstehen zu lassen, ist ein proaktiver und strukturierter Ansatz entscheidend.

Für präventive Compliance sind dabei für Unternehmen insbesondere folgende Punkte zentral:

  • Privacy by Design im Entwicklungsprozess verankern
  • Schwellwertanalyse zur Risikoabschätzung durchführen
  • Anwendungsbereiche frühzeitig analysieren und risikobasiert einordnen
  • Anonymisierte oder synthetische Daten verwenden
  • Differential Privacy oder Filtermechanismen einsetzen
  • Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO bei Hochrisiko-KI
  • Vertragliche Regelungen mit Datenlieferanten treffen
  • Frühzeitige Dokumentation und laufende Protokollierung durch die Verantwortlichen im Unternehmen sicherstellen

Zusätzlich sollten interne Arbeitsgruppen aus IT, Datenschutz und Compliance gebildet und praxisnahe KI-Schulungen für Beschäftigte in Unternehmen etabliert werden.

So wird Datenschutz integraler Bestandteil der Entwicklung – und nicht zum nachgelagerten Risiko.

Fazit

Die Einhaltung datenschutzrechtlicher Anforderungen beim Training von KI-Systemen ist kein lästiges Übel, sondern eine unverzichtbare Grundlage für den rechtssicheren und nachhaltigen Einsatz von AI-Lösungen, wenn Datenschutzthmen betroffen sind. Nur wer als Unternehmen die Risiken erkennt und geeignete technische sowie organisatorische Maßnahmen frühzeitig implementiert, kann das volle Potenzial von KI entfalten – ohne rechtliche oder wirtschaftliche Rückschläge zu riskieren.

Unternehmen, die Datenschutz im KI-Kontext aktiv gestalten und dabei auch das berechtigte Interesse der Nutzer im Blick behalten, schaffen nicht nur Vertrauen bei Kunden, Partnern und Behörden, sondern sichern sich auch einen klaren Wettbewerbsvorteil. Denn datenschutzkonforme KI-Systeme sind langfristig tragfähiger, marktfähiger und weniger anfällig für regulatorische Eingriffe.

Was ist also zu tun?

Prüfen Sie Ihre bestehenden und geplanten KI-Projekte auf ihre Datenschutzkonformität.

Etablieren Sie Datenschutz von Anfang an als festen Bestandteil Ihrer Entwicklungsprozesse.

Lassen Sie sich rechtlich beraten, um die Rechtmäßigkeit Ihrer bestehenden KI-Systeme zu bewerten und setzen Sie auf eine praxisnahe KI-Schulung, um Ihr Team für die kommenden EU-rechtlichen Anforderungen zu wappnen.

Wir unterstützen Sie gerne – strategisch, rechtssicher und lösungsorientiert.

Haben Sie Fragen oder benötigen Sie weitere Informationen?
Rechtsanwalt Dr. Tobias Beltle berät Sie gerne.

Rechtsanwalt Dr. Tobias Beltle ist Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht (IT-Recht) und Mediator. Er ist in seiner anwaltlichen Tätigkeit spezialisiert in den Bereichen des gewerblichen Rechtsschutzes und des IT-Rechts.

Alle Beiträge von Rechtsanwalt Dr. Tobias Beltle anzeigen