Hauptnavigation überspringen
Kontakt
Rufen Sie uns an:
+49 (0)89/ 130 1433 - 0
 E-Mail senden
Abmahnsichere Rechtstexte für Online-Shops
Rechtstexte für Ihr Business: Unsere Schutzpakete
Mehr über unsere Schutzpakete erfahren
Künstliche Intelligenz

KI mit eigenen Daten füttern - was rechtlich unbedingt zu beachten ist

KI mit eigenen Daten füttern - was rechtlich unbedingt zu beachten ist
7 min
Beitrag vom: 14.11.2025

KI-Tools können nicht nur mit sog. Prompts gesteuert, sondern auch mit Daten (z.B. Kundendaten) gefüttert werden, etwa zur Analyse und Strukturierung. Dabei sind jedoch einige rechtliche Fallstricke zu beachten.

Wie kann eine KI genutzt werden?

Viele Verwender nutzen KI-Anwendungen auf zwei Arten:

  • Zum einen geben sie der KI bestimmte Anweisungen mittels sog. Prompts, also mehr oder weniger detaillierter Fragen und sonstiger Aufgabenstellungen, die die KI sodann beantwortet oder ausführt.
  • Es besteht aber darüber hinaus die Möglichkeit, dass sie die KI mit eigenen Inhalten und sonstigen Daten füttern, um diese durch die KI auswerten, prüfen oder überarbeiten zu lassen.

Ein Fotograf kann seine Fotos in eine KI hochladen, um die Fotos mittels KI automatisch bearbeiten zu lassen, etwa hinsichtlich Schärfe, Kontrast und Farbschema.

Ein Unternehmen kann seine Kundendatenbank in eine KI hochladen, um Marketingpotenziale analysieren zu lassen oder Marketingkampagnen unter Verwendung der in der Kundendatenbank hinterlegten Kontaktdaten zu planen und sogar direkt ausführen zu lassen.

1

Was ist beim Hochladen von Inhalten in eine KI datenschutzrechtlich zu beachten?

Das Hochladen von Inhalten und sonstigen Datensätzen in eine KI birgt datenschutzrechtliche Risiken, wenn in diesen Datensätzen auch personenbezogene Daten enthalten sind.

Das Hochladen ist in einem solchen Fall nur dann zulässig, wenn hierfür einige datenschutzrechtliche Vorgaben beachtet werden. Diese sind keine Besonderheit der Nutzung von KI, sondern gelten ganz generell bei Verarbeitung von personenbezogenen Daten und sind deshalb auch bei Verwendung von KI-Diensten zu beachten.

1. Datenschutz durch Technikgestaltung

Das Datenschutzrecht fordert nach Art. 25 Datenschutz-Grundverordnung (DSGVO) im Grundsatz, dass keine oder möglichst wenige personenbezogene Daten verarbeitet werden, also etwa auch, dass die Daten nicht unbedingt an Dritte weitergegeben werden.

Daher ist eine ausschließlich lokal auf den eigenen Servern eines Unternehmens laufende KI einer externen Cloud-Lösung im Grundsatz vorzuziehen, jedenfalls wenn dadurch dieselben Ergebnisse erzielt werden können. Eine externe Cloud-Lösung ist aber nicht automatisch datenschutzrechtlich unzulässig, sondern bedarf lediglich umfangreicherer datenschutzrechtlicher Rechtfertigung.

2. Rechtmäßigkeit der Datenverarbeitung

Personenbezogene Daten dürfen nach Art. 5 Abs. 1 Buchstabe a und b DSGVO nur dann verarbeitet werden, wenn hierfür eine hinreichende gesetzliche Grundlage (=Rechtsgrundlage) besteht und die Datenverarbeitung für die Erreichung eines festgelegten, eindeutigen und legitimen Zwecks erforderlich ist.

Vor jeder Dateneingabe in ein externes KI-Tool muss daher - wie bei jeder anderen Datenverarbeitung auch - geprüft werden, ob diese Datenverarbeitung datenschutzrechtlich gerechtfertigt werden kann.

Mittels eines Crawlers werden E-Mail-Adressen aus Impressen von Websites in einer Datenbank erfasst. Geplant ist, die Datenbank in ein KI-Tool einzugeben, um an diese so gesammelten E-Mail-Adressen Werbeanfragen zu versenden.

Weil die potentiellen Adressaten in den Erhalt der Werbung nicht eingewilligt haben, wäre der Versand der E-Mails datenschutzrechtlich unzulässig. Das Hochladen der E-Mail-Adressen in die KI würde daher keinem legitimen Zweck dienen, so dass bereits die Eingabe in die KI ein Datenschutzverstoß wäre.

3. Datenminimierung

Personenbezogene Daten dürfen nach Art. 5 Abs. 1 Buchstabe c DSGVO nur in dem Umfang verarbeitet werden, wie dies der Zweck der Datenverarbeitung erfordert. Demnach dürfen Daten, die für den jeweiligen Verarbeitungszweck nicht benötigt werden, schon nicht erhoben und auch nicht gespeichert werden.

In ein KI-Tool dürfen daher nur solche Daten eingegeben bzw. hochgeladen werden, die die KI tatsächlich auswerten, bearbeiten oder in sonstiger Weise verarbeiten soll.

Ein KI-Tool soll eine Liste der Kunden erstellen, die im letzten Jahr bei einer Bestellung im Webshop einen Gutscheincode eines bestimmten Aktionsgutscheins verwendet haben. Hierzu soll die vollständige Kundendatenbank in die KI hochgeladen werden.

Dies dürfte allerdings einen Verstoß gegen den Grundsatz der Datenminimierung bedeuten, da für den Analysezweck lediglich die Kundendaten des Vorjahres und nicht sämtliche Kundendaten benötigt werden.

4. Richtigkeit der Daten

Bei der Datenverarbeitung muss nach Art. 5 Abs. 1 Buchstabe d DSGVO durch angemessene Maßnahmen sichergestellt werden, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind.

Daher muss bereits vor Eingabe in ein KI-Tool überprüft werden, dass die Daten korrekt sind und diese ggf. berichtigt werden. Dies ist keine Besonderheit beim Einsatz von KI-Tools, sondern gilt ganz generell bei jeder Verarbeitung von personenbezogenen Daten.

5. Transparenz der Datenverarbeitung

Soweit personenbezogene Daten mittels KI verarbeitet werden, muss darüber auch transparent in den Datenschutzhinweisen (=Datenschutzerklärung) informiert werden.

Was ist urheberrechtlich zu beachten?

Bei Eingabe von urheberrechtlich geschützten Inhalten in eine KI muss bereits im Vorfeld geprüft werden, ob

  • die Eingabe eine urheberrechtliche Nutzung des Inhalts ist und
  • diese Nutzung urheberrechtlich zulässig ist.

1. Text und Data Mining

Das Urheberrecht erlaubt zwar auch die Verwendung von urheberrechtlich geschützten Inhalten, wie z.B. Texten, Bildern, Musik, Videos oder Datenbanken mittels digitaler Tools im Rahmen des sog. Text und Data Mining.

Hierunter versteht man nach § 44b Abs. 1 Urheberrechtsgesetz (UrhG) die automatisierte Analyse von einzelnen oder mehreren digitalen oder digitalisierten Werken, um daraus Informationen insbesondere über Muster, Trends und Korrelationen zu gewinnen. Das Hochladen von urheberrechtlich geschützten Inhalten in ein KI-Tool - auch zu kommerziellen Zwecken - ist nach dieser Vorschrift dann zulässig, wenn

  • die KI ausschließlich zur Auswertung der eingegebenen Inhalte genutzt wird und
  • die Inhalte nach der Auswertung wieder gelöscht werden, also nicht dauerhaft in der KI gespeichert bleiben.

Viele KI-Tools verwenden - zumindest in den kostenlosen Freemium-Versionen - die eingegebenen Inhalte häufig nicht nur zur Analyse und Ausgabe im Zusammenhang mit der konkreten Anfrage, sondern auch zum weiteren Training der KI, also zu deren Verbesserung und Weiterentwicklung, und speichert die eingegebenen Inhalte oder zumindest einzelne Elemente von ihnen dauerhaft.

In einer solchen Konstellation sind die Voraussetzungen des Text und Data Mining nicht erfüllt, so dass eine solche Verwendung des KI-Tools zumindest nicht nach § 44b UrhG urheberrechtlich zulässig sein dürfte.

2. Nutzungsvorbehalt

Weitere Voraussetzung für eine Nutzung von urheberrechtlich geschützten Inhalten im Rahmen des Text und Data Mining ist, dass für die Inhalte kein so genannter Nutzungsvorbehalt besteht (§ 44b Abs. 3 UrhG) :

  • Ein solcher Nutzungsvorbehalt verhindert, dass die vom Nutzungsvorbehalt erfassten Inhalte in eine KI hochgeladen werden dürfen.
  • Solche Nutzungsvorbehalte müssen sowohl in ausdrücklicher, d.h. lesbarer Weise als auch maschinenlesbar formuliert sein, z.B. im Impressum einer Website, in den Fußnoten eines Aufsatzes oder in den Eigenschaften eines digitalen Inhalts (z.B. als Bild oder Text).
  • Daher muss stets im Vorfeld der Eingabe von urheberrechtlich geschützten Inhalten in ein KI-Tool geprüft werden, ob ein Nutzungsvorbehalt besteht und dieser der Verwendung der Inhalte durch die KI entgegensteht.
  • Zu Beweiszwecken sollte diese Prüfung stets auch in geeigneter Form dokumentiert werden, etwa im Rahmen eines Prüfprotokols.

Ein solcher Nutzungsvorbehalt, der im direkten Zusammenhang z.B. mit einem Blogartikel veröffentlich werden soll, könnte beispielsweise lauten:

Der Urheber behält sich alle Rechte zur automatisierten Analyse, Verarbeitung und Auswertung (Text und Data Mining) dieses Texts ausdrücklich vor. Einer Nutzung auf Grundlage von § 44b UrhG wird hiermit widersprochen.

In den Metadaten oder Copyright-Hinweisen eines Werkes könnte ein Nutzungsvorbehalt zudem wie folgt formuliert werden:

Text und Data Mining vorbehalten gemäß §44b Abs. 3 UrhG.

Ein Nutzungsvorbehalt in der Datei robots.txt könnte wie folgt lauten:

# Nutzungsvorbehalt nach § 44b Abs. 3 UrhG
User-agent: *
Disallow: /
TDM-Reservation: 1

Dabei würde "Disallow: /" das Crawlen der betreffenden Website blockieren. "TDM-Reservation: 1" ist zudem ein verbreiteter maschinenlesbarer Zusatz, der an die entsprechenden EU-Vorgaben angelehnt ist.

Was ist bei Geschäftsgeheimnissen zu beachten?

Wer eine KI mit Informationen aus dem eigenen Geschäftsbetrieb füttert, muss unbedingt auch den Schutz seiner Geschäftsgeheimnisse im Blick behalten.

Handelt es sich nicht um eine bloß lokal laufende KI, sondern um den serverbasierten Dienst eines Drittanbieters, geht das Hochladen von Informationen in die KI stets mit deren Offenlegung zumindest gegenüber dem Anbieter des KI-Dienstes einher. Verwender von KI-Tools müssen sich somit bewusst machen, dass diese Informationen sich ihrer weiteren Kontrolle entziehen.

Dies kann sowohl in tatsächlicher, als auch in rechtlicher Hinsicht zum Verlust der in die KI eingegebenen Geschäftsgeheimnisse führen:

  • Je nach weiterer Verarbeitung durch die KI könnten die Informationen sogar nicht nur dem Anbieter des KI-Tools, sondern auch anderen Verwendern der KI - und damit gegebenenfalls sogar Mitbewerbern - offenbart werden.
  • Zum anderen können Geschäftsgeheimnisse durch ihre Offenlegung - also etwa Veröffentlichung - ihren rechtlichen Schutz als Geschäftsgeheimnisse nach dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) verlieren.

Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle: Deemerwha studio / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei