18.07.2025 | KI-Recht

Urteil: KI-Training mit sensiblen Daten

Die Verarbeitung sensibler bzw.  personenbezogener Daten zählt beim Einsatz Künstlicher Intelligenz zu den Kernrisiken. Sobald KI-Anwendungen entweder mit personenbezogenen Daten trainiert werden (KI-Training) oder solche Daten im laufenden Betrieb auswerten, greifen unmittelbar die Vorgaben des Datenschutzrechts. Bereits geringe Abweichungen von gesetzlichen Standards können gravierende rechtliche Konsequenzen nach sich ziehen.

Was bedeutet das genau?

Warum benötigt KI Daten?

Künstliche Intelligenz basiert auf der Analyse und Verarbeitung großer Datenmengen. Daten dienen als Rohstoff, um Algorithmen zu trainieren, Muster zu erkennen und Entscheidungen automatisiert vorzubereiten. Insbesondere bei lernenden Systemen wie maschinellem Lernen oder Deep Learning entsteht aus umfangreichen Datensätzen die Fähigkeit, präzise Vorhersagen zu treffen oder komplexe Aufgaben eigenständig zu lösen.

Häufig handelt es sich dabei um personenbezogene oder sensible Informationen, wenn KI-Anwendungen in Bereichen wie Gesundheitswesen, Personalmanagement oder Finanzdienstleistungen eingesetzt werden. Ohne qualitativ hochwertige und vielfältige Daten können KI-Modelle keine verlässlichen Ergebnisse liefern und erfüllen ihren Zweck nicht. Die Bedeutung einer verantwortungsvollen und rechtssicheren Datennutzung steht deshalb im Zentrum jeder erfolgreichen KI-Strategie.

Die Verarbeitung personenbezogener Daten

Für eine rechtlich zulässige Verarbeitung personenbezogener Daten fordert die Datenschutz-Grundverordnung (DS-GVO) eine klare Rechtsgrundlage. Nach Art. 6 DSGVO  (Rechtmäßigkeit der Verarbeitung) stehen dafür sechs mögliche Bedingungen zur Verfügung:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

• Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
• die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
• die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
• die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
• die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
• die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Aufsichtsbehörden in Deutschland und der EU empfehlen regelmäßig, sich auf das „berechtigte Interesse“ nach Art. 6 Abs. 1 Buchstabe f DSGVO zu stützen. Insbesondere wenn andere Rechtsgrundlagen wie Einwilligung oder Vertragserfüllung nicht greifen.

Wie kooperiert der AI Act mit dem Datenschutzgesetz?

KI-Anwendungen agieren im Spannungsfeld zwischen dem europäischen AI Act und der Datenschutz-Grundverordnung (DSGVO). Während der AI Act auf die technische und ethische Regulierung von KI-Systemen zielt, bleibt der umfassende Datenschutzauftrag weiterhin Sache der DSGVO. In der Praxis führt diese Parallelität häufig zu Überschneidungen und doppelten Verpflichtungen.

Die Berührungspunkte beider Regelwerke zeigen sich besonders deutlich bei risikobehafteten KI-Projekten:

• Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO lässt sich vielfach auf die Risikoanalyse nach Art. 9 AI Act übertragen. Beide Methoden prüfen, ob und wie der Einsatz von KI Risiken für Rechte und Freiheiten der Betroffenen birgt.
• Prinzipien wie Datenqualität, Aktualität und Richtigkeit, gefordert durch die DSGVO, unterstützen zugleich die Data-Governance-Anforderungen des AI Act.
• Sobald der AI Act vorschreibt, Trainingsdaten systematisch zu dokumentieren oder KI-Anwendungen mit Prüfprotokollen zu versehen, greift regelmäßig auch das Datenschutzrecht. Unternehmen müssen sicherstellen, dass sämtliche Verarbeitungsvorgänge eine eigenständige Rechtsgrundlage nach der DSGVO erfüllen, etwa durch Einwilligung oder das berechtigte Interesse.

Ein Trugschluss entsteht häufig aus dem Wortlaut des AI Act: Die Verordnung schafft keinerlei neue Grundlage für die Erhebung oder Nutzung personenbezogener Daten. Für jede KI-Anwendung bleibt eine gesonderte Rechtsgrundlage nach der DSGVO unabdingbar.

Klar ist: Ein konsistentes und rechtskonformes Governance-System muss beide Regelwerke in der betrieblichen Praxis abbilden, sowohl die regulatorischen Anforderungen des AI Act als auch die strengen Vorgaben der DSGVO.

Die Klassifizierung von verschiedenen KI-Systemen

Beim Einsatz von KI-Systemen in der EU richten sich die gesetzlichen Vorgaben nach dem Risiko, das die jeweilige Anwendung für Menschenrechte, Sicherheit oder gesellschaftlich relevante Werte mit sich bringt. Die KI-Verordnung sieht ein abgestuftes System aus vier Risikoklassen vor, das präzise bestimmt, welche Pflichten für Unternehmen und Entwickler gelten.

• Verbotene KI-Anwendungen: Praktiken, die gezielte Manipulation oder umfassendes Social Scoring betreffen, sind nach Art. 5 AI Act strikt untersagt. Verstöße ziehen empfindliche Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich.
• Hochrisiko-KI: Zu dieser Kategorie zählen unter anderem Systeme, die als Medizinprodukte zum Einsatz kommen, in Personalauswahlprozessen verwendet werden oder kritische Infrastrukturen steuern. Für Anbieter und Betreiber treten umfangreiche Anforderungen in Kraft: etwa die Einrichtung eines Risikomanagements, hohe Standards für Datenqualität, transparente Dokumentation, technische Protokollierung, klare Betriebsanleitungen und wirksame menschliche Aufsicht. Die Erfüllung dieser Vorgaben wird über Konformitätsbewertungen kontrolliert, gefolgt von einer verpflichtenden Datenbankregistrierung.
• KI mit begrenztem Risiko: Anwendungen wie Chatbots oder KI-generierte Inhalte, die mit natürlichen Personen interagieren, müssen stets eindeutig als künstlich erkennbar sein. Die Transparenzpflicht erfordert deutliche Hinweise auf den KI-Ursprung – insbesondere bei realitätsnahen Medien wie Deepfakes.
• Geringes Risiko: Für Systeme ohne relevante Risiken gibt es keine besonderen Auflagen, außer der Pflicht, die Kompetenz im Umgang mit KI (AI Literacy) sicherzustellen. Fehlende Schulungen können im Schadensfall dennoch Haftungsansprüche nach sich ziehen.

Alle Unternehmen, die mit KI arbeiten, müssen interne Prozesse und Nachweise so dokumentieren, dass sowohl die technische als auch die rechtliche Absicherung jederzeit gewährleistet bleibt.

Welche Regeln gelten für Unternehmen im KI-Bereich?

Unternehmen, die KI entwickeln, betreiben oder implementieren, müssen zunächst die spezifischen Pflichten des europäischen AI Act kennen und umsetzen. Die Verordnung definiert klare Voraussetzungen:

• Abgrenzung von KI-Modellen vs. KI-Systemen: Der AI Act unterscheidet, ob lediglich ein Basismodell oder ein fertiges System für Anwender bereitsteht.
• Risikoklassen bestimmen das Regelwerk: Die gesetzlichen Anforderungen steigen, je nach Einordnung in niedrige, mittlere oder hohe Risikoklasse.
• Pflichtenmatrix gemäß KI-Verordnung: Dokumentation, Transparenz, Risikobewertung und Aufsicht stellen zentrale Elemente für den datenschutzkonformen KI-Einsatz dar.

Aktuelles Urteil des OLG Köln

Das Oberlandesgericht Köln hat mit seiner aktuellen Entscheidung die Grenzen des Verarbeitungsverbots sensibler Daten im Kontext von KI-Anwendungen neu justiert.

Mischdatensätze, die sowohl besonders geschützte Informationen als auch allgemeine personenbezogene Daten enthalten, fallen demnach unter das strenge Verarbeitungsverbot gemäß Art. 9 Abs. 1 DSGVO. Eine Ausnahme besteht ausschließlich für Daten, die Betroffene eindeutig selbst öffentlich gemacht haben. Und auch dies beschränkt sich nach Auffassung des Gerichts auf vom Nutzer aktiv preisgegebene Eigeninformationen, nicht jedoch auf Angaben über Dritte.

Zudem hebt das OLG Köln hervor, dass das Verbot in Art. 9 Abs. 1 DSGVO grundsätzlich erst greift, wenn die betroffene Person selbst aktiv wird, insbesondere bei unbeabsichtigter oder nicht zielgerichteter Verarbeitung, etwa beim KI-Training. Diese praxisorientierte Sichtweise eröffnet einen pragmatischen Spielraum für Unternehmen, die KI-Modelle auch mit sensiblen Daten, beispielsweise im Gesundheitswesen, weiterentwickeln wollen.

Die Kölner Rechtsprechung steht damit für einen möglichen Paradigmenwechsel: Das bisherige absolute Verarbeitungsverbot wird durch eine fallbasierte und stärker anwendungsorientierte Auslegung ergänzt. Gerade in Anwendungsfeldern, in denen technischer Fortschritt und Datenschutz kollidieren, ergeben sich auf dieser Grundlage neue Argumentationsmöglichkeiten für einen rechtssicheren und zugleich innovationsfreundlichen Umgang mit sensiblen Trainingsdaten.

Handlungsempfehlung für Unternehmen

Eine strukturierte Herangehensweise ist für Unternehmen, die KI-Systeme entwickeln oder einsetzen, unerlässlich. Vor allem beim Umgang mit sensiblen Daten und der Einhaltung regulatorischer Vorgaben aus DSGVO und AI Act. Ein methodisches Vorgehen fördert Compliance, minimiert Haftungsrisiken und schafft die Basis für effiziente interne Abläufe.

Empfohlene Schritte für ein rechtssicheres KI-Management:

• Dateninventur durchführen: Identifizieren Sie systematisch, ob und in welchem Umfang sensible (Art. 9 DSGVO) oder besonders schützenswerte Daten in Ihren Trainings- und Nutzungsdatensätzen enthalten sind.
• Rechtsgrundlagen absichern: Prüfen und dokumentieren Sie, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener oder sensibler Daten erfolgt (Art. 6 und Art. 9 DSGVO).
• Technische Schutzmaßnahmen umsetzen: Implementieren Sie technische und organisatorische Vorkehrungen, um die unbeabsichtigte Verarbeitung oder Offenlegung sensibler Daten wirksam zu verhindern.
• Zuständigkeiten und Haftung klären: Legen Sie fest, wer in welchem Prozessschritt verantwortlich ist, und sorgen Sie dafür, dass Verantwortung nachweisbar, operationalisiert und dokumentiert wird.
• KI-Nutzungsrichtlinie (AI Usage Policy) etablieren: Eine unternehmensweite Richtlinie zum KI-Einsatz bündelt organisatorische, technische und ethische Standards:
  
  
  • Klare Abläufe und Verantwortlichkeiten für Entwicklung, Training und Betrieb von KI
  • Ethische Leitlinien, um Bias, Diskriminierung und Missbrauch vorzubeugen
  • Datenschutz- und Vertraulichkeitsregeln entsprechend DSGVO und Geheimnisschutz
  • Vorgaben zur Transparenz von KI-Systemen und Kennzeichnungspflicht, z. B. bei KI-generierten Inhalten
  • Maßnahmen und Dokumentationspflichten zur Erkennung und Vermeidung von Manipulation sowie Fehlinformation
  • Regelungen zu Schulungen und Weiterbildung („AI Literacy“) für relevante Mitarbeiter
  • Konsequenzen bei Nichteinhaltung der Richtlinie

Die AI Usage Policy sollte als fester Bestandteil der internen Unternehmensrichtlinien etabliert und durch regelmäßige Checklisten, Prozessbeschreibungen und interdisziplinäre Zusammenarbeit von Recht, IT, HR und Compliance gepflegt werden. So lassen sich regulatorische Vorgaben aus AI Act und DSGVO alltagstauglich und kontrollierbar umsetzen. Sorgfältige Dokumentation und regelmäßige interne Audits schaffen darüber hinaus Rechtssicherheit und Transparenz. Gerne unterstützen wir als Anwaltskanzlei für KI-Recht Sie dabei.

SBS LEGAL – Kanzlei für KI-Recht

Sie fragen sich, wie Ihre Daten für KI-Anwendungen rechtssicher verarbeitet werden können? Möchten Sie wissen, wann das Verbot sensibler Datennutzung greift oder welche Anforderungen die neue KI-Verordnung an Sie stellt? Suchen Sie nach Orientierung, wie Sie eine KI-Nutzungsrichtlinie wirksam im Unternehmen verankern?

Benötigen Sie Unterstützung inBezug auf das KI-Recht?

Wir von SBS LEGAL beraten Sie praxisnah und rechtssicher rund um alle Aspekte des KI-Rechts: von der Prüfung Ihrer Trainingsdatensätze und der Gestaltung sowie Einführung einer AI Usage Policy bis zur Vertretung in behördlichen oder gerichtlichen Verfahren.

Unsere Fachanwälte unterstützen Sie gezielt bei Compliance-Fragen, der Risikobewertung und der Dokumentationspflicht – für geprüfte Rechtssicherheit beim Einsatz moderner KI-Technologien.

Sichern Sie Ihr Unternehmen mit unserer Expertise im KI-Recht ab.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

Zurück zur Blog-Übersicht