Datentraining mit Kundendaten – Wann droht ein DSGVO-Schaden?

Datentraining mit Kundendaten – Wann droht ein DSGVO-Schaden? Unternehmen verfügen über wertvolle Kundendaten und möchten diese für KI-Trainings nutzen. Doch Vorsicht: Die Verwendung personenbezogener Daten zum Training von Machine-Learning-Modellen kann datenschutzrechtliche Folgen haben. Hier erfahren Sie, welche DSGVO-Risiken bestehen, wann Schadensersatz droht und wie Sie Daten effizient nutzen, ohne gegen Datenschutz zu verstoßen.

Hintergrund – Wie Trainingsdaten entstehen

Für das Training von KI-Modellen werden enorme Datenmengen benötigt. Diese Trainingsdaten können aus verschiedenen Quellen stammen:

• Öffentlich verfügbare Daten: Zum Beispiel frei zugängliche Web-Inhalte oder öffentliche Datenbanken. Hier besteht meist kein Urheberrecht oder Datenschutzproblem – allerdings muss geprüft werden, ob Nutzungsbedingungen (etwa von Websites) die automatisierte Verwendung erlauben.
• Lizenzierte Datensätze: Unternehmen kaufen oder mieten Datensätze, z. B. Bilderpools oder Textkorpora, die für KI-Zwecke lizenziert sind. Hier ist sicherzustellen, dass die Lizenz die gewünschte Nutzungsart (Training eines ML-Modells) abdeckt.
• Eigene Kundendaten: Besonders wertvoll, aber auch heikel sind interne Datenbestände wie Kundendatenbanken, Nutzerprofile, Support-Tickets, etc. Personenbezogene Daten aus solchen Quellen unterliegen strengen Vorgaben der DSGVO. Werden sie für KI-Zwecke genutzt, ist größte Sorgfalt nötig, da ein Missbrauch oder Verlust dieser Daten gravierende rechtliche Konsequenzen haben kann.

In der Praxis nutzen viele Agenturen und Softwareunternehmen eben solche Echt-Daten, um ihre KI-Systeme zu verbessern – sei es, um einen Chatbot mit authentischen Kundendialogen zu trainieren oder um ein Empfehlungsalgorithmus mit echten Nutzerdaten zu füttern. Dabei wird oft unterschätzt, dass schon das Einspielen dieser Daten ins KI-System eine Datenverarbeitung im Sinne der DSGVO darstellt, die einer Rechtsgrundlage bedarf.

Rechtliche Grundlagen nach DSGVO

Die Datenschutz-Grundverordnung steckt den Rahmen ab, wie personenbezogene Daten verwendet werden dürfen. Wichtige Grundsätze und Regeln beim KI-Datentraining sind:

• Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO): Jede Verarbeitung personenbezogener Daten braucht eine gültige Rechtsgrundlage. Im Kontext von KI-Training kommen vor allem folgende Grundlagen in Betracht: Einwilligung der Betroffenen, Vertragserfüllung (wenn das Training zur Erbringung einer vertraglichen Leistung nötig ist), berechtigtes Interesse des Verantwortlichen oder – im Ausnahmefall – rechtliche Verpflichtung. Oft wird argumentiert, ein berechtigtes Interesse am Verbessern der KI läge vor. Doch Vorsicht: Dieses Interesse muss gegen die Rechte der Betroffenen abgewogen werden. Eine transparente Information der Nutzer ist hierbei Pflicht.
• Besondere Datenkategorien (Art. 9 DSGVO): Daten über Gesundheit, ethnische Herkunft, politische Meinung, Sexualleben etc. dürfen grundsätzlich nicht verarbeitet werden, außer es greift eine der eng begrenzten Ausnahmen (etwa ausdrückliche Einwilligung). Bei KI-Systemen, die aus großen Datenmengen lernen, ist besondere Vorsicht geboten, dass solche sensiblen Informationen nicht unbemerkt im Trainingsdatensatz enthalten sind.
• Transparenz und Zweckbindung: Die DSGVO schreibt vor, dass Betroffene darüber informiert werden müssen, zu welchem Zweck ihre Daten verarbeitet werden. Daten, die ursprünglich z. B. für einen Kaufvertrag erhoben wurden, dürfen nicht ohne Weiteres für das Training einer KI zweckentfremdet werden. Außerdem gilt der Grundsatz der Datenminimierung: Es sollen nur so viele personenbezogene Daten genutzt werden wie unbedingt nötig.
• Löschpflichten: Wird ein KI-Modell mit personenbezogenen Daten trainiert, stellt sich die Frage, wie man dem Löschanspruch der Betroffenen nach Art. 17 DSGVO nachkommt. Insbesondere bei großen neuronalen Netzen lässt sich ein einmal eingeflossenes Datum kaum wieder isolieren. Unternehmen müssen daher Konzepte entwickeln, um dennoch Löschbegehren erfüllen zu können – etwa durch Retraining ohne die betroffenen Daten.

Schadensersatz nach Art. 82 DSGVO

Verstöße gegen die DSGVO können nicht nur zu Behördensanctions führen, sondern auch zivilrechtliche Schadensersatzansprüche von Betroffenen auslösen. Art. 82 DSGVO gibt jedem, dessen Rechte verletzt wurden, einen Anspruch auf Ersatz sowohl des materiellen als auch des immateriellen Schadens.

• Immaterieller Schaden: Gerade bei Datenschutzverstößen steht oft der immaterielle Schaden im Vordergrund – also der Vertrauensverlust, Kontrollverlust oder das Gefühl der Persönlichkeitsverletzung, wenn die eigenen Daten unbefugt verwendet wurden. Die Gerichte tun sich noch schwer mit der konkreten Bezifferung solcher immateriellen Schäden. Allerdings ist die Tendenz erkennbar, dass bereits die unerlaubte Preisgabe oder Nutzung persönlicher Daten als Schaden an sich gewertet wird (Stichwort: „Kontrollverlust“ über die eigenen Daten).
• Aktuelle Rechtsprechung: In jüngerer Zeit gab es einige Urteile, die Betroffenen Schadensersatz zusprachen, selbst wenn kein konkreter finanzieller Schaden nachweisbar war. Die Summen liegen oft im drei- bis vierstelligen Eurobereich, können aber je nach Einzelfall und Sensibilität der Daten höher ausfallen. Wichtig: Jedes einzelne betroffene Individuum kann Ansprüche erheben. Bei vielen Betroffenen (Stichwort Massenverfahren oder Sammelklagen ähnlicher Art) kann das insgesamt sehr teuer werden.
• Bemessung der Höhe: Die Höhe des Schadensersatzes bemisst sich nach der Schwere und Dauer des Verstoßes, der Anzahl der Betroffenen und den getroffenen Schutzmaßnahmen. Wenn ein Unternehmen nachweisen kann, dass es organisatorisch und technisch gut vorgesorgt hatte und der Verstoß ein Ausreißer war, mildert das tendenziell die Höhe. Umgekehrt führen grobe Versäumnisse (z. B. völlig fehlende Sicherheitsmaßnahmen oder Ignorieren von Beschwerden) zu höheren Entschädigungen.

Verantwortlichkeit und Nachweislast

Wer ist verantwortlich, wenn Kundendaten für KI-Zwecke verarbeitet werden? Und wer muss im Zweifel beweisen, dass alles rechtmäßig zuging?

• (Gemeinsame) Verantwortlichkeit: Häufig sind mehrere Parteien in solche Datenprojekte involviert – etwa ein Unternehmen und ein externes KI-Entwicklungsbüro oder Cloud-Anbieter. Hier kann es zu Joint Controllership(gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO) kommen, wenn beide über Zwecke und Mittel der Verarbeitung entscheiden. In solchen Fällen müssen die Parteien in einer internen Vereinbarung genau festlegen, wer welche DSGVO-Pflichten erfüllt (Informationspflicht, Beantwortung von Betroffenenanfragen, etc.). Wichtig ist, dass gegenüber den Betroffenen Transparenz besteht, wer verantwortlich ist.
• Externe Dienstleister (Auftragsverarbeiter): Alternativ kann ein externer KI-Trainings-Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO eingebunden sein. Dann muss das Unternehmen sicherstellen, dass ein wasserdichter Auftragsverarbeitungsvertrag geschlossen wurde, der den Dienstleister auf Datenschutz-Compliance verpflichtet.
• Nachweis der Einwilligungen: In der Praxis berufen sich Unternehmen oft auf die Einwilligung der Kunden, um deren Daten für KI zu nutzen. Hier gilt: Die Beweislast für das Vorliegen einer gültigen Einwilligung liegt beim Unternehmen. Es muss also dokumentieren können, wann und wie der Kunde eingewilligt hat (z. B. durch Logfiles oder Zustimmungserklärungen). Ebenso muss nachgewiesen werden, dass der Kunde vorher korrekt über den Zweck (KI-Training) informiert wurde.
• Löschfristen und Datenpflege: Unternehmen müssen auch intern die Verantwortlichkeiten klären, wer darauf achtet, dass Trainingsdaten auf dem neuesten Stand bleiben und veraltete oder unzulässige Daten entfernt werden. Versäumt man solche Löschfristen, kann das ebenfalls als DSGVO-Verstoß gewertet werden.

Hinweis: Wenn Agenturen im Auftrag eines Kunden KI mit dessen Kundendaten trainieren, sollten die vertraglichen Pflichten klar verteilt werden – wer haftet im Ernstfall? Mehr dazu im Beitrag „KI-Vertragspflichten in Agenturen – Wer haftet für automatisierte Fehler?“.

Prävention und Verteidigung

Um erst gar nicht in die Verlegenheit von Datenschutz-Schadensersatzansprüchen zu kommen, sollten Unternehmen proaktiv Maßnahmen ergreifen:

• Interne Datenklassifizierung: Führen Sie eine Data-Governance-Matrix ein, in der alle Datenkategorien erfasst und klassifiziert werden (z. B. öffentlich, intern, vertraulich, personenbezogen sensibel etc.). So weiß jeder Projektbeteiligte, welche Daten für KI-Trainings tabu sind oder nur mit besonderer Freigabe verwendet werden dürfen.
• Datenschutz durch Technik: Stellen Sie sicher, dass eingesetzte KI-Modelle auditfähig sind. Das heißt, man sollte im Nachhinein nachvollziehen können, welche Daten eingeflossen sind und wie das Modell zu bestimmten Ergebnissen kommt. Ansätze wie datenschutzfreundliches Maschinelles Lernen (Privacy Preserving Machine Learning), etwa durch Anonymisierung, Pseudonymisierung oder Synthese von Daten, können Risiken vermindern.
• Reaktion auf Betroffenenanfragen: Richten Sie klare Prozesse ein, um Auskunfts- oder Löschbegehren von Kunden zügig zu beantworten. Wenn z. B. ein Kunde verlangt „Teilt mir mit, ob meine Daten in euer KI-Modell eingeflossen sind“ oder „Löscht meine Daten aus eurem System“, sollte das Unternehmen vorbereitet sein. Das beinhaltet auch, im Zweifel dem KI-Entwickler oder -Dienstleister die Anweisung geben zu können, bestimmte Daten zu entfernen. Geschwindigkeit und Transparenz in der Reaktion können nicht nur Bußgelder abwenden, sondern auch das Risiko von Schadensersatzklagen reduzieren.

Sollte es dennoch zu einem Datenschutzvorfall kommen, gilt es, kooperativ mit den Aufsichtsbehörden zusammenzuarbeiten und die Betroffenen umgehend zu informieren. Eine offene Kommunikation und das Eingestehen von Fehlern können manchmal härtere Sanktionen verhindern.

Fazit – Daten nutzen, ohne sie zu verlieren

Die Nutzung von Kundendaten zum Training von KI-Systemen ist ein Balanceakt zwischen Innovation und Privatsphäre. Einerseits bieten personalisierte Daten den Rohstoff für leistungsfähige KI-Modelle, andererseits verlangt die DSGVO einen verantwortungsvollen Umgang mit genau diesen Daten. Unternehmen sollten daher von Anfang an Datenschutz-Expertise in KI-Projekte einbinden und klare Prozesse etablieren. So kann man die Vorteile der Daten nutzen, ohne das Vertrauen der Kunden (und ihr Recht auf Datenschutz) zu verlieren. Eine strategische Balance zwischen technischem Fortschritt und Rechtssicherheit ist möglich – sie erfordert aber bewusste Planung und regelmäßige Überprüfung der eigenen Datenverarbeitungsprozesse. Letztlich zahlt sich eine frühzeitige rechtliche Prüfung jedes KI-Datenprojekts aus: Wer Risiken früh erkennt und adressiert, spart sich teure Konflikte und schützt seine Reputation.

Call-to-Action (CTA mit passenden internen Links)

Sie nutzen echte Kundendaten für KI-Training?
Dann brauchen Sie mehr als technische Exzellenz – Sie brauchen ein datenschutzrechtliches Schutzschild.
Wenn Löschung unmöglich, Transparenz lückenhaft oder die Einwilligung unklar ist, drohen Schadensersatz, Bußgeld und Reputationsschaden.

Lesen Sie weiter:

• KI-Vertragspflichten in Agenturen – Wer haftet für automatisierte Fehler?
• Was kostet eigentlich eine Datenschutzverletzung? – Schadensersatz nach DSGVO
• Dataset-Governance und Auditfähigkeit – Rechtssicherheit im KI-Training

Sie brauchen klare Prozesse, Auditfähigkeit und belastbare Einwilligungen?
Wir prüfen Ihre Modelle, Verträge und Datenstrukturen.
👉 Jetzt Kontakt aufnehmen

‍