KI & Regulierung: was Urheberrecht und Datenschutz jetzt fordern

Der doppelte Druck, der für KI alles ändert

Ein auf geistiges Eigentum spezialisierter Anwalt und ein Datenschutzprüfer betreten das Büro eines KI-Start-ups. Das ist nicht der Anfang eines Witzes — es ist der Alltag in den Jahren 2024-2025 für jedes Unternehmen, das künstliche Intelligenz entwickelt oder integriert.

Die KI-Branche navigiert heute zwischen zwei parallelen regulatorischen Fronten: Auf der einen Seite die Urheberrechtsfragen rund um das Training der Modelle, die nun durch den europäischen AI Act gerahmt werden. Auf der anderen Seite Datenschutzbehörden, die ihre Kontrollen bei Datenschutzverletzungen mit KI-Bezug vervielfacht haben. Für KMU, die diese Werkzeuge nutzen — oder für Agenturen wie unsere, die sie in die tägliche Produktion einbinden — ist es keine Option mehr, diese Vorgaben zu ignorieren.

Hier ist, was wirklich passiert und was Sie verstehen müssen.

Der AI Act und das Urheberrecht: das Ende des Wildwest-Trainings

Jahrelang trainierten große Tech-Konzerne ihre Modelle auf Milliarden von Datenpunkten aus dem Web, ohne sich allzu viele Fragen zur Herkunft zu stellen. Presseartikel, literarische Werke, Open-Source-Code, Werke von Künstlern — alles war recht.

Der europäische AI Act, der seit 2024 schrittweise in Kraft tritt, verändert diese Logik. Artikel 53 verpflichtet die Anbieter von KI-Allzweckmodellen — sogenannte GPAI (General Purpose AI) — nun zu Transparenz über die Trainingsdaten. Konkret: die genutzten Quellen dokumentieren, das geltende Urheberrecht respektieren und eine Zusammenfassung veröffentlichen, die ausreichend detailliert ist, damit Rechteinhaber prüfen können, ob ihre Werke verwendet wurden.

“Die Anbieter von KI-Modellen mit allgemeinem Verwendungszweck sehen eine Strategie zur Einhaltung des Urheberrechts der Union vor.” — AI Act, Artikel 53(1)(c)

Das ist nicht trivial. OpenAI, Google, Mistral AI, Stability AI — alle sind betroffen. Und die Gerichtsverfahren häufen sich: die New York Times gegen OpenAI, französische Autoren gegen Modellbetreiber, Illustratoren gegen Midjourney. Die Frage ist nicht mehr theoretisch.

Was das für Sie konkret ändert. Wenn Sie KI-Werkzeuge nutzen, um Inhalte zu erzeugen — Texte, Bilder, Code — sind Sie nicht direkt dafür verantwortlich, wie das Modell trainiert wurde. Aber es liegt in Ihrem Interesse, Anbieter zu wählen, die ihre Compliance dokumentieren. Ein Werkzeug auf gestohlenen Daten ist ein Reputations- und potenziell auch ein rechtliches Risiko, das Sie mittragen.

Datenschutzbehörden angesichts der Datenpannen-Explosion

Der andere Druck kommt vom Schutz personenbezogener Daten. Und hier sprechen die Zahlen für sich.

2023 erhielt die französische CNIL über 4.000 Meldungen von Datenschutzverletzungen — ein Rekord. 2024 beschleunigte sich der Trend, mit besonderem Fokus auf Systeme mit generativer KI. Warum? Weil diese Werkzeuge im Hinblick auf die DSGVO bislang ungekannte Probleme aufwerfen.

Drei zentrale Reibungspunkte hat die Kontrollpraxis offengelegt:

Die Speicherung der Prompt-Daten. Wenn Sie eine Anfrage in ChatGPT oder ein ähnliches Werkzeug eingeben, können diese Daten zur Verbesserung des Modells genutzt werden. Enthält Ihr Prompt Informationen zu einem Kunden, einem Mitarbeiter, einem Patienten — haben Sie potenziell personenbezogene Daten ohne gültige Rechtsgrundlage an einen Dritten übermittelt.

Halluzinationen und unrichtige Daten. Ein KI-Modell kann falsche Informationen über eine reale Person erzeugen. Die DSGVO sieht ein Recht auf Datenrichtigkeit vor. Wer ist verantwortlich, wenn eine KI eine Information über jemanden erfindet? Die rechtliche Antwort bleibt unscharf, aber die Aufsichtsbehörden nehmen zunehmend Unternehmen ins Visier, die solche Systeme ohne Schutzmechanismen ausrollen.

Datenübermittlungen außerhalb der EU. Die meisten großen Modelle werden in den USA gehostet. Jede Anfrage, die Sie an ein US-amerikanisches LLM senden, ist potenziell eine Datenübermittlung außerhalb der Europäischen Union — und damit den strengen DSGVO-Regeln zu internationalen Transfers unterworfen.

Die CNIL hat im Übrigen bereits 2023 eine Untersuchung zu ChatGPT eröffnet und sich damit ihrer italienischen (die das Werkzeug zeitweise blockierte) und deutschen Pendants angeschlossen. Die Botschaft ist klar: KI ist gegenüber der DSGVO keine Freizone.

Was sich konkret für ein KMU oder eine Agentur ändert

Sprechen wir Klartext. Sie entwickeln wahrscheinlich kein LLM. Aber Sie nutzen KI-Werkzeuge — und diese Regulierung betrifft Sie dennoch.

Das sehen wir im Agenturalltag, und das fragen unsere Kunden zunehmend.

DSGVO-konforme KI-Werkzeuge wählen

Nicht alle Werkzeuge sind gleich. Microsoft Copilot mit Enterprise-Einstellungen, europäische souveräne Lösungen wie Mistral oder On-Premise-Deployments bieten Garantien, die die Consumer-Version von ChatGPT nicht liefert. Bevor Sie ein KI-Werkzeug in Ihren Workflow integrieren, stellen Sie eine einfache Frage: Wohin gehen meine Daten? Wie lange werden sie gespeichert? Werden sie zum Training des Modells verwendet?

KI-Nutzung im Verzeichnis der Verarbeitungstätigkeiten dokumentieren

Die DSGVO verlangt ein Verzeichnis der Verarbeitungstätigkeiten. Wenn Sie KI für die Verarbeitung von Kundendaten nutzen — E-Mails formulieren, Verträge analysieren, Berichte erstellen — muss diese Verarbeitung dort aufgeführt sein. Das ist eine Pflicht, keine Option.

Keine sensiblen Daten in Ihre Prompts

Grundregel, die regelmäßig verletzt wird. Ein Buchhalter, der einen Gehaltszettel in ChatGPT einfügt, um „die Kernpunkte zusammenzufassen”, ein Vertriebsmitarbeiter, der eine komplette Kundenhistorie einfügt, um ein Angebot vorzubereiten — solche Praktiken bringen Ihr Unternehmen in die Bredouille. Schulen Sie Ihre Teams. Jetzt.

“DSGVO-Compliance endet nicht bei Ihrer Website. Sie erstreckt sich auf alle Werkzeuge, mit denen Sie Daten verarbeiten, einschließlich KI.” — Position der CNIL, 2024

Der AI Act: ein beschleunigter Zeitplan

Der AI Act ist kein fernes Gesetz. Sein Rollout folgt einem klaren Zeitplan:

• Februar 2025: Verbot von KI-Praktiken mit inakzeptablem Risiko (Manipulation, Social Scoring)
• August 2025: Pflichten für GPAI-Modelle (Transparenz, Urheberrecht)
• August 2026: Vollständiges Inkrafttreten für Hochrisikosysteme

Zu den Sektoren in der Kategorie „hohes Risiko” gehören Gesundheit, Bildung, HR, Justiz, kritische Infrastrukturen. Sind Sie in einer dieser Branchen und nutzen KI, gilt für Sie bis 2026 eine spezifische Compliance-Pflicht.

Die im AI Act vorgesehenen Sanktionen sind erheblich: bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes bei den schwersten Verstößen. Für GPAI, die das Urheberrecht nicht einhalten: 15 Millionen oder 3 % des Umsatzes. Das sind keine symbolischen Zahlen.

Was wir bei GDM-Pixel konkret tun

Wir nutzen KI massiv — Claude Code für Codegenerierung, automatisierte Pipelines für Inhalte, n8n-Workflows für unsere Kunden. Das ist keine Marketing-Pose, sondern unser tägliches Produktionswerkzeug.

Gerade weil wir KI wirklich einsetzen, mussten wir uns diese Fragen ernsthaft stellen.

Unser Ansatz hat drei Eckpfeiler. Erstens: Wir geben niemals echte Kundendaten in unsere Prompts — wir arbeiten in Test- und Entwicklungsphasen mit anonymisierten oder fiktiven Daten. Zweitens: Wir haben unsere KI-Nutzung in unserem DSGVO-Verzeichnis der Verarbeitungstätigkeiten dokumentiert — erledigt, aktuell. Drittens: Wir wählen unsere Werkzeuge anhand vertraglicher Datengarantien, nicht nur anhand der technischen Leistung.

Verlangsamt das unseren Workflow? Marginal. Schützt es uns rechtlich und lässt es uns KMU-Kunden mit unserer Seriosität überzeugen? Eindeutig ja.

Drei Punkte, die Sie jetzt mitnehmen sollten

1. Auditieren Sie Ihre aktuellen KI-Werkzeuge. Listen Sie alle KI-Werkzeuge auf, die Sie nutzen. Prüfen Sie für jedes die Datenschutzrichtlinie. Streichen Sie alle, die keine Garantie zur Nutzung Ihrer Prompts geben.

2. Aktualisieren Sie Ihr Verzeichnis der Verarbeitungstätigkeiten. Wenn Sie KI zur Verarbeitung personenbezogener Daten (Kunden, Mitarbeiter, Interessenten) einsetzen, ergänzen Sie diese Verarbeitungen in Ihrem DSGVO-Verzeichnis. Die Aufsichtsbehörde kann es jederzeit einfordern.

3. Schulen Sie Ihre Teams, bevor ein Vorfall passiert. Die meisten KI-bezogenen Datenpannen entstehen nicht aus einem technischen Fehler — sondern weil ein Mitarbeiter die falschen Informationen in das falsche Werkzeug eingegeben hat. Eine Stunde Schulung ist besser als eine Meldung an die Aufsicht.

Compliance ist keine Bremse für Innovation — sie ist ein Wettbewerbsvorteil

Was ich konkret beobachte: Unternehmen, die KI-Compliance jetzt ernst nehmen, bauen ein Kundenvertrauen auf, das ihre Wettbewerber nicht haben. In einem Markt, in dem KI bei vielen Entscheidern noch Misstrauen erzeugt, ist die Aussage „wir nutzen KI, und so schützen wir Ihre Daten” ein echtes Verkaufsargument.

AI Act und DSGVO werden nicht verschwinden. Die Kontrollen werden zunehmen. Sanktionen werden fallen — zunächst gegen die Großen, aber der Druck wird nach unten weitergegeben. Lieber vorbereitet sein.

Haben Sie Fragen zur Compliance Ihrer KI-Werkzeuge oder möchten Sie Ihren KI-Einsatz gegen die DSGVO auditieren? Genau diese Art von Diagnose führen wir bei GDM-Pixel durch. Kontaktieren Sie uns — wir geben Ihnen eine bodenständige Einschätzung, ohne unnötiges Juristen-Kauderwelsch und ohne Ihnen einen Relaunch zu verkaufen, der nicht nötig ist.

---

Quellen: Verordnung (EU) 2024/1689 — AI Act, CNIL-Jahresbericht 2023, CNIL-Empfehlungen zu generativer KI