Du nutzt ChatGPT, Copilot oder ein anderes KI-Tool? Dann solltest du drei Dinge wissen: Wer deine Daten schützt, ob die KI aus deinen Eingaben lernt – und warum es einen Unterschied macht, ob der Anbieter aus den USA oder aus Europa kommt. Hier bekommst du alles einfach erklärt.
Zuerst: Was sind überhaupt „meine Daten”?
Immer wenn jemand anhand einer Information herausfinden kann, wer du bist, spricht man von personenbezogenen Daten. Das ist mehr als du denkst: dein Name, deine E-Mail-Adresse, deine IP-Adresse – aber auch das, was du in ein KI-Tool eintippst, wenn es Rückschlüsse auf dich zulässt.
Ein Beispiel: Schreibst du in ein KI-Tool „Ich heisse Roger, wohne in Zürich und meine E-Mail ist…” – dann sind das personenbezogene Daten. Und dann gelten Gesetze, die dich schützen.
Erst wenn Daten so verändert wurden, dass niemand mehr herausfinden kann, von wem sie stammen, gelten diese Gesetze nicht mehr. Das nennt man Anonymisierung.
Teil 1: Datenschutz – wer schützt meine Daten?
In Europa und der Schweiz gibt es klare Regeln dafür, was mit deinen Daten passieren darf. Die wichtigste Regel: Niemand darf einfach so deine Daten verarbeiten. Es braucht immer einen guten Grund – zum Beispiel deine Zustimmung.
Welche Gesetze gelten wo?
In der EU heisst das Gesetz DSGVO (Datenschutz-Grundverordnung). Es gilt in allen EU-Ländern und legt fest: Daten dürfen nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt. Ausserdem muss klar sein, wofür die Daten genutzt werden, und es dürfen nicht mehr Daten gesammelt werden als nötig.
In Deutschland gibt es zusätzlich das BDSG (Bundesdatenschutzgesetz), das die DSGVO ergänzt – zum Beispiel mit strengeren Regeln für Daten von Mitarbeitenden.
In Österreich ergänzt das nationale DSG die DSGVO mit eigenen Aufsichts- und Sanktionsregeln.
In der Schweiz gilt seit September 2023 das revidierte Datenschutzgesetz (revDSG). Es funktioniert ähnlich wie die DSGVO, ist aber ein eigenständiges Schweizer Gesetz. Die Grundsätze sind vergleichbar: Verhältnismässigkeit, Zweckbindung, Transparenz.
Was bedeutet das für KI?
Ganz einfach: Sobald ein KI-Tool mit personenbezogenen Daten arbeitet – sei es beim Training, beim Testen oder im laufenden Betrieb – gelten diese Datenschutzgesetze. Egal ob in Berlin, Wien oder Zürich.
Teil 2: Lernt die KI aus meinen Eingaben?
Kurze Antwort: Möglicherweise ja. Und genau das ist der sogenannte „Feedback Loop”.
Was ist der Feedback Loop?
Wenn du einem KI-Tool eine Frage stellst, ein Dokument hochlädst oder eine Antwort mit „Daumen hoch” bewertest, können diese Informationen dazu verwendet werden, das KI-Modell zu verbessern. Deine Eingaben fliessen dann in zukünftige Trainingsrunden ein.
Das ist nicht grundsätzlich schlecht – aber es muss unter bestimmten Bedingungen passieren:
- Der Anbieter braucht einen guten Grund (z. B. deine Zustimmung).
- Es muss klar kommuniziert sein, dass und warum deine Daten verwendet werden.
- Wo möglich, sollten die Daten anonymisiert werden.
- Bei besonders sensiblen Daten (Gesundheit, Religion, politische Meinung) braucht es fast immer deine ausdrückliche Zustimmung.
Was kannst du tun?
Du hast Rechte – und zwar ziemlich starke:
- Du kannst nachfragen, welche Daten der Anbieter über dich hat.
- Du kannst die Löschung deiner Daten verlangen.
- Du kannst widersprechen, dass deine Daten fürs Training genutzt werden.
- Du kannst eine einmal gegebene Zustimmung jederzeit zurückziehen.
Der wichtigste Praxis-Tipp: Schau in die Einstellungen deines KI-Tools. Viele Anbieter bieten dort eine Option wie „Use my data to improve the model” an. Diese Option kannst du ausschalten. Mach das – besonders wenn du sensible Informationen eingibst.
Teil 3: Können US-Behörden auf meine Daten zugreifen?
Hier wird es spannend. Es gibt ein US-Gesetz namens CLOUD Act (seit 2018). Es besagt: Wenn du einen Dienst eines US-Unternehmens nutzt – also zum Beispiel Microsoft, Google oder Amazon – dann können US-Behörden Zugriff auf deine Daten verlangen.
Und jetzt kommt der Knackpunkt: Das gilt auch dann, wenn deine Daten auf einem Server in Europa oder der Schweiz liegen.
Warum ist das ein Problem?
Weil europäisches und Schweizer Recht eigentlich sagt: Daten dürfen nicht einfach so an Behörden ausserhalb Europas weitergegeben werden. Es entsteht also ein Widerspruch zwischen dem, was US-Recht verlangt, und dem, was EU-/CH-Recht erlaubt.
Ein Beispiel: Stell dir vor, eine Arztpraxis speichert Patientendaten in einer Cloud von Microsoft. Eine US-Behörde könnte über den CLOUD Act verlangen, diese Daten einzusehen – obwohl das nach Schweizer und europäischem Recht eigentlich nicht so einfach möglich sein sollte.
Bonus: Der EU AI Act – neue Regeln speziell für KI
Seit 2024 gibt es in der EU mit dem AI Act erstmals ein eigenes Gesetz für Künstliche Intelligenz. Wichtig zu wissen: Es ersetzt die DSGVO nicht, sondern kommt obendrauf.
Der AI Act stellt Anforderungen an die Daten, mit denen KI-Systeme trainiert werden – also Qualität, Fairness und Dokumentation. Für besonders riskante KI-Anwendungen gelten strenge Auflagen. Und grosse KI-Modelle müssen transparent machen, mit welchen Daten sie trainiert wurden.
Was heisst das alles für dich?
Drei einfache Regeln für den Alltag:
1. Prüfe dein KI-Tool: Wo sitzt der Anbieter? Gibt es eine Option, das Training mit deinen Daten abzuschalten? Wenn ja: abschalten.
2. Sei vorsichtig mit sensiblen Daten: Gesundheitsdaten, Mitarbeiterdaten, vertrauliche Geschäftsinformationen – dafür am besten einen europäischen oder Schweizer Anbieter wählen, der nicht dem CLOUD Act unterliegt.
3. Kenne deine Rechte: Du darfst wissen, was mit deinen Daten passiert. Du darfst widersprechen. Du darfst löschen lassen. Nutze das.
HINWEIS: Dieser Beitrag dient der allgemeinen Information und ist keine Rechtsberatung.
Quellen
ADVANT NCTM. (o. D.). The European Commission’s template on training data transparency: First guidelines for the AI Act. https://www.advant-nctm.com/en/news/the-european-commissions-template-on-training-data-transparency-first-guidelines-for-the-ai-act
AI Act Info. (o. D.). Article 10: Data and data governance. https://aiactinfo.eu/article/article-10-data-and-data-governance
Datalynx. (o. D.). Six principles on the CLOUD Act from Microsoft. https://datalynx.ch/en/insights/it-support/six-principles-on-the-cloud-act-from-microsoft/
DLA Piper. (o. D.). Data protection laws of the world: Austria. https://www.dlapiperdataprotection.com/index.html?t=about&c=AT
European Data Protection Board [EDPB]. (2024). EDPB opinion on AI models: GDPR principles support responsible AI. https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en
Eurojust. (o. D.). Cloud Act. https://www.eurojust.europa.eu/publication/cloud-act
Fachhochschule Nordwestschweiz [FHNW]. (o. D.). Seminar Datenschutz. https://www.fhnw.ch/de/weiterbildung/wirtschaft/seminar-datenschutz
GDPR Local. (o. D.). GDPR & machine learning. https://gdprlocal.com/gdpr-machine-learning/
heydata. (o. D.). How to train AI models with personal data without violating GDPR. https://heydata.eu/en/magazine/how-to-train-ai-models-with-personal-data-without-violating-gdpr/
Kiteworks. (o. D.). German Federal Data Protection Act (BDSG). https://www.kiteworks.com/risk-compliance-glossary/german-federal-data-protection-act-bdsg/
LEXR. (o. D.). Von der Idee zur Umsetzung: Rechtsgrundlagen für KI-Training erklärt. https://www.lexr.com/de-ch/blog/von-der-idee-zur-umsetzung-rechtsgrundlagen-fur-ki-training-erklaert/
Petrie-Flom Center, Harvard Law School. (2025, 24. Februar). Europe tightens data protection rules for AI models – and it’s a big deal for healthcare and life sciences. https://petrieflom.law.harvard.edu/2025/02/24/europe-tightens-data-protection-rules-for-ai-models-and-its-a-big-deal-for-healthcare-and-life-sciences/
Secure Privacy. (o. D.). German data privacy laws guide: BDSG, TTDSG, GDPR. https://secureprivacy.ai/blog/german-data-privacy-laws-guide-bdsg-ttdsg-gdpr
Skadden, Arps, Slate, Meagher & Flom LLP. (2025). CNIL clarifies GDPR basis for AI training. https://www.skadden.com/insights/publications/2025/06/cnil-clarifies-gdpr-basis-for-ai-training
SRD Rechtsanwälte. (o. D.). Privacy & AI under GDPR. https://www.srd-rechtsanwaelte.de/en/blog/privacy-ai-gdpr
