Künstliche Intelligenz ist in aller Munde – doch was passiert eigentlich mit deinen Daten, wenn du ChatGPT, Copilot oder andere KI-Tools nutzt? Drei Begriffe solltest du kennen: Datenschutz, Feedback Loop und CLOUD Act. Hier bekommst du den Überblick – verständlich, praxisnah und mit den wichtigsten Gesetzen für die Schweiz, Deutschland und Österreich.
Warum dieses Thema jede und jeden betrifft
Du tippst eine Frage in ein KI-Tool, lädst ein Dokument hoch oder bewertest eine Antwort mit „Daumen hoch”. Was viele nicht wissen: In diesem Moment können deine Daten nicht nur verarbeitet, sondern unter Umständen auch zum Training des KI-Modells verwendet werden. Und je nachdem, wo der Anbieter sitzt, können sogar US-Behörden darauf zugreifen.
Das klingt beunruhigend – ist aber kein Grund zur Panik, wenn man die Zusammenhänge versteht. Genau darum geht es in diesem Beitrag.
1. Datenschutz: Die Spielregeln für deine Daten
Datenschutz regelt eine ganz grundsätzliche Frage: Ob und wie deine personenbezogenen Daten verarbeitet werden dürfen. Personenbezogene Daten sind dabei alle Informationen, mit denen man dich direkt oder indirekt identifizieren kann – also Name, E-Mail-Adresse, IP-Adresse, aber auch dein Chatverlauf mit einem KI-Tool.
Die wichtigsten Gesetze im Überblick
In der EU gilt die Datenschutz-Grundverordnung (DSGVO) seit 2018. Sie legt Prinzipien fest, die sich wie ein roter Faden durch alles ziehen: Rechtmässigkeit, Transparenz, Zweckbindung, Datenminimierung und Integrität. Für jede Datenverarbeitung braucht es eine Rechtsgrundlage – zum Beispiel deine Einwilligung oder ein berechtigtes Interesse des Anbieters.
In Deutschland ergänzt das Bundesdatenschutzgesetz (BDSG) die DSGVO, unter anderem mit strengeren Regeln für Mitarbeiterdaten. In Österreich regelt das nationale Datenschutzgesetz (DSG) die Umsetzung und Aufsicht durch die österreichische Datenschutzbehörde.
In der Schweiz gilt seit dem 1. September 2023 das revidierte Datenschutzgesetz (revDSG). Es ist inhaltlich stark an die DSGVO angelehnt, bleibt aber eigenständiges Schweizer Recht. Die Grundsätze sind vergleichbar: Verhältnismässigkeit, Zweckbindung, Datensicherheit und Transparenz.
Was bedeutet das für KI?
Sobald ein KI-System mit personenbezogenen Daten trainiert, getestet oder betrieben wird, greifen diese Gesetze. Schreibst du also in ein KI-Tool „Ich, Roger aus Zürich, mit dieser E-Mail-Adresse…” – dann sind das personenbezogene Daten und die Datenschutzgesetze gelten.
Wichtig: Erst wenn Daten so anonymisiert sind, dass eine Re-Identifikation praktisch ausgeschlossen ist, greift das Datenschutzrecht nicht mehr.
2. Der Feedback Loop: Wenn die KI aus deinen Daten lernt
Der sogenannte „Feedback Loop” beschreibt einen Prozess, den viele Nutzende gar nicht auf dem Schirm haben: Deine Eingaben – also Prompts, hochgeladene Dateien und sogar Bewertungen wie „Antwort war hilfreich” – können dazu genutzt werden, das KI-Modell weiterzuentwickeln. Technisch fliessen diese Daten in zukünftige Trainings-, Validierungs- oder Fine-Tuning-Runden ein.
Ist das erlaubt?
Unter DSGVO und revDSG ist Training mit personenbezogenen Daten nur unter bestimmten Bedingungen zulässig:
- Es muss eine Rechtsgrundlage vorliegen (z. B. deine Einwilligung oder ein berechtigtes Interesse des Anbieters nach einer sorgfältigen Interessenabwägung).
- Der Zweck muss klar erklärt sein, zum Beispiel „Verbesserung des Modells”.
- Es gilt das Prinzip der Datenminimierung: Wo möglich, sollten Daten pseudonymisiert oder anonymisiert werden.
- Für besonders schützenswerte Daten (Gesundheit, Religion, politische Meinung) braucht es in der Praxis fast immer eine ausdrückliche Einwilligung.
Deine Rechte: Opt-out und mehr
Als Betroffene oder Betroffener hast du unter DSGVO und revDSG eine ganze Reihe von Rechten:
- Auskunftsrecht: Welche Daten hat der Anbieter? Wofür werden sie verwendet?
- Recht auf Löschung: Das berühmte „Recht auf Vergessenwerden”.
- Widerspruchsrecht: Besonders relevant beim KI-Training – du kannst der Verarbeitung widersprechen, wenn sie auf berechtigtem Interesse basiert.
- Widerruf der Einwilligung: Jederzeit möglich. Ab diesem Zeitpunkt dürfen deine Daten nicht mehr verwendet werden.
Praxis-Tipp: Viele KI-Anbieter bieten in den Einstellungen eine Option wie „Use my data to improve the model” an. Hier kannst du typischerweise ein Opt-out setzen, das sich auf zukünftiges Training bezieht. Mach das – vor allem bei sensiblen Themen.
3. Der US CLOUD Act: Wenn US-Behörden auf deine Daten zugreifen können
Jetzt wird es geopolitisch. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-Gesetz aus dem Jahr 2018. Er besagt: US-Strafverfolgungsbehörden können auf elektronische Daten bei US-Diensteanbietern zugreifen – und zwar unabhängig davon, wo diese Daten gespeichert sind.
Das heisst konkret: Nutzt du einen Dienst von Microsoft, Google oder Amazon, können US-Behörden theoretisch Zugriff auf deine Daten verlangen – selbst wenn die Server in Frankfurt, Wien oder Zürich stehen.
Warum ist das ein Problem?
Aus EU- und Schweizer Sicht stellt eine solche Herausgabe eine Drittlandübermittlung dar, die nach DSGVO und revDSG strengen Voraussetzungen unterliegt. Es entsteht ein fundamentaler Rechtskonflikt: Was US-Recht verlangt, kann EU-/CH-Recht verbieten.
Ein Beispiel: Speicherst du Patientendaten in einem US-Cloud-Dienst, könnte eine US-Behörde über den CLOUD Act Zugang verlangen – obwohl nach europäischem und Schweizer Recht dafür eigentlich strenge Voraussetzungen gelten müssten.
4. Bonus: Der EU AI Act – neue Spielregeln speziell für KI
Seit 2024 gibt es mit der Verordnung (EU) 2024/1689, dem sogenannten AI Act, erstmals eine KI-spezifische Regulierung in der EU. Wichtig zu verstehen: Der AI Act ersetzt die DSGVO nicht, sondern ergänzt sie.
Für KI-Training relevant ist insbesondere Artikel 10, der Anforderungen an Trainings-, Validierungs- und Testdaten formuliert – also Qualität, Repräsentativität und Governance. Für Hochrisiko-KI gelten strenge Pflichten, und für grosse Basismodelle (General Purpose AI) gibt es Transparenzpflichten zu den Trainingsdaten.
Was heisst das alles für dich in der Praxis?
Hier die wichtigsten Handlungsempfehlungen:
Bei jedem KI-Tool prüfen: Wo sitzt der Anbieter? Welche Daten werden gespeichert? Werden sie fürs Training verwendet? Gibt es ein Opt-out?
Bei sensiblen Daten: Bevorzuge Anbieter in der EU oder der Schweiz, die keine oder eine reduzierte CLOUD-Act-Exposition haben und klare Optionen bieten, dass deine Daten nicht fürs Training genutzt werden.
Wenn du selbst KI einsetzt: Dokumentiere die Rechtsgrundlage und den Zweck. Ob DSGVO oder revDSG – ohne klare Grundlage wird es rechtlich problematisch.
Dieser Beitrag bietet eine allgemeine Übersicht und ersetzt keine Rechtsberatung. Für unternehmensspezifische Fragen empfiehlt sich die Konsultation einer Fachperson für Datenschutzrecht.
Quellen und weitere Informationen
ADVANT NCTM. (o. D.). The European Commission’s template on training data transparency: First guidelines for the AI Act. https://www.advant-nctm.com/en/news/the-european-commissions-template-on-training-data-transparency-first-guidelines-for-the-ai-act
AI Act Info. (o. D.). Article 10: Data and data governance. https://aiactinfo.eu/article/article-10-data-and-data-governance
Datalynx. (o. D.). Six principles on the CLOUD Act from Microsoft. https://datalynx.ch/en/insights/it-support/six-principles-on-the-cloud-act-from-microsoft/
DLA Piper. (o. D.). Data protection laws of the world: Austria. https://www.dlapiperdataprotection.com/index.html?t=about&c=AT
European Data Protection Board [EDPB]. (2024). EDPB opinion on AI models: GDPR principles support responsible AI. https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en
Eurojust. (o. D.). Cloud Act. https://www.eurojust.europa.eu/publication/cloud-act
Fachhochschule Nordwestschweiz [FHNW]. (o. D.). Seminar Datenschutz. https://www.fhnw.ch/de/weiterbildung/wirtschaft/seminar-datenschutz
GDPR Local. (o. D.). GDPR & machine learning. https://gdprlocal.com/gdpr-machine-learning/
heydata. (o. D.). How to train AI models with personal data without violating GDPR. https://heydata.eu/en/magazine/how-to-train-ai-models-with-personal-data-without-violating-gdpr/
Kiteworks. (o. D.). German Federal Data Protection Act (BDSG). https://www.kiteworks.com/risk-compliance-glossary/german-federal-data-protection-act-bdsg/
LEXR. (o. D.). Von der Idee zur Umsetzung: Rechtsgrundlagen für KI-Training erklärt. https://www.lexr.com/de-ch/blog/von-der-idee-zur-umsetzung-rechtsgrundlagen-fur-ki-training-erklaert/
Petrie-Flom Center, Harvard Law School. (2025, 24. Februar). Europe tightens data protection rules for AI models – and it’s a big deal for healthcare and life sciences. https://petrieflom.law.harvard.edu/2025/02/24/europe-tightens-data-protection-rules-for-ai-models-and-its-a-big-deal-for-healthcare-and-life-sciences/
Secure Privacy. (o. D.). German data privacy laws guide: BDSG, TTDSG, GDPR. https://secureprivacy.ai/blog/german-data-privacy-laws-guide-bdsg-ttdsg-gdpr
Skadden, Arps, Slate, Meagher & Flom LLP. (2025). CNIL clarifies GDPR basis for AI training. https://www.skadden.com/insights/publications/2025/06/cnil-clarifies-gdpr-basis-for-ai-training
SRD Rechtsanwälte. (o. D.). Privacy & AI under GDPR. https://www.srd-rechtsanwaelte.de/en/blog/privacy-ai-gdpr
