KI-Training Nutzerdaten: Opt-out, DSGVO, AI Act | IT-Medienrecht

Erfahren Sie, wie KI-Training mit Nutzerdaten 2025 rechtssicher funktioniert. Alles zu Opt-out, DSGVO, AI Act, TDM & Urheberrecht. Jetzt informieren!

Das Wichtigste in Kürze

  • KI-Training erfordert die Beachtung von Urheberrecht (TDM-Ausnahmen, Opt-out), DSGVO (Rechtsgrundlagen, Betroffenenrechte) und AI Act (Transparenz, Copyright-Compliance).
  • Ein wirksames Opt-out im Urheberrecht muss maschinenlesbar sein (z.B. TDMRep) und von KI-Systemen respektiert werden.
  • DSGVO-Konformität bei personenbezogenen Daten erfordert eine Rechtsgrundlage (oft berechtigtes Interesse mit strengem Test), Transparenz, Betroffenenrechte und Risikosteuerung (DPIA).
  • Der AI Act führt Transparenz- und Copyright-Compliance-Pflichten für GPAI-Modelle ein, inklusive der Veröffentlichung von Trainingsinhalts-Zusammenfassungen.
  • Ein umfassender Praxisfahrplan umfasst Governance, Verträge und technische Prozesse zur Sicherstellung der Rechtskonformität.

Rechtskonformes KI-Training: Urheberrecht, DSGVO und AI Act im Überblick

Generative KI benötigt Daten. Beim Training dieser Modelle treffen drei zentrale Rechtsgebiete unmittelbar aufeinander: das Urheberrecht, die DSGVO und der AI Act.

Es geht um die Balance zwischen TDM-Ausnahmen und Opt-out-Mechanismen im Urheberrecht, sowie Rechtsgrundlagen, Informationspflichten und Betroffenenrechten nach der DSGVO. Der AI Act ergänzt dies durch Transparenz- und Copyright-Compliance-Anforderungen für General-Purpose-Modelle. Ein sauberer Aufbau aus Rechtsgrundlagen, vertraglichen Zusicherungen, technischen Opt-out-Mechanismen und klaren Prozessen für Einwände und Löschungen ist entscheidend. Dieser Leitfaden bündelt die praxistauglichen Schritte mit Fokus auf deutsche und europäische Regeln.

Rechtsrahmen kompakt: TDM-Ausnahmen, Opt-out und die deutsche Umsetzung

Der unionsrechtliche Dreh- und Angelpunkt für das Training auf urheberrechtlich geschützten Inhalten sind die TDM-Ausnahmen der Richtlinie (EU) 2019/790 (DSM). Artikel 3 privilegiert Text- und Data-Mining durch Forschungseinrichtungen oder Kulturerbeeinrichtungen bei rechtmäßigem Zugang, ohne Widerspruchsmöglichkeit der Rechteinhaber. Artikel 4 eröffnet eine allgemeine TDM-Schranke für weitere Zwecke, einschließlich kommerziellen KI-Trainings. Dies gilt jedoch nur, soweit Rechteinhaber die Nutzung nicht „in geeigneter Form“ ausdrücklich vorbehalten (Opt-out, online idealerweise maschinenlesbar).

In Deutschland sind diese Regeln als § 60d UrhG (Forschung) und § 44b UrhG (allgemeines TDM mit Opt-out) umgesetzt. Für die Praxis bedeutet das:

Das Opt-out ist insbesondere online maschinenlesbar auszudrücken. Diskussionen und erste Entscheidungen in Deutschland konkretisieren, dass „maschinenlesbar“ nicht automatisch klassische robots.txt-Verbote meint. Vielmehr etabliert sich eine spezifische TDM-Reservation, die klar und technisch auswertbar signalisiert, dass TDM-Nutzungen vorbehalten werden.

Erste Gerichtsentscheidungen haben zudem gezeigt: Die Rechtmäßigkeit des Zugriffs, die Einhaltung von Opt-outs und die saubere Dokumentation sind haftungsrelevant. Dies gilt bereits bei der Datensatzbildung für das Training, nicht erst beim eigentlichen Modelltraining. Die Sensibilisierung für diese Aspekte ist entscheidend, um Urheberrechtsrisiken zu minimieren.

DSGVO beim Web- und Nutzerdaten-Training: Rechtsgrundlagen, Grenzen, Pflichten

KI-Training auf personenbezogenen Daten benötigt eine tragfähige Rechtsgrundlage nach Art. 6 DSGVO. Die Debatte dreht sich vor allem um berechtigte Interessen (Art. 6 Abs. 1 lit. f). Datenschutzaufsichten betonen: Berechtigte Interessen können denkbar sein, verlangen aber einen strengen Drei-Stufen-Test. Zudem sind Sicherheits- und Transparenzmaßnahmen, eine Interessenabwägung, Opt-Out-Mechanismen und eine nachvollziehbare Accountability erforderlich. Für besondere Kategorien (Art. 9 DSGVO) ist der Maßstab erheblich höher; eine Stützung auf berechtigte Interessen scheidet aus. Hier bedarf es beispielsweise einer ausdrücklichen Einwilligung oder einer anderen speziellen Ausnahme.

Weitere Eckpunkte im Rahmen der DSGVO sind:

Europäische und nationale Behörden haben 2024/2025 Leitlinien und Task-Force-Berichte veröffentlicht, die den Rahmen schärfen. Die EDPB adressiert Transparenz, Richtigkeitsrisiken und Rechtsgrundlagen. Die CNIL erläutert Bedingungen, unter denen sich Training auf berechtigte Interessen stützen lässt, einschließlich technischer und organisatorischer Schutzmaßnahmen. Die ICO (UK) konkretisiert die Anforderungen an Web-Scraping und Legitimate-Interest-Tests. Für die Praxis ist entscheidend, diese Vorgaben nachweisbar in Governance und Technik zu verankern.

AI Act und Copyright-Compliance: Pflichten für General-Purpose-Modelle

Der AI Act ist seit Juli 2024 im Amtsblatt der EU veröffentlicht; zentrale Teile greifen stufenweise bis 2026. Für General-Purpose-AI-Modelle (GPAI) normiert der Rechtsrahmen Transparenz- und Copyright-Compliance-Pflichten. Anbieter von GPAI-Modellen müssen unter anderem eine Policy zur Beachtung des EU-Urheberrechts vorhalten. Zudem ist eine hinreichend detaillierte Zusammenfassung der zum Training verwendeten Inhalte zu veröffentlichen, unabhängig davon, wo das Training stattfand.

Parallel entsteht ein GPAI-Code of Practice (2025) als freiwilliger Anknüpfungspunkt, um die Pflichten – einschließlich Copyright-Respekt und Dokumentation – praktisch umzusetzen. Konsequenz: Rechte- und Daten-Compliance werden prüf- und nachweispflichtig, nicht nur „Best Efforts“.

Opt-out in der Praxis: maschinenlesbare Vorbehalte und wie KI-Teams sie beachten

Die DSM-Richtlinie verlangt für online verfügbare Inhalte einen maschinenlesbaren Vorbehalt. In der Praxis etabliert sich das TDM-Reservation Protocol (TDMRep) als dedizierter, auswertbarer Standard. Es kann unter anderem per HTTP-Header oder TDM-Datei signalisieren, dass TDM-Nutzungen vorbehalten sind, und optional auf Lizenzpfade verweisen.

Daneben kursieren inoffizielle Signale, zum Beispiel „noai“-Meta- oder robots-Tags. Diese sind jedoch nicht harmonisiert und werden inkonsistent beachtet. Wer auf § 44b UrhG setzt, sollte in der Pipeline konsequent TDM-Signale parsen und belegen, dass Opt-outs respektiert werden – andernfalls drohen Urheberrechtsrisiken. Öffentliche Stellen (Rat/Kommission) treiben parallel Standards und Registry-Überlegungen voran, um das Opt-out europaweit interoperabel zu machen.

Technische Mindestmaßnahmen für Scraper und Loader

Urheberrecht und DSGVO zusammen denken: Vier typische Stolpersteine

Praxisfahrplan: Governance, Verträge, Technik

Praxisfahrplan: Rechtskonformes KI-Training 1 Governance und Dokumentation 2 Verträge und Rechtekette 3 Technik und Prozesse
Praxisfahrplan: Rechtskonformes KI-Training

Governance und Dokumentation

Verträge und Rechtekette

Technik und Prozesse

Umsetzungsschritte für Produkt-Teams: „Legal by Architecture“

Korpus-Design für das KI-Training

Transparenz und Nutzersteuerung

Evaluation und Betrieb

Häufige Fehlannahmen – und wie sie vermieden werden

Im Bereich des rechtskonformen KI-Trainings kursieren einige Fehlannahmen:

Checkliste 2025: Von der Rechtstheorie zur Revisionssicherheit

Um Rechtskonformität sicherzustellen, sollten folgende Punkte geprüft und umgesetzt werden:

  1. Datenquellen-Register mit Opt-out-Status (tdm-reservation), Rechtmäßigkeit und Lizenzpfad.
  2. TDM-Parser produktiv, Blocker für TDM-Vorbehalte aktiv.
  3. DSGVO-Grundlage ausgewiesen (Art. 6/9), LIA/DPIA dokumentiert, Transparenztexte verfügbar.
  4. Sensitive-Data-Mitigation vor Training, Ausschlusslisten aktuell.
  5. Betroffenenrechte-Prozess (Auskunft, Widerspruch, Löschung) end-to-end implementiert.
  6. AI-Act-GPAI: Copyright-Policy plus Trainingsinhalts-Zusammenfassung implementiert; Code of Practice gegebenenfalls gezeichnet.
  7. Vertragliche Zusicherungen mit Content-/API-Partnern (Clearing, Freistellung, Audit).
  8. Audit-Trail für Sourcing, Training, Evaluierung und Releases; regelmäßige Management-Reviews.

Fazit

Rechtskonformes KI-Training ist kein Ratespiel, sondern erfordert Prozess- und Beweisdisziplin. Wer TDM-Opt-outs technisch respektiert, DSGVO-Pflichten organisatorisch abbildet und AI-Act-Transparenz substanziell erfüllt, reduziert Streit- und Sanktionsrisiken erheblich. Gleichzeitig schafft dies die Grundlage, um mit Rechteinhabern planbar zu lizenzieren. Der operative Unterschied entsteht nicht in Grundsatzpapieren, sondern in Crawler-Logs, Parsern, Filtern, Policies und Verträgen, die einem Audit standhalten.

Schritt-für-Schritt-Anleitung

  1. Governance und Dokumentation etablieren

    Erstellen Sie einen Policy-Stack (TDM-Compliance, Copyright, Privacy, Retention), weisen Sie Rollen klar zu (Data Sourcing, Rights & Privacy Counsel, Dataset Steward etc.), führen Sie DPIAs und Legitimate-Interest-Abwägungen mit Safeguards durch und implementieren Sie Transparenzmaßnahmen wie Layered Notices und Model Cards.

  2. Verträge und Rechtekette sichern

    Sichern Sie Content-Quellen mit klaren Lizenzklauseln zu TDM-Erlaubnis/-Beschränkung und Zweckbindung. Vereinbaren Sie mit API/Partnern die rechtmäßige Bereitstellung und Freistellung. Implementieren Sie in AGBs für Nutzerinhalte klare Opt-ins/Opt-outs und legen Sie mit Datenlieferanten Vereinbarungen zu Geheimhaltung, Rechten und Qualität fest.

  3. Technik und Prozesse implementieren

    Integrieren Sie Parser für TDM-Reservationen in die Pipeline. Setzen Sie Sensitive-Data-Filter vor der Aufnahme in Trainingskorpora ein. Richten Sie Such- und Suppressionsfunktionen für Betroffenenrechte ein. Dokumentieren Sie Dataset-Provenance (Quellen, Timestamp, Opt-out-Status, Lizenzpfad, Rechtsgrundlage) und stellen Sie die Unveränderlichkeit sicher. Implementieren Sie Model-Level-Kontrollen und Security by Design.

Häufig gestellte Fragen

Welche zentralen Rechtsgebiete sind beim Training generativer KI-Modelle relevant?
Beim Training generativer KI-Modelle treffen das Urheberrecht, die Datenschutz-Grundverordnung (DSGVO) und der AI Act aufeinander. Es geht um die Balance zwischen TDM-Ausnahmen und Opt-out-Mechanismen im Urheberrecht, sowie Rechtsgrundlagen, Informationspflichten und Betroffenenrechten nach der DSGVO. Der AI Act ergänzt dies durch Transparenz- und Copyright-Compliance-Anforderungen.
Was bedeuten die TDM-Ausnahmen und Opt-out-Mechanismen im deutschen Urheberrecht für KI-Training?
Die TDM-Ausnahmen der DSM-Richtlinie sind in Deutschland als § 60d UrhG (Forschung) und § 44b UrhG (allgemeines TDM mit Opt-out) umgesetzt. Kommerzielles Training kann auf § 44b UrhG gestützt werden, sofern kein wirksames, maschinenlesbares Opt-out gesetzt wurde und der Zugang rechtmäßig war.
Welche Anforderungen stellt die DSGVO an das KI-Training mit personenbezogenen Daten?
KI-Training mit personenbezogenen Daten benötigt eine tragfähige Rechtsgrundlage nach Art. 6 DSGVO, oft das berechtigte Interesse nach einem strengen Drei-Stufen-Test. Wichtig sind zudem Transparenz- und Informationspflichten, die Einhaltung von Betroffenenrechten (Widerspruch, Löschung), Datenminimierung und die Durchführung einer Datenschutz-Folgenabschätzung (DPIA).
Welche Pflichten ergeben sich aus dem AI Act für General-Purpose-AI-Modelle (GPAI)?
Der AI Act normiert für GPAI-Modelle Transparenz- und Copyright-Compliance-Pflichten. Anbieter müssen eine Policy zur Beachtung des EU-Urheberrechts vorhalten und eine detaillierte Zusammenfassung der zum Training verwendeten Inhalte veröffentlichen.
Welche typischen Stolpersteine gibt es bei der Kombination von Urheberrecht und DSGVO im KI-Training?
Häufige Fallstricke sind, dass rechtmäßiger Zugang kein Freifahrtschein für die Nutzung personenbezogener Daten ist, das unbemerkte Einschleichen von Spezialkategorien in Korpora, die Unterschätzung von Datenbankrechten sowie die Komplexität der Umsetzung nachträglicher Opt-outs und Betroffenenrechte, die auch Modellartefakte betreffen können.