Der Datenschutz hat dreißig Jahre lang eine einfache Frage gestellt: Wer ist der Mensch hinter diesen Daten? Es war eine gute Frage. Sie hat ein Recht hervorgebracht, das funktioniert, eine Rechtsprechung, die sich gefestigt hat, eine Aufsichtsstruktur, die – mit allen Mängeln – ihren Dienst tut. Wir wissen, wie man eine Bewerberdatenbank ordnungsgemäß betreibt. Wir wissen, wann eine Kundenanalyse zulässig ist. Wir wissen, wie ein Mitarbeitergespräch protokolliert werden darf.
Mit der generativen Künstlichen Intelligenz wird diese Frage stumpf. Nicht weil sie falsch wäre. Sondern weil das, was sie fragt, in den neuen Systemen nicht mehr existiert.
Was sich verschoben hat
Datenschutzrecht ist ein Recht der Identifizierbarkeit. Es schützt mich, weil ein konkretes Datum auf mich zeigt. Mein Name, meine Anschrift, meine IP-Adresse, meine Gehaltsabrechnung – alles, was zurückverfolgbar ist, ist geschützt. Was nicht zurückverfolgbar ist, fällt aus dem System heraus. So war es immer.
Generative KI funktioniert anders. Ein Sprachmodell, das aus Milliarden Texten gelernt hat, zitiert niemanden direkt. Es speichert keine Datensätze über Einzelne. Es hat keine Datenbank, in der man eine Person finden, korrigieren oder löschen könnte. Und doch trägt es etwas von jedem, der jemals geschrieben hat. Stilfiguren, Argumentationsweisen, Denkbewegungen, kulturelle Muster. Ein Modell, das auf den Briefen Heinrich Manns trainiert wurde, „enthält" Heinrich Mann nicht – und schreibt doch wie er, wenn man es bittet. Das ist eine andere Form der Aneignung als jede, die das Datenschutzrecht jemals im Blick hatte.
Die zentrale Frage des Datenschutzes – Wer ist der Mensch hinter diesen Daten? – verfehlt diesen Vorgang. Hinter dem Output eines Sprachmodells steht kein einzelner Mensch. Es stehen Millionen. Und ihre Spuren sind so verwoben, dass sie sich nicht mehr trennen lassen.
Die juristische Lücke
Das geltende Datenschutzrecht hat darauf keine vollständige Antwort. Es hat Ansätze. Die DSGVO greift, wenn personenbezogene Daten in Trainingsdaten enthalten sind, was unstrittig der Fall ist. Die KI-Verordnung versucht eine eigene Regulierungslogik aufzubauen, jenseits des Datenschutzes. Das Urheberrecht streitet darüber, ob das Lesen von Trainingsdaten eine Vervielfältigung ist. Es gibt Opt-out-Mechanismen für Webseitenbetreiber, einzelne Klagen, vereinzelt erste Entscheidungen.
Aber das ist Tasten im Dunkeln. Wir haben kein durchdachtes Recht für eine Welt, in der Persönlichkeit nicht mehr identifizierbar, sondern aggregiert in Systeme einfließt. Die juristischen Werkzeuge, die wir besitzen, sind für die zelluläre Welt der personenbezogenen Daten gebaut. In der aggregierten Welt der Modelle greifen sie nur teilweise.
Wer heute behauptet, das Problem sei juristisch geklärt, hat es nicht verstanden. Wer behauptet, es brauche nichts Neues, hat noch weniger verstanden. Was wir gerade erleben, ist die größte Verschiebung im Persönlichkeitsrecht seit der Erfindung der Fotografie.
Was das für Unternehmen bedeutet
Ich werde häufig gefragt, was Unternehmer im Moment tun sollten. Die Antwort ist nicht: Warten, bis die Rechtslage geklärt ist. Sie wird nicht in den nächsten zwei Jahren geklärt sein. Die Antwort ist auch nicht: Alles einsetzen, was technisch möglich ist. Das werden in fünf Jahren teure Korrekturen.
Die Antwort ist eine andere. Sie hat drei Schichten.
Erstens, eine sehr nüchterne Bestandsaufnahme: Wo fließen in unserem Haus personenbezogene Daten in KI-Systeme – und sei es indirekt, sei es über Drittanbieter, sei es scheinbar harmlos? Die meisten Unternehmen wissen es nicht. Mitarbeiter nutzen ChatGPT für die Bewerberauswertung, ohne dass die Personalabteilung davon weiß. Marketing-Teams lassen Kundendaten von externen Tools analysieren, deren Trainingspraxis nicht offengelegt ist. Vorstandsbüros erstellen Protokolle mit Transkriptionsdiensten, die in den USA gehostet werden. Das ist nicht alles unzulässig. Aber es ist alles undokumentiert. Und was undokumentiert ist, kann man nicht steuern.
Zweitens, eine Haltungsfrage: Was wollen wir mit den Daten unserer Mitarbeitenden, unserer Kundinnen, unserer Geschäftspartner tun – jenseits dessen, was rechtlich gerade noch erlaubt ist? Diese Frage zu stellen, klingt naiv. Sie ist es nicht. Sie ist die Frage, die Unternehmen in zehn Jahren von wettbewerbsfähig nach nicht mehr wettbewerbsfähig trennen wird. Wer heute auf Compliance reduziert denkt, läuft der nächsten Regulierung hinterher. Wer ein Selbstverständnis entwickelt, das über Compliance hinausgeht, ist wenn sie kommt, schon dort, wo sie hin will.
Drittens, eine strukturelle Vorsorge: Verträge mit KI-Anbietern müssen heute schon Klauseln enthalten, die in zwei Jahren wichtig werden. Datenschutz-Folgenabschätzungen müssen die Aggregation mitdenken, nicht nur die personenbezogene Verarbeitung. Mitarbeitende brauchen Leitlinien, die ihnen sagen, was sie dürfen und was nicht – nicht aus dem Gesetz heraus, sondern aus der Unternehmenshaltung.
Was wir gerade verlernen
Vor einigen Wochen saß ich bei einer Personalleiterin eines mittelständischen Unternehmens. Sie hatte mich um ein Gespräch über die Datenschutz-Anforderungen einer neuen Bewerber-Software gebeten. Während wir sprachen, sagte sie nebenbei, dass sie die Anschreiben der Bewerbenden inzwischen routinemäßig in ein Sprachmodell gebe, um deren „Eignung in ersten Zügen einzuschätzen". Sie sagte das, wie man sagt, dass man Excel benutzt.
Ich habe sie nicht zurechtgewiesen. Ich habe gefragt, ob sie wisse, was mit den Anschreiben geschieht, nachdem sie sie hineinkopiert hat. Ob sie wisse, dass die Texte – Lebensläufe, persönliche Begründungen, manchmal sehr private Hintergründe – in ein System einfließen, das daraus weiter lernt. Sie wusste es nicht. Niemand hatte es ihr gesagt. Und niemand hat sie bisher gefragt, ob die Bewerbenden damit einverstanden sind.
Das ist keine besonders bösartige Geschichte. Sie ist nicht einmal besonders ungewöhnlich. Es ist die Geschichte, die ich derzeit in fast jedem Unternehmen höre. Menschen handeln in bestem Glauben, mit den besten Absichten – und tun Dinge, die in zwei Jahren als Datenschutzverstoß gelten werden. Vielleicht. Vielleicht auch als etwas anderes, für das wir noch keinen Begriff haben.
Wir sind in einer Übergangsphase, in der das alte Recht nicht mehr ganz greift und das neue noch nicht da ist. In solchen Phasen wird viel verlernt – und vieles entschieden, was später nur schwer korrigierbar ist. Wer als Unternehmer in dieser Phase nicht selbst denkt, der wird gedacht. Von den Anbietern. Von den Konkurrenten. Irgendwann auch von den Gesetzgebern. Das ist die Lage. Und das ist die Aufgabe.