In diesem Artikel:
Wer trägt die Verantwortung?
Wie entstehen rechtliche Risiken im Datenschutz?
Welche Schäden können entstehen?
Haftung der Beteiligten
Fazit: Verantwortung ernst nehmen und absichern
Ein Sachverhalt im echten Leben ist selten eindeutig – das gilt besonders im Datenschutz. Sowohl die rechtliche Bewertung als auch die praktische Umsetzung bergen Unsicherheiten. In diesem Beitrag zeigen wir, wie man mit diesen Herausforderungen pragmatisch umgehen kann und welche Risiken dabei zu beachten sind.
Wer trägt die Verantwortung im Datenschutz?
Im Datenschutzrecht ist die Klärung der Verantwortlichkeit ein zentraler Punkt. Dabei ist zwischen verschiedenen Rollen zu differenzieren:
1. Die juristische Person als Verantwortliche
Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist grundsätzlich die juristische Person (z. B. eine Kommune, Hochschule oder ein Unternehmen), vertreten durch deren gesetzlich bestellten Vertreter (z. B. Bürgermeister, Präsident oder Geschäftsführer). Diese trägt die Letztverantwortung für die Einhaltung datenschutzrechtlicher Vorschriften – auch dann, wenn operative Aufgaben delegiert wurden.
2. Sachbearbeitende Beschäftigte
Beschäftigte, die personenbezogene Daten im Rahmen ihrer dienstlichen Aufgaben verarbeiten, tragen eine Mitverantwortung. Sie sind verpflichtet, nach Maßgabe der ihnen bekannten rechtlichen Vorgaben zu handeln. Ein fahrlässiger oder vorsätzlicher Verstoß kann disziplinar- oder arbeitsrechtliche Folgen nach sich ziehen – in besonders schwerwiegenden Fällen auch Regressansprüche, z. B. bei grober Fahrlässigkeit oder vorsätzlicher Verletzung von Datenschutzpflichten.
Beispiel: Ein Lehrstuhl verarbeitet Daten von Studierenden ohne erforderliche Einwilligung – hier liegt die Verantwortung organisatorisch beim Lehrstuhl, rechtlich aber bei der Hochschule bzw. deren Präsidenten.
3. Datenschutzbeauftragte (DSB)
Der oder die Datenschutzbeauftragte hat eine beratende und überwachende Funktion, trägt jedoch keine direkte Verantwortung für datenschutzkonformes Handeln. Eine fehlerhafte Beratung kann aber mittelbar Auswirkungen auf die Verantwortlichkeit haben, insbesondere bei grober Falschberatung oder unterlassener Aufklärung.
4. Abweichende Organisationsregelungen
Durch interne Regelungen, wie z. B. eine Datenschutzgeschäftsordnung, können Verantwortlichkeiten organisatorisch zentralisiert werden (z. B. für IT oder Einkauf). Eine solche Bündelung entbindet andere Mitarbeitende jedoch nicht vollständig von ihrer Mitverantwortung – insbesondere, wenn sie Risiken erkennen, aber nicht melden.
Wie entstehen rechtliche Risiken im Datenschutz
Ein zentrales Risiko liegt in der unsicheren Rechtslage: Viele datenschutzrechtliche Fragestellungen sind weder abschließend gesetzlich geregelt noch höchstrichterlich entschieden. Daher lassen sich Risiken in vier Stufen einteilen:
1. Geringe Risiken
Diese bestehen, wenn die Datenverarbeitung auf einer klaren gesetzlichen Grundlage oder gefestigten Rechtsprechung (z. B. des EuGH oder BVerwG) basiert.
Beispiel: Die Verarbeitung erfolgt aufgrund einer gesetzlichen Meldepflicht oder mit ausdrücklicher Einwilligung bei einem klaren Verarbeitungszweck.
2. Normale Risiken
Hier liegt die Grundlage in der herrschenden Meinung von Fachkreisen, Aufsichtsbehörden oder Fachliteratur – jedoch ohne höchstrichterliche Bestätigung.
Beispiel: Die Pflicht zur Angabe der Anrede beim Newsletter-Abo. Hier gibt es keine eindeutige Regelung, aber etablierte Praxis, dass diese kein Pflichtfeld sein darf.
3. Hohe Risiken
Bestehen divergierende Auffassungen zwischen Aufsichtsbehörden und der praktischen Umsetzung, ohne dass eine verbindliche Klärung vorliegt, steigt das Risiko.
Beispiel: Der Einsatz von Google Analytics durch öffentliche Stellen – trotz persistierender Kritik durch Datenschutzaufsichten.
4. Sehr hohe Risiken
Diese entstehen, wenn entgegen einer vorliegenden Rechtsprechung oder klarer Stellungnahmen von Datenschutzbehörden gehandelt wird – oder wenn „nach Bauchgefühl“ entschieden wird, ohne den DSB oder Fachquellen zu konsultieren.
Beispiel: Betrieb einer Facebook-Fanpage ohne Vereinbarung zur gemeinsamen Verantwortlichkeit mit Meta, entgegen EuGH-Rechtsprechung.
Welche Schäden können entstehen?
Rechtswidrige Datenverarbeitung kann auf verschiedenen Ebenen Folgen haben:
Schadensersatzansprüche: Betroffene können bei erlittenem immateriellen oder materiellen Schaden Ersatz verlangen (Art. 82 DSGVO).
Anordnungen durch Aufsichtsbehörden: Behörden können Verarbeitungen untersagen oder bestehende Systeme stilllegen lassen – mit massiven Auswirkungen auf Prozesse, Effizienz und Budget.
Reputationsschäden: Datenschutzvorfälle können öffentlich bekannt werden und das Vertrauen von Bürgern, Kunden oder Partnern nachhaltig schädigen.
Bußgelder: Gegen Behörden und sonstige öffentliche Stellen werden in Deutschland grundsätzlich keine Geldbußen verhängt. Nimmt eine öffentliche Stelle aber als öffentlich-rechtliches Unternehmen am Wettbewerb teil, kann auch ihr bei Verstößen gegen den Datenschutz ein Bußgeld drohen.
Beispiel: Eine Stadtwerke GmbH ist eine 100%ige Tochter einer Stadt und versorgt Bürgerinnen und Bürger mit Strom, Wasser, Gas und Internet. Sie ist in der Rechtsform einer GmbH organisiert und tritt am freien Markt als Energieversorger in Wettbewerb mit privaten Unternehmen.
Investitionsverluste und Nachbesserungskosten: Bereits entwickelte Systeme oder Prozesse müssen ggf. rückgebaut oder angepasst werden, wenn sich im Nachhinein die Rechtswidrigkeit der Datenverarbeitung herausstellt. Das verursacht Kosten, Ressourcenbindung und Verzögerungen.
Haftung der Beteiligten
Für die sachbearbeitenden Beschäftigten und sonstige Beteiligte besteht in der Regel keine persönliche Haftung, wenn sie sich auf einen vertretbaren juristischen Rat verlassen haben. Schadensersatzansprüche der Betroffenen richten sich stets gegen den Verantwortlichen, nicht gegen einzelne Mitarbeitende.
Fazit: Verantwortung ernst nehmen und absichern
Verantwortung im Datenschutz ist vielschichtig – aber klar strukturierbar. Verantwortliche Organisationen sollten:
klare Zuständigkeiten definieren,
alle Mitarbeitenden regelmäßig sensibilisieren,
Entscheidungen auf rechtlicher Grundlage dokumentieren und
datenschutzrechtliche Expertise (z. B. durch den DSB) systematisch einbinden.
Denn nur so lassen sich rechtliche Risiken minimieren und die Handlungsfähigkeit der Organisation sichern.
Wie die actago GmbH Sie unterstützen kann
Die actago GmbH begleitet Sie von Anfang an und berät Sie umfassend in den Bereichen Datenschutz und Informationssicherheit. Gemeinsam entwickeln wir Lösungen, die risikobasiert, wirtschaftlich und praxistauglich sind. So minimieren Sie Risiken und bleiben rechtlich auf der sicheren Seite.
Urheberrecht & KI: Landgericht München setzt klare Grenzen
Am 11. November 2025 hat das Landgericht München I ein Urteil mit Signalwirkung gefällt: Die Nutzung urheberrechtlich geschützter Liedtexte durch den KI-Anbieter OpenAI – konkret durch das Sprachmodell ChatGPT – verstößt gegen deutsches Urheberrecht.
Die Entscheidung betrifft neun bekannte Songs, darunter „Atemlos“ von Helene Fischer und „Über den Wolken“ von Reinhard Mey. Die Texte wurden nicht nur zum Training verwendet, sondern auch auf einfache Nutzeranfragen nahezu wortgleich ausgegeben.
Was war der Streit?
Die GEMA hatte OpenAI verklagt, weil deren KI-Modelle mit urheberrechtlich geschützten Liedtexten trainiert wurden – ohne Lizenz. Die KI war in der Lage, diese Texte auf Anfrage zu reproduzieren. OpenAI berief sich auf die Schrankenregelung des § 44b UrhG (Text und Data Mining), wonach bestimmte Nutzungen zu Analysezwecken erlaubt sind. Das Gericht folgte dieser Argumentation jedoch nicht.
Die Entscheidung des Gerichts
Die 42. Zivilkammer stellte nach der Pressemitteilung zur Entscheidung klar: Sowohl das Training als auch die Ausgabe der Liedtexte durch ChatGPT stellen urheberrechtlich relevante Vervielfältigungen dar. Die Schrankenregelungen des Urheberrechts greifen hier nicht. Die Klage der GEMA war somit in erster Instanz erfolgreich. Für eine genauere Analyse ist die Entscheidung im Volltext nach deren Veröffentlichung noch abzuwarten.
Auswirkungen auf die Praxis
Das Urteil ist noch nicht rechtskräftig. Es liegt nahe, dass OpenAI Rechtsmittel einlegen wird. Unabhängig davon ist die Entscheidung ein Indikator für die Richtung, in die sich die Rechtsprechung entwickeln könnte. Sollte sich diese Auffassung durchsetzen, drohen KI-Anbietern sowie selbstgehosteten KI-Tools erhebliche Haftungsrisiken.
Die Entscheidung betont die hohe Eigenverantwortung der Anbieter solcher Systeme. Der sogenannte „Memorisierungseffekt“ – also die Fähigkeit von KI-Modellen, Inhalte aus dem Training nahezu identisch wiederzugeben – trifft zahlreiche Modelle, die für allgemeine Verwendungszwecke vorgesehen sind.
Dies betrifft nicht nur Musik, sondern auch Bilder und personenbezogene Daten. Auch bei Llama, dem beliebten AI-Modell von Meta, sind Urheberrechtsverletzungen beim Sammeln der Trainingsdaten öffentlich bekannt geworden.
Besonderheiten in der Haftung bei Software as a Service (SaaS) KI-Tools
Einige SaaS-Angebote bieten Freistellungen durch Lizenzvereinbarungen und können so Risiken beim Einsatz für Verantwortliche in Urheberrecht und Datenschutz minimieren, z.B.
Adobe Firefly
Microsoft 365 Copilot
OpenAI Foundation Model in Azure von Microsoft
Die Freistellungen entbinden jedoch nicht von der Verantwortung der Nutzer beim Prompten selbst. Abseits von Forschung und Lehre (§§ 60a, 60c UrhG) und Werken, die unter Creative Commons-Lizenzen veröffentlicht sind, wird unter Zugrundelegung der Rechtsmeinung des LG Münchens eine Nutzung ohne Einwilligung des Rechteinhabers nicht zulässig sein.
Und auch im Datenschutz gilt, dass der Prompt nur dann personenbezogene Daten beinhalten darf, wenn eine Rechtsgrundlage für die Verarbeitung besteht. In der Regel wird nur eine Nutzung mit anonymisierten Daten zulässig sein.
Risikobewertung
Betreibt man ein eigenes KI-System oder greift dazu auf ein SaaS-Angebot zurück, wird sich das Risiko des „Ausfalls der Verfügbarkeit“ durch Rechtsstreitigkeiten erhöhen.
Das bedeutet, sofern das Risiko durch ein Risikomanagement mit den Faktoren Schwere und Eintrittswahrscheinlichkeit erfasst und eingestuft wurde, wird man die Eintrittswahrscheinlichkeit von überschaubar auf substantiell hochstufen müssen:
überschaubar = Schaden kann zwar eintreten, aus bislang gemachten Erfahrungen bzw. aufgrund der gegebenen Umstände scheint der Eintritt unwahrscheinlich zu sein
substanziell = Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände zwar möglich, aber nicht sehr wahrscheinlich zu sein
Durch diese Änderung, kann sich das Gesamtrisiko für die Anwendung erhöhen (z.B. von „normale Risiken“ in die Stufe „hohe Risiken“), so dass stärkere Gegenmaßnahmen nötig sind.
Beispielhaft können etwa die Gefährdungsszenarien seitens der Nutzer durch passende Richtlinien entschärft werden. Risiken, die im Modell oder bei dessen Entwicklern liegen, können durch die Multi-Vendorstrategie oder Exitplanung minimiert werden. Risiken gegenüber Anbietern können durch Freistellungsvereinbarungen im Hinblick auf die Schadenshöhe reduzieren werden.
Handlungsempfehlungen
Schärfen Sie Ihre KI-Richtlinie: Prüfen Sie, ob Ihre Richtlinien den aktuellen rechtlichen Anforderungen genügen.
Prüfen Sie die vertraglichen Regelungen mit den Anbietern Ihrer KI-Tools.
Überprüfen Sie, ob Ihre Risikobewertungen zu Ihren IT-Systemen noch aktuell im Hinblick auf Rechtsrisiken durch KI-Systeme sind.
Verteilen Sie die Risiken und bevorzugen Sie gemeinschaftlich angebotene KI-Tools wie etwa die Bayern KI.
Holen Sie sich KI-Kompetenz ins Haus: Etwa durch spezialisierte Beratung, wie sie die actago GmbH bietet.
Wie die actago GmbH Sie unterstützen kann
Mit einer ganzheitlichen KI-Beratung begleiten wir Sie strukturiert und schlüsselfertig von der Potenzialanalyse bis zur offiziellen Bestellung Ihres KI-Beauftragten und der Sicherstellung der fortlaufenden Compliance. Sorgen Sie damit für Rechtssicherheit und Kompetenz im Umgang mit Künstlicher Intelligenz.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
