Datenschutz beim KI-Lernen: Welche Daten entstehen?
Beim Lernen mit KI entstehen weit mehr Daten, als den meisten bewusst ist: alles, was du eintippst oder hochlädst, jede Rückfrage, die erzeugten Antworten und oft technische Begleitinformationen. Die wichtigste DSGVO-Regel dazu lautet Datenminimierung — gib nur so viele personenbezogene Daten ein, wie für dein Lernziel wirklich nötig sind, und prüfe, was mit ihnen geschieht.
Welche Daten entstehen, wenn du mit KI lernst?
Wer einen KI-Lernhelfer nutzt, erzeugt Daten auf mehreren Ebenen — nicht nur beim Tippen, sondern über den gesamten Vorgang hinweg:
- Eingaben (Prompts): Jede Frage und jeder Prompt, den du formulierst. Das kann harmlos sein („Erklär mir die Photosynthese") oder heikel, wenn eigene Notizen, Krankheitsbeschreibungen oder Namen von Mitschülern hineinrutschen.
- Hochgeladene Materialien: PDFs, Skripte, Hausarbeiten oder abfotografierte Seiten. Solche Dokumente enthalten oft mehr Personenbezug, als man vermutet — den eigenen Namen, den der Lehrkraft, Kommentare am Rand.
- Ausgaben und Verlauf: Die generierten Antworten und der gespeicherte Chatverlauf. Viele Dienste legen daraus eine dauerhafte Historie deiner Eingaben an.
- Konto- und Metadaten: E-Mail-Adresse, Zahlungsdaten, IP-Adresse, Gerät und Nutzungsmuster.
Ein Large Language Model verarbeitet diese Eingaben in der Regel nicht lokal auf deinem Gerät, sondern auf den Servern des Anbieters. Sobald personenbezogene Daten im Spiel sind — und das ist schneller der Fall, als man denkt —, greift das Datenschutzrecht der DSGVO.
Warum ist Datenschutz ausgerechnet beim Lernen heikel?
Beim Lernen geben Menschen oft besonders Persönliches preis. Man tippt die eigenen Schwächen ein („Ich verstehe diesen Satz nicht"), lädt unfertige Texte hoch, arbeitet in Gruppenarbeiten mit den Daten anderer oder bereitet sich in Medizin, Jura oder Psychologie an echten Fallbeispielen vor. Lerndaten können damit indirekt viel verraten: Wissenslücken, gesundheitliche Themen, Weltanschauung oder finanzielle Situation.
Ein Beispiel: Du lässt dir deine eigene Bewerbung überarbeiten und fügst dafür Lebenslauf und Anschreiben ein. In diesem Moment landen Name, Adresse, Geburtsdatum, bisherige Arbeitgeber und womöglich Angaben zu Gesundheit oder Familienstand beim Anbieter — für eine reine Formulierungshilfe deutlich mehr, als nötig wäre.
Hinzu kommt: Ein großer Teil der Nutzung passiert nebenbei und unreflektiert. Genau deshalb ist ein Grundverständnis wichtiger als perfekte Technik — wer weiß, welche Daten entstehen, trifft automatisch bessere Entscheidungen. Es geht dabei nicht um Verzicht, sondern um bewusste Voreinstellungen und ein paar wiederkehrende Handgriffe.
Was sagt die DSGVO — die wichtigsten Grundsätze?
Die DSGVO formuliert in Artikel 5 die Grundsätze, an denen sich jede Verarbeitung personenbezogener Daten messen lassen muss. Vier davon sind fürs KI-Lernen besonders relevant:
- Datenminimierung: Daten müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sein — also: nur so viel eingeben wie nötig.
- Zweckbindung: Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke" erhoben und nicht still für etwas anderes weiterverwendet werden.
- Speicherbegrenzung: Daten sollen nicht länger in identifizierbarer Form aufbewahrt werden, als der Zweck es erfordert.
- Richtigkeit: Unrichtige personenbezogene Daten sind zu berichtigen oder zu löschen.
Ein oft übersehener Punkt: Verantwortlich für die Einhaltung ist am Ende, wer über Zwecke und Mittel der Verarbeitung entscheidet. Setzt eine Schule oder Hochschule ein KI-Tool ein, trägt die Einrichtung die Verantwortung — nicht allein der Anbieter. Für dich privat heißt das umgekehrt: Du selbst entscheidest, was du preisgibst.
Werden meine Eingaben zum Training der KI verwendet?
Oft ja — jedenfalls in den kostenlosen Verbraucherversionen. Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der deutschen Aufsichtsbehörden, empfiehlt in ihrer Orientierungshilfe ausdrücklich zu prüfen, „ob Ein- und Ausgabedaten für das Training verwendet werden", ob darüber ausreichend informiert wird und ob man die Nutzung zu Trainingszwecken ausschließen kann. Datenschutzrechtlich vorzugswürdig sind Anwendungen, die deine Eingaben gar nicht erst zum Training verwenden.
In der Praxis bedeutet das: Viele bekannte Chatbots nutzen deine Unterhaltungen standardmäßig, um ihre Modelle zu verbessern — lassen sich aber in den Einstellungen (häufig unter „Datenkontrollen" oder „Data Controls") davon ausschließen. Zusätzlich gibt es oft temporäre oder „Inkognito"-Modi, deren Eingaben nicht ins Training einfließen.
Besonders heikel sind offene Cloud-Systeme: Laut DSK verlassen die Eingabedaten dort „den geschützten Bereich" der Nutzerin und können — je nach Anbieter — für Anfragen anderer Nutzer verwendet oder in Drittstaaten übertragen werden. Ein geschlossenes System, das Daten nicht weiterverwendet, ist datenschutzrechtlich klar vorzuziehen. Wie sich die Datenpraxis eines konkreten Werkzeugs einordnen lässt, zeigt praxisnah unser Beitrag mit ChatGPT lernen.
Worauf solltest du beim KI-Lernen konkret achten?
Sieben Punkte, die im Alltag den größten Unterschied machen:
- So wenig Personenbezug wie möglich. Brauchst du echte Namen, um einen Text zusammenfassen oder ein Thema erklären zu lassen? Meistens nicht.
- „Anonymisieren" reicht oft nicht. Die DSK warnt: Namen und Anschriften zu entfernen genügt regelmäßig nicht — aus dem Zusammenhang lässt sich der Personenbezug häufig wiederherstellen.
- Einstellungen prüfen. Trainings-Opt-out aktivieren, das Speichern des Verlaufs bewusst wählen.
- Geschlossene statt offene Systeme bevorzugen, sobald du mit sensiblen Materialien arbeitest.
- Fremde Daten schützen. Klausuren von Mitschülern, E-Mails von Lehrkräften oder Patientendaten aus dem Praktikum gehören nicht ungefragt in einen Chatbot.
- Datenschutzerklärung kurz querlesen — Wird trainiert? Wo stehen die Server? Wie lange wird gespeichert?
- Betroffenenrechte kennen. Du hast Anspruch auf Auskunft, Berichtigung und Löschung deiner Daten (Art. 15 bis 17 DSGVO).
Was ist mit besonders sensiblen Daten?
Manche Daten stehen unter verschärftem Schutz: Angaben zu Gesundheit, Religion, Herkunft, politischer Meinung oder sexueller Orientierung zählen zu den „besonderen Kategorien" nach Artikel 9 DSGVO. Die DSK rät hier zu besonderer Vorsicht. Fürs Lernen heißt das konkret: Wer für ein Medizin-, Pflege- oder Psychologiestudium mit Fallbeispielen übt, sollte echte Patienten- oder Klientendaten grundsätzlich nicht eingeben, sondern mit anonymisierten oder frei erfundenen Beispielen arbeiten.
Sind KI-Antworten über Personen überhaupt verlässlich?
Nein — und das ist ebenfalls ein Datenschutzthema. Die ChatGPT-Taskforce des Europäischen Datenschutzausschusses (EDPB) hält fest, dass Sprachmodelle aufgrund ihrer „probabilistischen Natur" Ausgaben erzeugen können, die „verzerrt oder frei erfunden" (biased or made up) sind — auch über reale Personen. Nutzer neigen zugleich dazu, solche Antworten für faktisch korrekt zu halten. Genau deshalb existiert das Recht auf Berichtigung: Wer feststellt, dass eine KI Falsches über ihn behauptet, kann eine Korrektur verlangen.
Für dich als Lernende oder Lernenden bedeutet das doppelte Vorsicht: Verlass dich nie blind auf Fakten, die eine KI über Personen, Ereignisse oder Quellen ausgibt. Wie sich solche Fehlgriffe erkennen lassen, zeigt der Beitrag KI-Halluzinationen erkennen. Weitere Grundlagen zum sicheren Lernen mit KI sammelt unsere Rubrik KI beim Lernen.
Fazit
Datenschutz beim KI-Lernen ist kein Grund, auf die Technik zu verzichten — aber ein Grund, sie bewusst zu nutzen. Wer den Grundsatz der Datenminimierung beherzigt, Trainings- und Verlauf-Einstellungen prüft und sensible sowie fremde Daten draußen lässt, kann die Vorteile ausschöpfen, ohne die Kontrolle über die eigenen Daten zu verlieren. Werkzeuge wie der KI-Tutor von LearnCastAI arbeiten mit deinem eigenen Lernmaterial — gerade deshalb lohnt es sich, vorab zu wissen, welche Daten dabei entstehen und wie du sie schützt.
Quellen
- Art. 5 GDPR – Principles relating to processing of personal data — Datenschutz-Grundverordnung (DSGVO), gdpr-info.eu
- Orientierungshilfe: Künstliche Intelligenz und Datenschutz (Version 1.0, 6. Mai 2024) — Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)
- Report of the work undertaken by the ChatGPT Taskforce (23 May 2024) — European Data Protection Board (EDPB)