„Wenn Sie Ihr Auto auf einem Parkplatz abstellen, besitzt der Parkplatz nicht Ihr Auto“, sagte Vana-CEO Anna Kazlauskas beschreiben die Beziehung zwischen Nutzern und den Datenplattformen, die Daten über sie speichern. Der Vergleich ist intuitiv. Die rechtliche Realität ist komplizierter.
Keine Gerichtsbarkeit auf der Erde gewährt Individuen Eigentumsrechte an ihren persönlichen Daten. Stattdessen existiert ein Flickenteppich aus Datenschutzbestimmungen, geistigen Eigentumsrechten und Vertragsbedingungen, die verschiedenen Parteien unterschiedliche Ansprüche auf dieselben Informationen geben. Die Frage, wem Daten gehören, wird seit mehr als zwei Jahrzehnten diskutiert. Der Aufstieg der KI, die riesige Mengen an persönlichen Daten für das Training benötigt, hat es dringend gemacht.
Die Cookie-Gesetz-Ära etablierte Zustimmung, nicht Eigentum
Der erste wichtige rechtliche Rahmen, der personenbezogene Daten online regelt, war die der EU ePrivacy-Richtlinie, die 2002 verabschiedet und 2009 geändert wurde und als „Cookie-Gesetz“ bekannt wurde. Die ursprüngliche Richtlinie von 2002 erlaubte Cookies mit einem einfachen Opt-out-Mechanismus und betrachtete Browsereinstellungen als ausreichenden Schutz. Die Änderung von 2009 änderte den Standard von Opt-out zu Opt-in. Artikel 5(3) der geänderten Richtlinie besagte, dass das Speichern von Informationen auf dem Gerät eines Nutzers nur "unter der Bedingung erlaubt war, dass der betreffende Teilnehmer oder Nutzer seine Zustimmung erteilt hat." Diese einzelne Änderung löste die Welle von Cookie-Einwilligungsbannern aus, die jetzt weltweit auf Websites erscheinen.
Das Cookie-Gesetz etablierte ein Prinzip, das jede nachfolgende Regulierung geprägt hat: Nutzer müssen informiert werden, welche Daten gesammelt werden, und ihnen muss eine Möglichkeit gegeben werden, dies zu kontrollieren. Aber Einwilligung ist kein Eigentum. Dem Vermieter zu sagen, was man in einer Wohnung vorhat, macht den Mieter nicht zum Eigentümer des Gebäudes.
DSGVO schuf Kontrollrechte, keine Eigentumsrechte
Die Allgemeine Datenschutzverordnung der EU, die 2018 in Kraft trat, ist der am häufigsten zitierte Rahmen in Debatten über Dateneigentum. Die DSGVO besagt in Erwägungsgrund 7, dass "natürliche Personen die Kontrolle über ihre eigenen personenbezogenen Daten haben sollten." Sie gewährt den betroffenen Personen ein Bündel von Rechten: Zugang, Berichtigung, Löschung, Übertragbarkeit und das Recht, der Verarbeitung zu widersprechen.
Diese Rechte ähneln Eigentum. Sie sind es nicht. Die DSGVO-Regelungen gewähren keine Eigentumsrechte an Daten, laut einer Analyse der Anwaltskanzlei Clifford Chance. Die aus der DSGVO resultierenden Rechte umfassen nicht das ausschließliche Recht, personenbezogene Daten zu besitzen. Die DSGVO regelt nur das Recht auf "Schutz" der Daten und gewährleistet der betroffenen Person die Möglichkeit, die Daten zu kontrollieren, regelt jedoch nicht das Eigentum. Das Recht auf Datenschutz verleiht auch kein exklusives Recht, die Vorteile des Gegenstandes zu ernten, wie es typisch für Eigentumsrechte ist. Daten können kommerziell von anderen als dem Betroffenen genutzt werden, ohne dass der Betroffene davon profitiert.
A 2024 Bericht des Amts für Veröffentlichungen der Europäischen Kommission machte diese Lücke deutlich. Der Europäische Datenschutzausschuss hat erklärt, dass "personenbezogene Daten nicht als 'handelsfähige Ware' betrachtet werden können" und dass "selbst wenn die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zustimmen kann, sie nicht auf ihre Grundrechte verzichten kann."
Diese Unterscheidung hat reale Konsequenzen für KI. Artikel 20 der DSGVO erlaubt es Einzelpersonen, ihre personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln, aber es gilt nur für Daten, die die betroffene Person bereitgestellt hat, nicht für abgeleitete oder erschlossene Daten, laut einer Analyse des Rechts auf Datenübertragbarkeit. Wenn Instagram ein psychologisches Profil erstellt, das einen Benutzer als wahrscheinlich depressiv bezeichnet, gehört diese Schlussfolgerung zu der Kategorie von Daten, die der Benutzer nicht übertragen kann.
Die USA regulieren die Nutzung, nicht die Rechte
Das California Consumer Privacy Act, das 2018 verabschiedet und am 1. Januar 2020 in Kraft trat, verfolgte einen anderen Ansatz als die DSGVO. Anstatt Daten als Grundrecht zu betrachten, betrachtete es sie als Verbraucherschutzproblem. Es gewährt kalifornischen Verbrauchern das Recht zu wissen, welche persönlichen Informationen Unternehmen über sie sammeln, wie die Daten verwendet werden und mit wem sie geteilt werden, sowie das Recht, die Löschung zu verlangen und sich gegen den Verkauf zu entscheiden.
Kalifornien war der erste Staat, der ein Datenschutzgesetz verabschiedete, das den Bewohnern das Eigentum an ihren persönlichen Informationen gewährt, laut dem Compliance-Unternehmen Osano. Aber selbst diese Charakterisierung verdeckt die Grenzen. Der CCPA schafft kein Eigentumsrecht, das Nutzer so durchsetzen können, wie sie es beim Eigentum an einem Haus oder Auto tun würden. Er schafft Offenlegungs- und Löschpflichten für Unternehmen.
Die USA haben kein umfassendes föderales Datenschutzgesetz. Neunzehn Staaten haben nun umfassende Verbraucherdatenschutzgesetze in Kraft, die Anfang 2026 mehr als die Hälfte der amerikanischen Bevölkerung abdecken, laut dem Datenschutz-Compliance-Unternehmen Secure Privacy. Jedes schafft leicht unterschiedliche Verbraucherrechte. Keines etabliert Datenbesitz als Eigentumsrecht.
KI macht die Frage schwieriger, nicht einfacher
Das Problem verschärft sich. Unternehmen, die Rohdaten von Nutzern sammeln, verarbeiten diese zu Schlussfolgerungen, Vorhersagen und Profilen. Ob Nutzer einen Anspruch auf diese Derivate haben, ist umstritten. In den USA argumentieren die Ersteller von abgeleiteten Daten oft, dass es sich um ein Geschäftsgeheimnis handelt, wobei das Eigentum bei der Entität bleibt, die Schritte zu dessen Schutz unternimmt, laut einem Analyse der American Bar Association.
Die EU fügt neue Ebenen hinzu. Der KI-Gesetz, der weltweit erste umfassende Rechtsrahmen für KI, trat im August 2024 in Kraft. Es verpflichtet Anbieter von KI-Modellen für allgemeine Zwecke, Zusammenfassungen der Trainingsdaten zu veröffentlichen, das EU-Urheberrecht einzuhalten und Informationen mit Regulierungsbehörden zu teilen. Artikel 53(1)(d) verlangt von den Anbietern, eine "hinreichend detaillierte Zusammenfassung" der Trainingsinhalte zu veröffentlichen. Im Dezember 2024 nahm der Europäische Datenschutzrat die Stellungnahme 28/2024an, die untersucht, wann KI-Modelle als anonym betrachtet werden können, ob berechtigte Interessen die Verwendung personenbezogener Daten für das Training rechtfertigen und was passiert, wenn ein Modell mit unrechtmäßig verarbeiteten Daten entwickelt wurde.
In der Zwischenzeit bringt das im Januar 2024 in Kraft getretene und im September 2025 in Anwendung getretene Datengesetz der EU einen Bereich dem Eigentumsprinzip näher. Es gibt Nutzern von vernetzten Geräten mehr Kontrolle über die von ihren Produkten generierten Daten, wie Autos, Smart-TVs und Industriemaschinen. Aber selbst hier fällt hoch angereicherte Daten, wie abgeleitete oder abgeleitete Daten, die durch Algorithmen generiert werden, nach Angaben der Häufig gestellte Fragen der Europäischen Kommission.
Die Durchsetzungsmaschinerie wächst. Die DSGVO-Bußgelder beliefen sich 2024 auf insgesamt etwa 1,2 Milliarden Euro. Die kumulative Gesamtsumme seit 2018 beträgt nun 5,88 Milliarden Euro, laut DLA Piper DSGVO-Bußgelder- und Datenschutzverletzungsbericht. Aber diese Bußgelder bestrafen den unsachgemäßen Umgang mit Daten. Sie begründen nicht, dass Benutzer deren Eigentümer sind.
Die Parkplatz-Analogie spiegelt wider, was viele Menschen als wahr empfinden. Das Gesetz hat sich bisher geweigert, das zu bestätigen. Benutzer haben zunehmend das Recht, über ihre Daten informiert zu werden, darauf zuzugreifen und sie zu löschen. Sie haben jedoch nicht das Recht, sie zu verkaufen, zu lizenzieren oder zu kontrollieren, wer von den daraus gezogenen Schlussfolgerungen profitiert. Für Unternehmen, die Märkte um nutzerbeigetragene Daten für das KI-Training aufbauen, ist diese rechtliche Lücke sowohl eine Chance als auch ein Risiko.
