ki-foto-dsgvo · 10 min
KI-generiertes Profi-Foto: DSGVO, Rechte, was du wissen musst
Speicherung von Selfies, Recht am eigenen Bild, Hosting, Eigentum: die 5 rechtlichen Fragen vor der Nutzung einer KI für dein Profi-Foto.
Du ziehst in Betracht, eine KI für dein LinkedIn-Foto oder dein Lebenslauf-Porträt zu nutzen. Bevor du dein Selfie hochlädst, verdienen fünf rechtliche Fragen eine klare Antwort. Dein Gesicht ist keine Datei wie jede andere, und nicht alle Generatoren sind im Hinblick auf die DSGVO gleichwertig.
Warum dein Selfie keine banale Datei ist
Bild = personenbezogenes Datum im Sinne der DSGVO
Bitte beachten Sie: Ein Foto, das die Identifizierung einer natürlichen Person erlaubt, ist ein personenbezogenes Datum. So steht es in Artikel 4 der DSGVO, und auch die zuständigen europäischen Datenschutzbehörden weisen in ihrer Doktrin zur generativen KI darauf hin: Stimme und Bild sind personenbezogene Daten, sobald sie die Identifizierung eines Individuums ermöglichen. Direkte Folge: Jede Verarbeitung deines Selfies durch einen KI-Generator fällt unter die DSGVO.
Das bedeutet eine Rechtsgrundlage im Sinne des Artikels 6 der DSGVO (Einwilligung, Vertrag, berechtigtes Interesse), eine klare Information über die Nutzung und die Achtung der Rechte der betroffenen Person.
Selfie = potenziell biometrisches Datum
Die Nuance ist wichtig. Die CNIL und der Europäische Datenschutzausschuss vertreten die Auffassung, dass ein rohes Bild ohne damit verbundene technische Identifikationsverarbeitung (Gesichtserkennung, biometrische Kodierung) als solches kein biometrisches Datum im strengen Sinne der DSGVO darstellt. Aber sobald ein System charakteristische Punkte des Gesichts extrahiert, um die Person zu identifizieren oder wiederzuerkennen, kippt man in die Kategorie der sensiblen Daten (Artikel 9 der DSGVO), mit deutlich höherem Anforderungsniveau.
Praktische Frage: Weisst du, ob der Generator, den du nutzt, eine biometrische Kodierung deines Gesichts speichert, um spätere Porträts zu rekonstruieren? Wenn die Antwort nein lautet, ist das schon ein schlechtes Zeichen.
Die 5 Fragen an jeden KI-Generator
Wie lange wird mein Selfie gespeichert?
Die DSGVO-Regel ist einfach: keine Speicherung über das hinaus, was für den Zweck der Verarbeitung notwendig ist (Grundsatz der Speicherbegrenzung, Artikel 5.1.e DSGVO). Um ein Porträt aus einem Selfie zu generieren, beträgt die notwendige Dauer einige Sekunden, die Zeit, die das Modell zur Bilderzeugung braucht.
Trotzdem speichern viele Dienste das Ausgangs-Selfie mehrere Tage, manchmal mehrere Monate, um ihre Modelle zu trainieren oder ihren Service zu verbessern. Prüfe in den AGB und der Datenschutzerklärung: Gibt der Dienst ausdrücklich eine Speicherdauer an? Erwähnt er einen reinen Arbeitsspeicher-Transit ohne Festplatten-Schreibvorgang? Wenn die Antwort vage oder abwesend ist, geh davon aus, dass dein Selfie gespeichert wird.
Wo sind die Daten gehostet?
Die Übertragung personenbezogener Daten ausserhalb der Europäischen Union ist streng geregelt (Kapitel V der DSGVO). Ein in den USA gehosteter Dienst, auch mit dem 2023 unterzeichneten Data Privacy Framework, setzt deine Daten unterschiedlichen Regeln aus (Cloud Act, FISA). Für eine berufliche Nutzung, vor allem in regulierten Berufen oder sensiblen Funktionen (Finanz, Beratung, Recht), ist europäisches Hosting ein entscheidendes Kriterium.
Prüfe die Erwähnung der Hosting-Region in der Datenschutzerklärung. „Gehostet auf AWS" reicht nicht: AWS Europe oder AWS US-East? Die Genauigkeit zählt.
Trainiert mein Gesicht das Modell?
Das ist die rutschigste Frage. Die CNIL empfiehlt ausdrücklich, der Wiederverwendung der Nutzungsdaten durch den Anbieter des Systems widersprechen zu können. Konkret: Dient dein Selfie dazu, das Modell für künftige Nutzer/innen zu trainieren?
Wenn ja, geht dein Gesicht potenziell in einen Trainingsdatensatz ein, dessen Nutzung du nicht mehr kontrollierst. Die CNIL erkennt selbst an, dass die Extraktion eines individuellen Datums aus einem bereits trainierten Modell „erhebliche technische Schwierigkeiten" aufweist. Anders gesagt: Sobald dein Gesicht im Modell ist, ist es technisch fast unmöglich, es zu entfernen.
Wem gehört das generierte Foto?
Der rechtliche Status eines KI-generierten Bildes bleibt im französischen Recht ein bewegliches Feld. Drei Fallkonstellationen lassen sich unterscheiden:
- Das Bild stellt dich treu dar: Dein Recht am eigenen Bild gilt, unabhängig von der Technologie, die das Bild produziert hat. Niemand darf dieses Porträt ohne deine Zustimmung veröffentlichen.
- Das Bild ist vom Dienst frei wiederverwendbar: Manche Generatoren behalten sich eine Nutzungslizenz an den produzierten Bildern vor (Marketing-Illustrationen, Beispieldatenbank). Prüfe die AGB.
- Du hältst exklusive Nutzungsrechte: Der Dienst überträgt dir das Eigentum am generierten Bild für deine persönliche und kommerzielle Nutzung. Das ist der schützendste Fall.
Lies den Abschnitt „geistiges Eigentum" oder „Lizenz" der AGB. Wenn nichts spezifiziert ist, spielt die rechtliche Unklarheit gegen dich.
Welches Recht auf Rücknahme und Löschung?
Artikel 17 der DSGVO sieht ein Recht auf Löschung vor. Die CNIL präzisiert, dass dieses Recht für die Trainingsdatenbanken und die Modelle selbst gilt, auch wenn die Umsetzung technisch komplex bleibt.
Was du bei jedem Generator prüfen solltest:
- Existenz eines Formulars oder einer Prozedur zur Konto- und Datenlöschung
- effektive Löschung der Selfies und generierten Fotos
- Bearbeitung der Anfragen in weniger als 30 Tagen (DSGVO-Frist)
- Kontakt eines/r Datenschutzbeauftragten (DPO), wenn die Struktur bedeutend ist
Sobald dein Gesicht in einem Trainingsmodell ist, ist es technisch fast unmöglich, es zu entfernen.
Was die CNIL speziell zur generativen KI sagt
Die CNIL hat im April 2024 eine Reihe von Fragen-Antworten zur Nutzung generativer KI-Systeme veröffentlicht. Drei Punkte verdienen für eine individuelle Nutzung Beachtung.
Erstens empfiehlt die CNIL, niemals vertrauliche Informationen in öffentlichen generativen KI-Diensten zu teilen. Das gilt für Text-Prompts, aber das Prinzip lässt sich logisch auf Selfie-Uploads ausdehnen, deren nachgelagerte Verarbeitung du nicht kennst.
Zweitens unterscheidet sie drei Bereitstellungsmodi:
| Modus | DSGVO-Risiko | CNIL-Position |
|---|---|---|
| Öffentliche API (ausländische Cloud) | Hoch | Vermeiden für personenbezogene Daten |
| Cloud mit Auftragsverarbeitungsvertrag | Mässig | Verantwortungsbereiche prüfen |
| On-premise / kontrolliertes Hosting | Niedrig | Bevorzugt für sensible Daten |
Schliesslich erinnert sie daran, dass die europäische KI-Verordnung (AI Act, am 1. August 2024 in Kraft getreten) eine Transparenzpflicht auferlegt: Nutzer/innen müssen wissen, dass sie mit einem KI-System interagieren, und künstlich generierte Inhalte müssen identifizierbar sein.
Unterschied zwischen europäischer Infrastruktur und KI-Verarbeitung ausserhalb der EU
Der Kontrast ist konkret, muss aber Schicht für Schicht gelesen werden. Eine Website kann in Europa gehostet sein und gleichzeitig eine KI-API eines US-Anbieters aufrufen. In diesem Fall können die vom Dienst gespeicherten Daten in einer europäischen Region bleiben, während die KI-Verarbeitung eine Übertragung oder vorübergehende Zwischenspeicherung ausserhalb des Europäischen Wirtschaftsraums beinhalten kann.
Eine europäische Infrastruktur reduziert einen Teil des Risikos, reicht aber nicht aus, wenn das Bild anschliessend an eine API ausserhalb der EU gesendet wird. Zu prüfen ist:
- wo die vom Dienst aufbewahrten Daten gespeichert werden
- welcher KI-Anbieter das Selfie erhält
- ob eine Übertragung ausserhalb der EU möglich ist
- welche Garantien diese Übertragung regeln (Data Processing Addendum, Standardvertragsklauseln, Data Privacy Framework falls anwendbar)
- ob das Selfie das Modell trainiert oder nicht
Für eine harmlose private Nutzung (Profilfoto eines privaten Instagram-Kontos) ist der Unterschied gering. Für eine berufliche Nutzung in einer sensiblen Branche (Anwalt/in, Arzt/Ärztin, Beratung, Finanz, öffentlicher Dienst) ist es ein potenziell ausschlaggebendes Kriterium.
Sonderfälle
Regulierte Berufe
Anwält/innen, Ärzt/innen, Steuerberater/innen, Richter/innen: Dein Bild ist mit einer Funktion verbunden, die berufsständischen Pflichten unterliegt. Über die DSGVO hinaus kann die Berufskammer spezifische Regeln zur Nutzung deines Bildes auferlegen (Verbot irreführender Werbung, Pflicht zur Würde). Ein KI-generiertes Foto bleibt für eine rein berufliche Nutzung (LinkedIn, Lebenslauf, Kanzlei-Website) zulässig, sofern es deinem realen Erscheinungsbild treu bleibt. Ein zu retuschiertes oder unrealistisches Bild kann unter den Tatbestand irreführender Werbung fallen.
Foto von Minderjährigen
Die DSGVO sieht einen verstärkten Schutz für Minderjährige vor (Artikel 8). In Frankreich gilt die Einwilligung zur Verarbeitung personenbezogener Daten ab 15 Jahren. Für ein Kind unter 15 Jahren ist die Zustimmung beider Eltern (Inhaber der elterlichen Sorge) erforderlich. Die meisten Mainstream-KI-Generatoren verbieten den Upload von Fotos Minderjähriger in ihren AGB. Umgeh diese Regel nicht: Genau hier explodieren die Rechtsstreitigkeiten.
Kommerzielle vs. private Nutzung
Wenn du dein KI-Foto für einen Online-Shop, eine Werbekampagne, ein Produkt nutzt, verlässt du den Rahmen „private Nutzung", den die meisten AGB abdecken. Prüfe, ob die vom Generator gewährte Lizenz die kommerzielle Nutzung abdeckt. Für eine Anstellung als Arbeitnehmer/in (Unternehmens-Mitarbeiterfoto) frag deine/n Arbeitgeber/in, ob es eine Richtlinie zu KI-generierten Bildern gibt: Manche Konzerne verbieten es inzwischen ausdrücklich in ihrer internen Charta.
Der Sonderfall der kommerziellen Akquise
Ein letzter, oft vergessener Punkt: Wenn du deine E-Mail dem Generator gibst (um dein Foto abzuholen, ein Konto anzulegen), regelt der Artikel L34-5 des Gesetzes über die Post und elektronische Kommunikation streng die Nutzung dieser E-Mail zu Akquisezwecken.
Der Dienst muss deine freie, spezifische und informierte Einwilligung einholen, um dir Marketing-E-Mails zu schicken. Ein vorangekreuztes Kästchen oder eine in unleserlichen AGB versteckte Einwilligung ist nicht konform. Du musst deine Einwilligung jederzeit kostenlos in jeder erhaltenen E-Mail zurückziehen können.
Wenn du nach der Nutzung eines Generators unaufgeforderte kommerzielle E-Mails erhältst, melde es auf signal.conso.gouv.fr oder direkt bei der CNIL.
Checkliste vor dem „Hochladen"-Klick
Bevor du dein Selfie einem Generator anvertraust, prüfe diese Punkte:
- lesbare, datierte Datenschutzerklärung in deiner Sprache
- ausdrückliche Erwähnung der Selfie-Speicherdauer (idealerweise nur Arbeitsspeicher-Transit)
- ausdrückliche Erwähnung der Hosting-Region der gespeicherten Daten und möglicher Übertragungen an KI-Anbieter
- ausdrückliche Erwähnung zum Modelltraining (dein Gesicht trainiert das Modell nicht oder klares Opt-out)
- klare Eigentumsverhältnisse am generierten Bild (idealerweise: du bist Eigentümer/in)
- Prozedur zur Löschung des Kontos und der zugehörigen Daten
- separate Marketing-Einwilligung von der Verarbeitungs-Einwilligung (standardmässig unmarkiert)
- erreichbare/r DPO oder identifizierter DSGVO-Kontakt
Wenn drei von acht Kästchen nicht angekreuzt sind, wechsle den Dienst.
Das Beispiel Selfie Pro
Um ein konkretes Beispiel für einen Dienst mit gut lesbarem Datenschutzrahmen zu geben, hier die Entscheidungen, die bei Selfie Pro getroffen wurden, dem Dienst, den ich entwickle:
- Selfie-Pro-Infrastruktur in Europa: App, Firestore, Storage und die wichtigsten Cloud Functions nutzen Firebase/Google Cloud in einer europäischen Region
- Explizite Gemini-Verarbeitung: Das Selfie wird an die Google-Gemini-API gesendet, um das Porträt zu generieren. Diese Verarbeitung kann eine Übertragung oder vorübergehende Zwischenspeicherung ausserhalb des EWR, einschliesslich der USA, beinhalten und wird durch Googles vertragliche Garantien geregelt
- Selfie nicht auf unseren Servern gespeichert: Dein Selfie transitiert im Arbeitsspeicher der Cloud Function und wird nicht in unserem Speicher abgelegt. Es kann während des Ablaufs vorübergehend in deinem Browser verbleiben
- HD-Foto höchstens 90 Tage aufbewahrt: notwendige Dauer, damit du es bei Bedarf erneut herunterladen kannst, dann automatische Löschung durch eine geplante Bereinigungsaufgabe
- Kein Selfie-Pro-Fine-tuning auf deinem Gesicht: Selfie Pro trainiert kein Modell mit deinem Selfie. Die Nutzung durch Google hängt von den Gemini-Bedingungen ab, die für den verwendeten API-Dienst gelten
- Eigentum am generierten Foto: Es gehört dir, persönliche und kommerzielle Nutzung inklusive
- Konto-Löschung verfügbar in deinem persönlichen Bereich, mit einem eigenen Verfahren zur Löschung von Firestore-, Storage- und Auth-Daten sowie zugehörigen Marketing-Spuren
- Separate Marketing-Einwilligung: standardmässig unmarkiertes Kästchen, Rücknahme aus deinem Konto möglich, auf einer vom KI-Processing getrennten Einwilligungsgrundlage
Der Dienst hat ansonsten seine Grenzen (manchmal geglättete Hauttextur, je nach Stil variable Ähnlichkeit), aber der rechtliche Rahmen muss lesbar sein: wer hostet, wer verarbeitet, wo eine Übertragung stattfinden kann und wie lange Bilder aufbewahrt werden.
Prêt à essayer ?
Einen datenschutzbewussten Dienst ausprobieren →Quellen
Als Nächstes lesen.
photo-developpeur-freelance
Foto für Freelance-Entwickler: glaubwürdig auf GitHub und LinkedIn
GitHub, LinkedIn und Portfolio: Das richtige Foto für einen Freelance-Entwickler muss Zuverlässigkeit, Klarheit und Zusammenarbeit zeigen, nicht eine gespielte Tech-Rolle.
foto-freelance-kreativ
Foto für Kreativ-Freelancer: Signalisiere deinen Stil
Art Director, Motion Designer, Grafiker: Dein Foto muss deinen Stil zeigen, ohne in das Kreativ-Klischee zu fallen. Methode und konkrete Beispiele nach Beruf.
innenarchitekt
Foto für Innenarchitekten: Methode zeigen, nicht nur Dekor
Portfolio, LinkedIn, Kundenangebot: So wählen Innenarchitekten und Interior Designer ein Foto, das Vertrauen schafft, ohne wie Möbelwerbung zu wirken.