15.05.2026
Gernot Fritz, Tanja Pfleger
Die Ergebnisse von KI-Systemen werden nach der Verarbeitung der Trainingsdaten (siehe unseren vorherigen Beitrag) und des Inputs (siehe unseren vorherigen Beitrag) in der Praxis häufig als Schlusspunkt verstanden. Ein Text wird generiert, eine Empfehlung ausgesprochen, eine Analyse erstellt. Damit scheint die technische Verarbeitung erledigt. Tatsächlich endet die rechtliche Verantwortung jedoch nicht mit dem Output – denn dieser kann eine Vielzahl rechtlicher Risiken bergen, die es zu erkennen und zu bewältigen gilt.
Denn Output ist nicht bloß das Ergebnis einer technischen Verarbeitung. Er ist der Moment, in dem sich entscheidet, welche rechtlichen Konsequenzen sich aus einem KI-System ergeben. Was zuvor abstrakt war – Trainingsdaten, Input, Modelllogik – wird hier konkret und angreifbar.
Die zentrale Frage ist hier nicht nur, was ein System erzeugt. Entscheidend ist, wie dieses Ergebnis verwendet, bewertet und weiterverarbeitet wird.
Output als eigenständige Datenqualität
Outputdaten sind keine bloße Spiegelung der Eingaben. Sie sind das Ergebnis einer Verarbeitung, die Daten kombiniert, gewichtet und in neue Zusammenhänge stellt. Gerade darin liegt ihre Besonderheit – und ihr Risiko.
Denn Output kann selbst wieder personenbezogen sein. Er kann Informationen über identifizierte oder identifizierbare Personen enthalten, Profile bilden oder Bewertungen vornehmen. In vielen Fällen geht er sogar darüber hinaus, indem er neue Informationen erzeugt, die zuvor in dieser Form nicht vorhanden waren. So kann etwa ein KI-generiertes Bild einer realen Person unbeabsichtigt ähnlich sehen. Wird ein solches Bild veröffentlicht oder weiterverwendet, können neben datenschutzrechtlichen Fragen auch Persönlichkeitsrechte, insbesondere das Recht am eigenen Bild, berührt sein. Datenschutzrechtlich stellt sich zusätzlich die Frage, ob für die Verarbeitung eines solchen generierten Personenbezugs überhaupt eine tragfähige Rechtsgrundlage besteht. Gerade daran fehlt es häufig, wenn die betroffene Person weder informiert wurde noch mit einer solchen Verwendung rechnen musste.
Damit verschiebt sich die Perspektive: Nicht nur die Eingabe von Daten ist rechtlich relevant, sondern auch das, was ein System daraus macht. Output ist kein neutraler Reflex, sondern eine eigenständige Datenverarbeitung mit eigener Qualität.
Wenn Systeme Aussagen erfinden
Ein besonderes Problem entsteht dort, wo KI-Systeme Inhalte generieren, die keinen realen Bezug haben. Falsche Tatsachen, erfundene Zusammenhänge oder unzutreffende Zuschreibungen sind kein Randphänomen, sondern Teil der Funktionsweise vieler Systeme.
Rechtlich stellt sich damit eine ungewöhnliche Konstellation: Auch unrichtige Daten können personenbezogen sein. Entscheidend ist nicht ihre Richtigkeit, sondern ihre Bezugnahme auf eine Person. Wird einer Person eine Eigenschaft zugeschrieben – selbst wenn sie objektiv falsch ist – kann dies bereits datenschutzrechtlich relevant sein.
Die Konsequenzen sind weitreichend. Falsche Outputs können zu Reputationsschäden führen, Fehlentscheidungen auslösen oder bestehende Datenbestände verfälschen. Besonders problematisch ist, dass solche Ergebnisse oft schwer zu korrigieren sind. Ihre Entstehung lässt sich nicht immer nachvollziehen, ihre Weiterverbreitung nicht immer kontrollieren und ihre Wirkung nicht immer rückgängig machen.
Vom Vorschlag zur Entscheidung
In vielen Anwendungen sind KI-Systeme formal als unterstützende Werkzeuge konzipiert. Sie liefern Vorschläge, Empfehlungen oder Analysen, die von Menschen überprüft und eingeordnet werden sollen. In der Praxis verschwimmt diese Grenze jedoch schnell.
Je komplexer die Systeme und je höher der Zeitdruck, desto größer ist die Tendenz, Ergebnisse ungeprüft zu übernehmen. Was als Hilfestellung gedacht war, wird faktisch zur Entscheidungsgrundlage. Der Output verliert seinen vorläufigen Charakter und wird zur maßgeblichen Information.
Gerade hier entsteht eine rechtliche Weichenstellung. Denn sobald ein Output Grundlage für eine Entscheidung wird – etwa im Personalbereich, im Kundenmanagement oder in der Risikobewertung – stellt sich die Frage nach den Anforderungen an diese Entscheidung. Transparenz, Nachvollziehbarkeit und Korrekturmöglichkeiten rücken in den Vordergrund.
Automatisierung ohne klare Grenze
Die Unterscheidung zwischen unterstützter und automatisierter Entscheidung ist in der Praxis oft weniger klar, als sie auf den ersten Blick erscheint. Systeme, die formal eine menschliche Kontrolle vorsehen, können faktisch zu einer weitgehenden Automatisierung führen, wenn diese Kontrolle nicht tatsächlich ausgeübt wird.
Hier zeigt sich ein strukturelles Risiko: Die bloße Einbindung eines Menschen in den Prozess garantiert noch keine wirksame Kontrolle. Entscheidend ist, ob dieser Mensch die Möglichkeit und die tatsächliche Grundlage hat, den Output kritisch zu hinterfragen.
Fehlt es daran, wird aus einer unterstützten Entscheidung faktisch ein Automatismus – mit entsprechenden rechtlichen Implikationen. Die Datenschutz-Grundverordnung (DSGVO) untersagt grundsätzlich, eine Person einer ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhenden Entscheidung zu unterwerfen, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Wo die Grenze zwischen menschlicher Mitwirkung und bloßer Formalität verschwimmt, rückt dieses Verbot unmittelbar in den Fokus.
Diskriminierung als Ergebnis
Ein weiteres Risiko liegt in der Reproduktion von Verzerrungen. Was im Training angelegt ist und durch Inputdaten konkretisiert wird, kann sich im Output manifestieren. Diskriminierende Muster werden nicht nur übernommen, sondern unter Umständen verstärkt.
Gerade weil Output häufig als objektiv oder datengetrieben wahrgenommen wird, entfalten solche Verzerrungen eine besondere Wirkung. Sie erscheinen plausibel, nachvollziehbar und werden daher weniger hinterfragt. Sind die zugrunde liegenden Datenbestände unzureichend oder einseitig, können KI-Systeme Ergebnisse erzeugen, die sich als diskriminierend erweisen. Das wirft nicht nur gleichbehandlungsrechtliche Fragen auf. Es kann auch datenschutzrechtlich relevant werden, etwa mit Blick auf den Grundsatz der Verarbeitung nach Treu und Glauben.
Rechtlich entsteht hier eine Verbindung zwischen Datenschutz, Gleichbehandlung und regulatorischen Anforderungen an KI-Systeme. Output, dessen Bewertung und weitere Verwendung sind der Prüfstein, an dem sich zeigt, ob diese Anforderungen tatsächlich eingehalten werden – oder nur auf dem Papier bestehen.
Intransparenz als strukturelles Problem
Die Bewertung von Outputdaten wird zusätzlich dadurch erschwert, dass ihre Entstehung oft nicht vollständig nachvollziehbar ist. Modelle arbeiten mit komplexen internen Strukturen, deren konkrete Entscheidungswege nicht ohne Weiteres offengelegt werden können.
Für Unternehmen bedeutet das eine doppelte Herausforderung. Einerseits müssen sie Entscheidungen begründen können, die auf KI-Systemen beruhen. Andererseits haben sie häufig keinen vollständigen Einblick in die Funktionsweise dieser Systeme.
Diese Spannung führt zu einem praktischen Problem: Verantwortung ohne vollständige Kontrolle. Wer Output nutzt, muss ihn rechtlich vertreten können – auch wenn seine Entstehung im Detail nicht nachvollzogen werden kann. Wird beispielsweise ein Antrag auf Basis eines KI-generierten Scorings abgelehnt, hat die betroffene Person einen Anspruch auf aussagekräftige Informationen über die involvierte Logik. Beruht das Scoring jedoch auf einem komplexen KI-Modell, dessen Entscheidungswege selbst für seine Entwickler nur begrenzt nachvollziehbar sind, entsteht ein erhebliches Spannungsfeld zwischen technischer Realität und rechtlicher Begründungspflicht.
Der Rückfluss von Ergebnissen
Outputdaten bleiben selten isoliert. Sie werden gespeichert, weiterverwendet und in neue Kontexte eingebracht. In vielen Fällen fließen sie sogar wieder in Systeme zurück – als Grundlage für weitere Analysen oder als Input für neue Verarbeitungen.
Damit entsteht ein Kreislauf. Daten durchlaufen das System nicht linear, sondern iterativ. Fehler, Verzerrungen oder rechtliche Unsicherheiten können sich dabei verstärken und verfestigen.
Dieser Rückfluss ist nicht nur technisch relevant, sondern auch rechtlich. Denn mit jeder weiteren Verwendung stellt sich erneut die Frage nach Zweck, Rechtsgrundlage und Zulässigkeit der Verarbeitung.
Fazit und Schlussgedanke
Outputdaten sind der Punkt, an dem KI-Systeme rechtlich sichtbar werden. Hier entscheiden sich Verantwortung, Haftung und Zulässigkeit. Was zuvor als abstrakter Datenfluss erscheint, wird hier zur konkreten Handlung.
Die größte Herausforderung liegt dabei nicht im einzelnen Ergebnis, sondern im Umgang damit. Output ist kein neutrales Produkt, sondern ein Vorschlag, der bewertet, eingeordnet und verantwortet werden muss.
Mit Trainingsdaten beginnt die Geschichte. Mit Inputdaten wird sie fortgeschrieben. Mit Outputdaten wird sie rechtlich relevant.
Die vielleicht größte Illusion im Umgang mit KI besteht darin, dass Verantwortung beim System endet. In Wirklichkeit beginnt sie genau dort.
Wer KI-Output nutzt, muss ihn auch rechtlich verantworten können. Dazu gehört insbesondere, menschliche Aufsicht nicht nur formal vorzusehen, sondern praktisch wirksam auszugestalten. Dabei unterstützen wir Sie.
