Firmendaten trainieren KI

Wenn das Slack-Archiv zur Handelsware wird

Ein neues Geschäftsmodell greift in den USA um sich: Interne Kommunikationsdaten insolventer Unternehmen werden als Trainingsmaterial für KI-Systeme verkauft. Slack-Archive, E-Mails, Jira-Tickets und Projektunterlagen wechseln den Besitzer, oft ohne dass die betroffenen Mitarbeiter davon wissen. Das US-Magazin Forbes hat das Phänomen im April 2026 dokumentiert. Datenschutzexperten sind sich einig: Das Thema ist auch für europäische Unternehmen und ihre Beschäftigten relevant. Hinter dem Handel steckt ein einfaches Kalkül. KI-Labore brauchen hochwertige Trainingsdaten für neue Sprachmodelle, vor allem für KI-Agenten, die reale Arbeitsabläufe simulieren sollen. Öffentlich zugängliche Texte aus dem Internet sind für diesen Zweck weitgehend ausgeschöpft. Interne Firmenkommunikation ist dagegen wertvoll, weil sie echte Entscheidungsprozesse, Fachsprache und berufliche Abläufe abbildet.

Der US-Dienstleister SimpleClosure hat daraus ein eigenes Produkt gemacht. Das Unternehmen hilft insolventen Startups bei der Abwicklung und verkauft anschließend deren digitale Hinterlassenschaften an KI-Anbieter. Unter dem Namen „Asset Hub“ bewertet SimpleClosure die Datenbestände, anonymisiert sie nach eigenen Angaben und vermittelt den Verkauf. Nach eigener Auskunft wurden bereits fast 100 solcher Transaktionen abgewickelt. Ein bekanntes Beispiel: Das Transkriptionsunternehmen cielo24 verkaufte 13 Jahre digitale Kommunikation für mehrere hunderttausend US-Dollar. Das Start-up AfterQuery nutzt solche Datensätze, um sogenannte „Reinforcement Learning Gyms“ aufzubauen. Das sind simulierte Büroumgebungen mit Namen wie „Big Tech World“ oder „Finance World“, in denen KI-Agenten anhand echter Firmenkommunikation trainieren, professionell zu agieren. Einem Bericht von The Information zufolge erreichte ein solches Unternehmen eine Bewertung von 750 Millionen US-Dollar. Der Markt für diese Art von Trainingsdaten ist damit kein Randphänomen mehr.

Genau hier setzt die datenschutzrechtliche Kritik an. Die betroffenen Mitarbeiter haben nie eingewilligt, dass ihre internen Nachrichten als Trainingsdaten weiterverkauft werden. Marc Rotenberg vom Center for AI and Digital Policy stellt klar, dass es sich nicht um generische Daten handle, sondern um identifizierbare Personen. Datenschutzexperten warnen außerdem, dass selbst eine Anonymisierung keinen ausreichenden Schutz bietet. Schreibstil, Metadaten und Kontext reichen aus, um Personen nachträglich re-identifizieren zu können.

Für Unternehmen mit Sitz oder Beschäftigten in der EU stellen sich konkrete Fragen. Der Verkauf interner Kommunikation berührt Art. 5 DS-GVO, den Grundsatz der Zweckbindung: Daten, die für interne Geschäftszwecke erhoben wurden, dürfen nicht ohne Weiteres für das Training von KI-Modellen verwendet werden. Eine tragfähige Rechtsgrundlage nach Art. 6 DS-GVO ist in diesem Kontext kaum konstruierbar. Wenn die Kommunikation besondere Kategorien personenbezogener Daten nach Art. 9 DS-GVO enthält, etwa Gesundheitsangaben oder politische Meinungen, verschärft sich die Lage erheblich. Die betroffenen Beschäftigten können ihre Rechte nach Art. 15 bis Art. 22 DS-GVO kaum noch wahrnehmen, wenn ihre Daten längst an Dritte übertragen wurden.

Slack selbst hält in seinen Nutzungsbedingungen fest, keine Kundendaten für das Training generativer KI-Modelle zu verwenden, sofern Kunden nicht ausdrücklich zustimmen. Das hilft allerdings nicht bei Daten, die bereits im Rahmen einer Unternehmensabwicklung den Besitzer gewechselt haben. Das rechtliche Graugebiet ist groß, und gerichtliche Entscheidungen dazu stehen in Europa noch aus.

Unsere Empfehlungen

Unternehmen und KMU

Jedes Unternehmen sollte wissen, welche internen Kommunikationstools es nutzt und welche Rechte es dabei an seinen Daten abgibt. Die Nutzungsbedingungen von Tools wie Slack, Microsoft Teams oder Notion regeln oft, was der Anbieter mit Inhalten tun darf. Das sollte geprüft und vertraglich abgesichert werden.

• Auftragsverarbeitungsverträge mit Kommunikationsdienstleistern auf Datenweitergabe-Klauseln prüfen.
• Interne Richtlinie erstellen, die regelt, was im Fall einer Unternehmensauflösung mit gespeicherten Daten passiert.
• Löschkonzepte für interne Kommunikation umsetzen und Aufbewahrungsfristen dokumentieren.
• Mitarbeiter darüber informieren, welche Kommunikationsdaten gespeichert werden und wer im Krisenfall darauf Zugriff hat.

Kanzleien und Freiberufler

Interne Chats in Kanzleien enthalten häufig Mandantenreferenzen, Falldetails und strategische Überlegungen. Diese Daten sind besonders schutzbedürftig, und ihre Weitergabe an Dritte wäre nicht nur datenschutzrechtlich, sondern auch berufsrechtlich problematisch.

• Kommunikationstools auf EU-Hosting und fehlende Weitergaberechte prüfen.
• Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen, die interne Kommunikation verarbeiten.
• Für den Fall einer Kanzleiauflösung Löschpflichten nach DSGVO und Berufsrecht im Voraus regeln.

Gesundheitseinrichtungen

Interne Kommunikation in Praxen, Kliniken und Pflegeeinrichtungen kann Patientenbezüge enthalten und fällt dann unter Art. 9 DS-GVO. Hier gelten besonders strenge Anforderungen. Ein Verkauf solcher Daten, auch nach Anonymisierung, wäre rechtlich kaum vertretbar.

• Kommunikationstools müssen technisch ausschließen, dass Daten an Dritte weitergegeben werden.
• EU-Hosting und vertragliche Absicherung gegen jede Art der Datenweitergabe sind für Gesundheitseinrichtungen Pflicht.
• Datenschutz-Folgenabschätzung bei der Einführung neuer Kommunikationstools durchführen.

Behörden und öffentliche Stellen

Behörden arbeiten zunehmend mit digitalen Kollaborationstools. Interne Kommunikation ist dabei auch amtliches Schriftgut und unterliegt eigenen Aufbewahrungspflichten. Ein unkontrollierter Abfluss dieser Daten ist rechtlich und politisch nicht tolerierbar.

• Cloud-basierte Kommunikationstools auf Datenhoheit und Weitergaberechte prüfen.
• Verträge mit Dienstleistern müssen sicherstellen, dass die Datenhoheit bei der öffentlichen Stelle verbleibt.
• Mitarbeiter schulen, welche Inhalte in welchen Tools kommuniziert werden dürfen.

Quelle: Forbes (Anna Tong, 16. April 2026) / datenschutzticker.de (15. Mai 2026)

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
• Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
• Nachweis der Datenlöschung – So dokumentieren Sie korrekt
• Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
• Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft

Dieser Absatz enthält Affiliatelinks/Werbelinks