Seit ein paar Monaten programmiere ich viel mit KI. Mit unterschiedlichen Werkzeugen, von Cursor über Claude Code bis Antigravity, Gemini CLI und Codex.
Es macht Spaß. Wir stecken gerade in diesem seltsamen Moment, in dem KI wirklich guten Code schreibt und alles spürbar schneller macht. Und das ist noch ohne die Baukästen wie Lovable oder Bolt mitgezählt, die genau das für alle ohne Entwickler-Hintergrund noch einmal vereinfachen.
All diese Werkzeuge machen trotzdem etwas grundlegend falsch. Nicht bei der Oberfläche, nicht beim Funktionsumfang, nicht beim Debugging. Es ist schlimmer.
Webdesign seit 2008, App-Entwicklung erst seit Kurzem
Ich webdesigne seit 2008, nebenbei, aus Spaß an der Sache. Hauptberuflich Entwickler war ich nie, bis auf ein kurzes Praktikum vor zehn Jahren.
Trotzdem ist einiges zusammengekommen. Websites, WordPress, PHP. In letzter Zeit bin ich mit Flutter und React Native auch in die App-Entwicklung eingestiegen.
Auch das macht Spaß. Mit KI-Coding-Werkzeugen sogar noch mehr, keine Frage. Nur ist mir dabei ein Muster aufgefallen, das sich durch praktisch jedes dieser Werkzeuge zieht.
Was gut funktioniert
KI-Coding-Werkzeuge helfen wirklich. Manche besser als andere, ich nutze aktuell am liebsten Claude Code, aber das ist Geschmackssache. Viele Modelle taugen etwas.
Bei mehreren Projekten hat sich die Entwicklungszeit halbiert, teils mehr. Stark sind sie bei:
- Boilerplate-Code aus dem Nichts
- seltsamen Fehlern auf den Grund gehen
- bessere Muster vorschlagen
- Dokumentation schreiben, die sonst niemand schreiben will
ChatGPT, Claude, Cursor, Antigravity, Codex, GitHub Copilot. Sie alle funktionieren, keine Frage.
Was dabei verloren geht
KI-Modelle denken von sich aus nicht an die DSGVO. Datenminimierung, berechtigtes Interesse, keines der Konzepte ist eingebaut, außer man sagt es ihnen explizit.
Was ein Programm braucht, um in Deutschland tatsächlich legal zu sein, wissen sie nicht von allein. Und das heißt: Wir müssten es eigentlich wissen. Die meisten von uns wissen es nicht.
Schreibt die KI euch ein Login-System, speichert es oft mehr Nutzerdaten, als rechtlich nötig oder erlaubt wäre. Ich sitze in Deutschland, und kaum ein Land in Europa prüft das strenger, außer vielleicht die Schweiz.
Baut euch die KI eine Analytics-Lösung, fehlt meistens der Consent-Mechanismus, den das TTDSG in Deutschland seit Dezember 2021 für alles außer technisch notwendige Cookies verlangt. Baut sie ein Kontaktformular, bekommt ihr selten eine datenschutzkonforme Fassung, ohne von Hand nachzubessern.
Das ist keine Übertreibung. Der meiste KI-generierte Code, den ich sehe, übergeht:
- Cookie-Einwilligung nach TTDSG
- Auftragsverarbeitungsverträge mit Drittanbietern
- Löschroutinen für Nutzerdaten
- Protokollierung für Auskunftsersuchen nach Art. 15 DSGVO
- saubere Verschlüsselung
- eine echte Interessenabwägung nach Art. 6 DSGVO
Die meisten neuen Tools sind vermutlich rechtswidrig
Schaut euch die durchschnittliche neue App oder das SaaS-Tool an, das gerade startet. Viele davon vibe-gecodet, von einer einzelnen Person, abends am Küchentisch.
Schaden wollen die wenigsten. Ich würde trotzdem wetten, dass die meisten dieser schnell veröffentlichten Tools mehrere Datenschutzregeln verletzen. Praktisch rechtswidrig, ohne böse Absicht.
Was meistens fehlt:
- Pflichtdokumente: Wo ist der Auftragsverarbeitungsvertrag? Die Datenschutzerklärung? Die Folgenabschätzung?
- Einwilligung: Wer Cookies für mehr als das technisch Nötige setzt, braucht ausdrückliche Zustimmung. Die meisten Tools überspringen das oder setzen es falsch um.
- Nutzerrechte: Können Nutzer ihre Daten wirklich exportieren? Das Konto sauber löschen? Einsehen, was gespeichert ist? Meistens gibt es höchstens eines davon, schlecht umgesetzt.
- Datenminimierung: KI denkt nicht von allein „so wenig Daten wie nötig". Sie denkt „sammle alles, was mal nützlich sein könnte".
- Vertragspartner: Wer Drittanbieter nutzt, was so gut wie immer der Fall ist, braucht mit jedem einzelnen einen Auftragsverarbeitungsvertrag. Wer prüft das eigentlich nach?
In Deutschland kommt eine Besonderheit dazu, die es in den meisten anderen Ländern nicht gibt: Zuständig sind nicht eine, sondern 17 Landesdatenschutzbehörden plus der Bundesbeauftragte für den Datenschutz. Wer als Solo-Entwickler ein Wochenendprojekt online stellt, weiß in der Regel nicht einmal, welche der 18 Behörden im Zweifel zuständig wäre.
Die Bußgelder sind längst keine Ausnahme mehr
Die Zahlen zeigen, dass Aufsichtsbehörden inzwischen wirklich hinschauen. Seit Mai 2018 sind europaweit rund 7,1 Milliarden Euro an DSGVO-Bußgeldern zusammengekommen, allein zwischen Januar 2025 und Januar 2026 rund 1,2 Milliarden Euro, mehr als 600 Millionen Euro davon allein in der ersten Jahreshälfte 2026 (Kiteworks, Stand Juli 2026). Die Kurve zeigt nach oben, nicht nach unten.
Eine Sonderregel für Start-ups gibt es dabei nicht. Kleinere Verstöße, etwa ein fehlender Auftragsverarbeitungsvertrag, bewegen sich meist im Bereich von 500 bis 5.000 Euro, Tracking ohne Einwilligung eher bei 5.000 bis 50.000 Euro, systematische Verstöße über Jahre auch im sechsstelligen Bereich (DSGVO-Portal). Das trifft am Ende nicht die großen Konzerne mit eigener Rechtsabteilung. Das trifft die Person, die am Wochenende ein Tool gebaut hat.
Was wirklich helfen würde
Ich sage nicht, dass wir aufhören sollten, mit KI zu programmieren. Ich höre garantiert nicht auf. Nur müssten wir deutlich kritischer mit dem umgehen, was dabei herauskommt.
Ein YouTube-Video „Ich habe dieses Wochenende eine App vibe-gecodet und verdiene jetzt 15.000 im Monat" reicht als Beleg nicht. Vielleicht stimmt es. Wahrscheinlicher ist, dass beim Datenschutz einiges falsch läuft. Manchmal reicht es sogar für einen echten Verstoß.
Ein paar Grundregeln:
- Manuelle Datenschutzprüfung: Jede KI-gebaute Funktion braucht einen Menschen, der sich die Datenschutzfolgen ansieht. Keine Option, Pflicht.
- Besser prompten: „Schreib ein Login-System, das der DSGVO entspricht" kommt deutlich weiter als „Schreib ein Login-System".
- Bessere Trainingsdaten: Modelle brauchen mehr Beispiele für datenschutzkonformen Code. Dafür muss die Community mehr davon schreiben und teilen.
- Automatisierte Prüfung: Werkzeuge, die KI-generierten Code gezielt auf Datenschutzverstöße scannen, gehören in den normalen Entwicklungsablauf, etwa als Skill oder Plugin.
- Echte Rechtsberatung: Wer irgendetwas mit Nutzerdaten launcht, sollte mit einer Anwältin oder einem Anwalt sprechen. Das ersetzt keine KI.
Wir bauen gerade auf dünnem Eis
Die Geschwindigkeit, mit der KI Entwicklung erlaubt, bedeutet, dass wir schneller launchen als je zuvor. Für Innovation ist das gut, ein paar großartige neue Apps kommen dabei heraus, daneben eine gewaltige Menge Mittelmaß und Kopien.
Sie bedeutet aber auch, dass Datenschutzverstöße in großem Maßstab entstehen, bevor irgendjemand es merkt.
Mir sind einige KI-gebaute Tools begegnet, die wirklich nützlich sind und bei einer DSGVO-Prüfung trotzdem krachend durchfallen würden. Und das sind nicht immer kleine Start-ups, die es nicht besser wissen. Manchmal sind es Firmen mit ordentlicher Finanzierung und echten Gewinnen.
Das Problem ist, dass KI alles leicht wirken lässt. Auch die schwierigen Teile, die eigentlich nicht leicht sein sollten. Recht ist nicht leicht.
Fazit
KI-Coding ist mächtig und wird noch besser. Gerade jetzt produziert es aber jede Menge Code, der funktioniert und rechtlich trotzdem auf wackligen Beinen steht.
Wer mit KI irgendetwas baut, das Nutzerdaten anfasst, sollte davon ausgehen, dass die KI die Datenschutzseite falsch gemacht hat. Von Hand prüfen, aktuelle Regeln nachlesen, die KI gezielt danach fragen. Wer mit KI programmiert und dabei auch noch veröffentlicht, konkurriert ohnehin schon mit einer Flut ähnlicher Apps, da sollte wenigstens der Datenschutz kein Grund für Ärger sein.
Der Geschwindigkeitsvorteil von KI-Entwicklung wird zum echten Risiko, sobald man schnell in die falsche Richtung unterwegs ist. Und genau das tun gerade ziemlich viele von uns. Wer sich stattdessen fragt, wie viel die eigenen Prompts eigentlich preisgeben, findet hier die andere Seite desselben Problems. Die Grundlagen für eine rechtssichere Website, Impressum, Datenschutzerklärung, Cookie-Banner, stehen bei burkhardrosemann.de im Detail.

