Viele Website-Teams exportieren Daten, bevor sie genau wissen, was daraus werden soll: Analytics-Tabellen, CRM-Auszüge, Formularanfragen, Suchbegriffe, Logdaten, Chatverläufe oder Produktfeedback. Schnell fällt dann der Satz: „Das ist eh anonymisiert.“ Die neuen Leitlinien des Europäischen Datenschutzausschusses (EDPB) zeigen, warum dieser Satz zu kurz ist. Anonymisierung ist kein Löschknopf, sondern eine Prüfung mit nachvollziehbaren Kriterien.
Der Anlass ist aktuell: Am 8. Juli 2026 hat der EDPB Leitlinien zu Anonymisierung und Web Scraping im Kontext generativer KI angenommen und bis 30. Oktober 2026 zur öffentlichen Konsultation gestellt. Für österreichische KMU ist das nicht nur ein Thema für große KI-Labore. Es betrifft auch normale Website-Prozesse: Datenexporte für Agenturen, Reports für Marketing, KI-Analysen von Kundenfragen, Scraping-Projekte, Trainingsdaten, interne Chatbots und Auswertungen aus Consent- oder Analytics-Systemen.
Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Er zeigt aber, welche praktischen Fragen Website-Betreiber jetzt stellen sollten, bevor aus personenbezogenen Daten ein angeblich anonymer Datensatz oder ein KI-Trainingsbestand wird.
Der EDPB trennt anonym von nur weniger sichtbar
Die EDPB-Leitlinien zur Anonymisierung klären zuerst den Grundsatz: Daten sind anonym, wenn sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ob das so ist, kann je nach beteiligter Stelle unterschiedlich zu beurteilen sein. Ein Datensatz kann für eine externe Stelle anonym wirken, während das ursprüngliche Unternehmen mit Zusatzwissen weiterhin Personen erkennen könnte.
Für die Praxis ist das entscheidend. Wenn ein Webshop seiner Agentur „gekürzte“ Kundendaten für eine Conversion-Analyse schickt, ist damit nicht automatisch alles anonym. Wenn die Agentur im Auftrag des Webshops arbeitet und der Webshop Personen aus den Daten wieder erkennen kann, bleibt der Datenschutzrahmen oft näher an einer Auftragsverarbeitung als an einem freien anonymen Datensatz. Der Beitrag Wenn der Dienstleister die Datenpanne auslöst zeigt, warum Rollen und Zugriffsketten gerade bei Dienstleistern nicht nebenbei behandelt werden sollten.
Drei Kriterien gehören in den Datencheck
Der EDPB nennt für die technische Prüfung drei Kriterien: keine Isolierung einzelner Datensätze, keine Verknüpfbarkeit und keine Ableitung über einzelne Personen. Einfacher gesagt: Niemand soll eine Person aus der Menge herausheben, mehrere Datensätze zu derselben Person zusammenführen oder aus den Daten verlässlich etwas über eine Person ableiten können.
Für Website-Daten klingt das abstrakt, wird aber schnell greifbar. Eine Tabelle ohne Namen kann trotzdem riskant sein, wenn sie Zeitpunkte, Produktkombinationen, Orte, Suchanfragen oder seltene Ereignisse enthält. Ein einzelner Formulartext kann ohne Namen erkennbar sein, wenn er einen konkreten Fall beschreibt. Auch aggregierte Daten können problematisch werden, wenn sehr kleine Gruppen oder außergewöhnliche Muster sichtbar bleiben.
Ein guter Datencheck fragt deshalb nicht nur: „Sind Name und E-Mail entfernt?“ Er fragt: Welche Zusatzinformationen hat das Unternehmen? Welche Daten erhält die Agentur oder das Tool? Können einzelne Datensätze isoliert werden? Gibt es andere Tabellen, mit denen sich die Werte wieder verbinden lassen? Kann jemand aus den verbleibenden Merkmalen genug über eine Person ableiten, um sie anders zu behandeln?
Web Scraping für KI ist kein rechtsfreier Rohstoff
Parallel dazu hat der EDPB Leitlinien zu Web Scraping im Kontext generativer KI veröffentlicht. Gemeint ist das automatisierte Extrahieren und Speichern von Informationen aus öffentlich zugänglichen Webseiten. Der EDPB betont, dass die DSGVO gilt, wenn dabei personenbezogene Daten verarbeitet werden. Das umfasst etwa Erheben, Speichern, Organisieren und Abrufen.
Für österreichische Website-Betreiber hat das zwei Seiten. Einerseits können eigene Inhalte, Teamseiten, Referenzen, Kommentare oder öffentliche Profile von Dritten automatisiert erfasst werden. Andererseits nutzen Unternehmen selbst KI-Tools oder Datendienstleister, die mit gescrapten Daten arbeiten oder eigene Datenbestände für KI-Auswertungen vorbereiten. Der frühere Beitrag KI-Crawler gehören ins SEO-Briefing behandelt die Sichtbarkeits- und Steuerungsseite. Die neuen EDPB-Leitlinien rücken zusätzlich die Datenschutzseite in den Vordergrund.
Wichtig ist die Zweckbindung. Daten, die öffentlich erreichbar sind, werden dadurch nicht automatisch frei für jedes KI-Training. Der EDPB nennt unter anderem rechtliche Grundlage, Transparenz, Datenminimierung, Genauigkeit und besondere Kategorien personenbezogener Daten als zentrale Prüfbereiche. Wer selbst scrapt oder gescrapte Datensätze einkauft, braucht daher mehr als eine technische Pipeline.
Was KMU vor einem Datenexport klären sollten
Viele Risiken entstehen nicht im großen KI-Projekt, sondern im kleinen Export. Ein Team will Kampagnen bewerten, eine Agentur fragt nach Rohdaten, ein Plugin liefert CSV-Dateien, ein KI-Tool soll Supportanfragen clustern. Genau hier sollte ein kurzer Datensteckbrief Pflicht werden.
Dieser Steckbrief kann einfach sein: Welche Datenquelle wird genutzt? Enthält sie personenbezogene Daten oder Freitext? Wozu werden die Daten gebraucht? Wer bekommt Zugriff? Wird im Auftrag verarbeitet oder eigenständig? Welche Felder sind wirklich nötig? Wie lange bleibt der Export gespeichert? Wurde geprüft, ob Anonymisierung nach den drei Kriterien plausibel ist? Gibt es besondere Kategorien von Daten? Muss die Verarbeitung in Datenschutzerklärung, Verzeichnis oder Auftragsverarbeitungsvertrag berücksichtigt werden?
Der AdSimple Datenschutz Generator hilft dabei, Dienste und Datenverarbeitungen sauber in Website-Texten abzubilden. Der AdSimple Business Paket ist sinnvoll, wenn solche Datenschutz- und Website-Aufgaben nicht einmalig, sondern laufend organisiert werden müssen.
Consent und Analytics bleiben Teil der Datenqualität
Bei Website-Analytics und Marketingdaten beginnt der Datencheck bereits bei der Erhebung. Wenn Analyse- oder Marketingdienste eine Einwilligung benötigen, entscheidet der Consent-Prozess mit darüber, welche Daten überhaupt rechtmäßig und sinnvoll ausgewertet werden können. Ein späterer Export löst dieses Problem nicht automatisch.
Der AdSimple Consent Manager unterstützt dabei, einwilligungspflichtige Dienste kontrolliert zu laden und Zwecke nachvollziehbar zu strukturieren. Für Online Marketing und SEO heißt das: Berichte sollten nicht nur Zahlen zeigen, sondern auch erklären, welche Datenbasis dahintersteht. Der Beitrag Digital Decade legt die Datenlücke offen hat bereits gezeigt, dass Datenanalyse bei KMU oft weniger an Tools als an Struktur scheitert.
KI-Auswertung braucht eine Datenkarte
Die Datenschutzbehörde erinnert auf ihrer KI-Informationsseite daran, dass Datenschutz bei KI eine wichtige Rolle spielt, weil häufig personenbezogene Daten zur Entwicklung und Verbesserung von Systemen verarbeitet werden. In ihren Informationen zum Verhältnis von DSGVO und KI-VO hält sie außerdem fest, dass die DSGVO weiterhin zu beachten ist, wenn personenbezogene Daten verarbeitet werden.
Für Unternehmen bedeutet das: Ein KI-Tool im Alltag braucht eine Datenkarte. Darin steht, welche Daten hineingehen, ob personenbezogene Daten enthalten sind, ob Daten für Training verwendet werden, wer Anbieter oder Auftragsverarbeiter ist, ob Drittlandtransfers relevant sind, welche Löschfristen gelten und ob Betroffenenrechte praktisch erfüllt werden können. Der Beitrag Löschanfragen enden nicht im Postfach passt hier gut dazu: Wenn Daten in Auswertungen oder KI-Prozesse wandern, muss der Lebenszyklus trotzdem steuerbar bleiben.
Ein pragmatischer Prüfpfad
Ein praxistauglicher Prüfpfad für Website-Teams besteht aus sechs Schritten. Erstens: Datenquellen inventarisieren, besonders Freitext, Logdaten, CRM-Exporte und Supportdaten. Zweitens: Rollen klären, also Verantwortlicher, Auftragsverarbeiter oder eigenständiger Empfänger. Drittens: Datensätze minimieren, bevor sie exportiert werden. Viertens: Anonymisierung anhand von Isolierung, Verknüpfbarkeit und Ableitung prüfen. Fünftens: KI- und Scraping-Bezüge dokumentieren. Sechstens: Datenschutzerklärung, Consent, Verträge und Löschkonzept nachziehen.
Dieser Prüfpfad muss nicht schwerfällig sein. Für kleine Teams reicht oft ein gemeinsames Tabellenblatt oder ein kurzes internes Formular. Wichtig ist, dass niemand mehr Daten in ein Tool lädt, nur weil es technisch bequem ist. Gerade bei generativer KI ist die Versuchung groß, Rohdaten schnell „zum Testen“ zu verwenden. Die EDPB-Leitlinien machen deutlich, dass solche Tests eine Datenschutzentscheidung sind.
Fazit: Daten erst prüfen, dann nutzen
Die neuen EDPB-Leitlinien bringen ein nützliches Signal: Anonymisierung ist kein Etikett, sondern ein Ergebnis. Wer Website-Daten, Analytics-Exporte oder KI-Datensätze nutzt, muss nachvollziehbar prüfen, ob Personen noch isoliert, verknüpft oder aus Mustern erkannt werden können. Web Scraping für generative KI gehört ebenfalls in diese Prüfung, sobald personenbezogene Daten im Spiel sind.
Für österreichische KMU ist der nächste Schritt überschaubar: Datenexporte stoppen nicht, aber sie bekommen einen klaren Prüfpunkt. Welche Daten verlassen die Website-Systeme? Welche KI-Tools verwenden sie? Welche angeblich anonymen Reports sind tatsächlich robust? Wer diese Fragen sauber beantwortet, gewinnt nicht nur Datenschutzsicherheit, sondern auch bessere Datenqualität.

Hinterlassen Sie einen Kommentar
Sie müssen angemeldet sein um einen Kommentar zu schreiben.