Dieser Beitrag erläutert die Rechtslage nach bestem Wissen, ersetzt aber keine anwaltliche Beratung im Einzelfall. Wer ein Archiv mit größerem oder institutionellem Anspruch aufbaut, sollte die hier angesprochenen Punkte, insbesondere zu besonderen Kategorien personenbezogener Daten und zum Forschungsprivileg, vor der Umsetzung anwaltlich prüfen lassen.
Der Karton stand zwanzig Jahre im Keller der Tante. Dreißig Briefe, 1958 bis 1971, Handschrift der Großmutter an ihre Schwester. Beim Digitalisieren liest man von einer Fehlgeburt, von einer Nachbarin, die dem Pfarrer zu nahe stand, von einem Onkel, der 1961 aus der Kirche ausgetreten ist, weil er in der Partei Karriere machen wollte. Nichts davon ist die eigene Geschichte. Es ist die Geschichte anderer Menschen, in fremder Handschrift, mit Namen, Adressen, Krankheiten, Überzeugungen.
Wer solche Briefe in ein digitales Archiv lädt, verarbeitet personenbezogene Daten. Nicht nur die eigenen. Das ist der Punkt, an dem viele Familienforscher und auch manche Institutionen zu kurz denken: Sie gehen davon aus, die DSGVO betreffe vor allem das eigene Nutzerkonto, den eigenen Namen, die eigene E-Mail-Adresse. Tatsächlich beginnt die eigentliche Frage erst beim Inhalt der Dokumente selbst.
Bei den meisten digitalen Diensten ist die Sache einfach: Der Nutzer gibt eigene Daten ein, der Anbieter verarbeitet sie im Auftrag. Beim Digitalisieren von Familienbriefen kippt dieses Modell. Der Nutzer lädt Dokumente hoch, deren Inhalt sich auf Dritte bezieht: den Verfasser, den Empfänger, jede im Text erwähnte Person. Diese Personen haben der Verarbeitung nie zugestimmt und wissen in aller Regel nichts davon, dass ihr Brief heute in einer Datenbank liegt und von einer KI gelesen wird.
Rechtlich bedeutet das: Wer ein Archiv anlegt und Dokumente mit Personenbezug hochlädt, wird für die Daten Dritter selbst zum datenschutzrechtlich Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Der Dienstleister, der die Transkription übernimmt, handelt dabei nur als Auftragsverarbeiter, weisungsgebunden und ohne eigenen Entscheidungsspielraum über Zweck und Mittel der Verarbeitung. Diese Verantwortung lässt sich nicht outsourcen, indem man sie schlicht ignoriert.
Die naheliegende Frage: Gilt das auch für längst Verstorbene? Hier hilft ein Blick in Erwägungsgrund 27 der Verordnung, der unmissverständlich ist. Die DSGVO gilt nicht für Verstorbene. Die Mitgliedstaaten dürften eigene Regelungen für den Umgang mit deren Daten schaffen, Deutschland hat von dieser Öffnungsklausel bislang keinen Gebrauch gemacht. Wer einen Brief der 1962 verstorbenen Urgroßmutter digitalisiert, bewegt sich damit außerhalb des unmittelbaren DSGVO-Anwendungsbereichs, jedenfalls was diese Person betrifft.
Vollständig aus dem Schneider ist man damit trotzdem nicht. Das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz wirkt über den Tod hinaus, wenn auch mit abnehmender Kraft. Die Rechtsprechung erkennt hier eine Schutzdauer an, die sich graduell über zehn bis dreißig Jahre abschwächt. Enthält der Nachlass Fotografien der verstorbenen Person, kommt zusätzlich § 22 Kunsturhebergesetz ins Spiel: Bildnisse dürfen innerhalb von zehn Jahren nach dem Tod nur mit Zustimmung der Angehörigen veröffentlicht werden. Und wer beruflich anvertraute Geheimnisse eines Verstorbenen kennt, etwa aus einem Arztbrief im Nachlass, ist unter Umständen an § 203 Abs. 4 Nr. 3 Strafgesetzbuch gebunden.
Verstorbene fallen aus der DSGVO heraus, aber nicht aus jedem Schutz. Der Nachlass ist juristisch leerer, als viele annehmen, aber nicht leer.
Der Karton aus dem Keller enthält selten neutrale Fakten. Familienkorrespondenz aus dem 20. Jahrhundert berichtet mit hoher Wahrscheinlichkeit von Krankheiten, von Kirchenaustritten oder -eintritten, von politischer Zugehörigkeit, gerade wenn Briefe aus der NS-Zeit oder der unmittelbaren Nachkriegszeit stammen. Genau das sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO: Gesundheitsdaten, religiöse Überzeugung, politische Meinung. Für sie gilt ein deutlich strengerer Maßstab als für gewöhnliche Personendaten, und die üblichen Rechtsgrundlagen tragen hier oft nicht.
Eine mögliche Grundlage ist das Forschungsprivileg nach § 27 Bundesdatenschutzgesetz, das die Verarbeitung besonderer Kategorien zu wissenschaftlichen oder historischen Forschungszwecken erleichtert. Ob privates Familienarchivieren darunterfällt, ist keine triviale Frage und im Zweifel eine, die sich nicht pauschal beantworten lässt, sondern vom konkreten Zweck der Sammlung abhängt. Wer ein Archiv nicht nur für sich selbst führt, sondern etwa mit wissenschaftlichem Anspruch für eine Institution oder Publikation aufbaut, sollte diesen Punkt vor größeren Digitalisierungsprojekten konkret klären lassen.
Ein verbreitetes Missverständnis: Wer ein Tool zur KI-gestützten Transkription nutzt, schiebt die Verantwortung an den Anbieter ab. Das Gegenteil ist der Fall. Der Anbieter verarbeitet die Bilddaten und Textabschnitte ausschließlich zur Erzeugung der angeforderten Ausgabe, meist über einen KI-Dienst als Unterauftragsverarbeiter. Die Entscheidung, welches Dokument mit welchem Personenbezug überhaupt hochgeladen wird, trifft aber der Nutzer selbst. Seriöse Anbieter lassen sich das inzwischen ausdrücklich zusichern, bevor ein Archiv angelegt wird, und bieten Geschäftskunden auf Anfrage einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO an. Das ist kein bürokratischer Selbstzweck, sondern die saubere Aufteilung von Verantwortung zwischen Verantwortlichem und Auftragsverarbeiter, wie die Verordnung sie vorsieht.
Ein Denkfehler zieht sich durch viele Familienarchive: die Annahme, historisch bedeute automatisch unproblematisch. Das stimmt für Briefe aus dem Kaiserreich meistens, weil die genannten Personen längst verstorben sind. Es stimmt nicht mehr zuverlässig für Korrespondenz der letzten fünfzig bis siebzig Jahre. Ein Brief von 1968 kann Kinder erwähnen, die heute selbst über achtzig sind und quicklebendig. Ein Tagebuch aus den späten Achtzigern kann Nachbarschaftskonflikte, Krankheiten oder Beziehungen von Menschen dokumentieren, die noch mitten im Leben stehen und von der Digitalisierung nichts wissen. Das Alter des Papiers sagt nichts über den Rechtsstatus der darin genannten Menschen aus. Entscheidend ist das Sterbedatum der jeweiligen Person, nicht das Datum des Briefs.
Alt ist nicht gleich erledigt. Ein vergilbtes Blatt Papier kann eine noch lebende Person betreffen, ein druckfrisches Dokument eine längst verstorbene.
Seit dem 2. August 2026 gelten die Transparenzpflichten der EU-KI-Verordnung nach Art. 50. Wer mit einem KI-System interagiert, etwa in einem Chat, der Fragen an ein digitalisiertes Archiv beantwortet, muss darüber informiert werden, dass er es mit einer KI zu tun hat. Wer KI-generierte Texte veröffentlicht, Chronik-Artikel, Zusammenfassungen, Interpretationen, muss diese als KI-generiert kennzeichnen. Das ist keine Formalie, die man in einer Datenschutzerklärung versteckt und damit erledigt hat. Die Kennzeichnung muss dort sichtbar sein, wo die Interaktion tatsächlich stattfindet, direkt im Chat-Fenster, direkt über dem generierten Artikel.
Interessant ist, wie schnell sich das Umfeld gerade weiterdreht. Die Datenschutzkonferenz hat im Dezember 2025 vorgeschlagen, die Informationspflichten aus Art. 13 und 14 DSGVO ausdrücklich um KI-spezifische Hinweise zu erweitern, weil die bisherige Kategorie „Empfänger" der Komplexität von KI-Verarbeitung nicht gerecht wird. Wer heute schon KI-Dienstleister als eigene, klar benannte Kategorie in seiner Datenschutzerklärung ausweist, statt sie unter „IT-Dienstleister" zu verstecken, ist der absehbaren Rechtsentwicklung einen Schritt voraus.
Die KI-Verordnung verbietet bestimmte Praktiken vollständig, unabhängig von jeder Einwilligung: Social Scoring, biometrische Kategorisierung nach sensiblen Merkmalen, manipulative Beeinflussung, die eine Person erkennbar schädigt. Für ein Archivierungs- und Transkriptionswerkzeug ist das in aller Regel kein Thema, solange es reine Texterschließung bleibt und keine automatisierten Entscheidungen über lebende Personen trifft. Auch die Hochrisiko-Kategorien aus Anhang III, etwa Systeme zur Bewertung von Beschäftigten oder zur Strafverfolgung, greifen bei der Digitalisierung von Familienbriefen nicht. Wichtig ist, diese Einstufung nicht stillschweigend vorauszusetzen, sondern einmal schriftlich zu begründen, warum das eigene System als begrenztes Risiko gilt und nicht als hohes.
Viele Kleinunternehmer und Vereine gehen davon aus, sie seien von der Pflicht befreit, ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO zu führen, weil ihr Betrieb unter zwanzig Beschäftigte hat. Diese Ausnahme gilt aber nicht uneingeschränkt. Sobald regelmäßig besondere Kategorien personenbezogener Daten nach Art. 9 verarbeitet werden, und bei historischer Familienkorrespondenz mit Gesundheits-, Religions- oder politischen Angaben ist das strukturell der Fall, entfällt die Kleinunternehmer-Ausnahme. Ein Verarbeitungsverzeichnis wird dann Pflicht, unabhängig von der Unternehmensgröße.
Vor dem nächsten größeren Digitalisierungsprojekt lohnt sich ein kurzer, ehrlicher Check. Wessen Handschrift steht auf dem Dokument, und lebt diese Person noch. Werden im Text Dritte namentlich erwähnt, die heute noch leben könnten. Enthält der Brief Angaben zu Gesundheit, Religion oder politischer Überzeugung, die besonders schutzwürdig sind. Wird das Archiv rein privat geführt oder mit einem darüberhinausgehenden, etwa institutionellen oder wissenschaftlichen Zweck. Wer diese vier Fragen für den eigenen Bestand einmal grundsätzlich beantwortet, muss sie nicht bei jedem einzelnen Brief neu stellen, sondern hat eine verlässliche Grundlage für den gesamten Bestand.
Die beste Absicherung ist selten eine juristische Spitzfindigkeit. Es ist die einfache Gewohnheit, sich einmal zu fragen, wem die Zeilen eigentlich gehören, bevor man sie einer Datenbank anvertraut.
Muss ich für jeden hochgeladenen Brief eine Einwilligung der genannten Personen einholen? In der Praxis ist das bei historischen Dokumenten meist unmöglich, weil die genannten Personen verstorben oder nicht erreichbar sind. Entscheidend ist stattdessen, ob überhaupt eine tragfähige Rechtsgrundlage vorliegt, etwa ein berechtigtes Interesse an der eigenen Familiengeschichte, und ob besondere Kategorien personenbezogener Daten betroffen sind, die einen strengeren Maßstab verlangen.
Gilt die DSGVO für Briefe, die älter als hundert Jahre sind? Für die im Brief genannten Personen in aller Regel nicht mehr, weil diese mit hoher Wahrscheinlichkeit verstorben sind und die DSGVO Verstorbene nicht schützt. Ein postmortales Persönlichkeitsrecht kann trotzdem fortwirken, allerdings mit deutlich abnehmender Schutzkraft nach zehn bis dreißig Jahren.
Was ändert sich durch die EU-KI-Verordnung konkret für ein Familienarchiv? Vor allem Transparenzpflichten: Wer mit einer KI chattet, muss das erkennen können, und KI-generierte Texte müssen als solche gekennzeichnet sein. Ein privates Familienarchiv ohne automatisierte Entscheidungen über Personen fällt dabei in die Kategorie begrenztes Risiko, nicht in eine der strengeren Hochrisiko-Kategorien.
Brauche ich für ein privates Familienarchiv einen Auftragsverarbeitungsvertrag mit dem Anbieter? Für rein private Nutzung ist das selten zwingend erforderlich, weil kein wirtschaftlicher Geschäftsbetrieb im datenschutzrechtlichen Sinne vorliegt. Vereine, Institutionen und Unternehmen, die ein Archiv im geschäftlichen Rahmen führen, sollten einen solchen Vertrag nach Art. 28 DSGVO dagegen aktiv einfordern.
Was mache ich, wenn ich unsicher bin, ob ein bestimmter Brief problematisch ist? Im Zweifel hilft eine kurze anwaltliche Einschätzung mehr als jede pauschale Faustregel, insbesondere wenn ein Archiv über den privaten Rahmen hinauswächst oder veröffentlicht werden soll. Die hier beschriebenen Grundsätze ersetzen keine Rechtsberatung im Einzelfall.
In der Praxis ist das bei historischen Dokumenten meist unmöglich, weil die genannten Personen verstorben oder nicht erreichbar sind. Entscheidend ist stattdessen, ob überhaupt eine tragfähige Rechtsgrundlage vorliegt, etwa ein berechtigtes Interesse an der eigenen Familiengeschichte, und ob besondere Kategorien personenbezogener Daten betroffen sind, die einen strengeren Maßstab verlangen.
Für die im Brief genannten Personen in aller Regel nicht mehr, weil diese mit hoher Wahrscheinlichkeit verstorben sind und die DSGVO Verstorbene nicht schützt. Ein postmortales Persönlichkeitsrecht kann trotzdem fortwirken, allerdings mit deutlich abnehmender Schutzkraft nach zehn bis dreißig Jahren.
Vor allem Transparenzpflichten: Wer mit einer KI chattet, muss das erkennen können, und KI-generierte Texte müssen als solche gekennzeichnet sein. Ein privates Familienarchiv ohne automatisierte Entscheidungen über Personen fällt dabei in die Kategorie begrenztes Risiko, nicht in eine der strengeren Hochrisiko-Kategorien.
Für rein private Nutzung ist das selten zwingend erforderlich, weil kein wirtschaftlicher Geschäftsbetrieb im datenschutzrechtlichen Sinne vorliegt. Vereine, Institutionen und Unternehmen, die ein Archiv im geschäftlichen Rahmen führen, sollten einen solchen Vertrag nach Art. 28 DSGVO dagegen aktiv einfordern.
Im Zweifel hilft eine kurze anwaltliche Einschätzung mehr als jede pauschale Faustregel, insbesondere wenn ein Archiv über den privaten Rahmen hinauswächst oder veröffentlicht werden soll. Die hier beschriebenen Grundsätze ersetzen keine Rechtsberatung im Einzelfall.
Ein neues Claude-Update sollte alte Handschriften noch besser lesbar machen. Es machte sie zunächst schlechter…
Eine KI-Transkription liest schneller als jeder Mensch, aber nicht immer richtig. Wer Kurrent oder Sütterlin e…
Zwischen 1820 und 1930 wanderten über sechs Millionen Deutsche aus und hinterließen Briefe, Pässe und Taufsche…
KI liest Kurrentschrift, Sütterlin & Lateinschrift — 15 Seiten kostenlos testen.
Kostenlos registrieren →