Datenschützer fordern KI-spezifische DSGVO-Anpassungen

Die deutschen Datenschutzbehörden drängen auf gezielte Nachbesserungen der Datenschutz-Grundverordnung für den Umgang mit Künstlicher Intelligenz. Dieser Vorstoß erhöht den Regulierungsdruck auf Unternehmen in einem ohnehin schon komplexen Jahr 2026 erheblich.

KI-Training braucht klare Rechtsgrundlagen

Im Zentrum der Forderung der Datenschutzkonferenz (DSK) steht eine klare Lücke: Die massenhafte Datenverarbeitung für das Training von KI-Modellen findet im aktuellen, technikneutralen Rahmen der DSGVO keine spezifische Regelung. Die Datenschützer fordern deshalb neue, klare Rechtsgrundlagen für diese Prozesse. Ein weiterer kritischer Punkt sind die Betroffenenrechte. Wie sollen Auskunfts- oder Löschungsansprüche in komplexen, selbstlernenden Systemen wirksam umgesetzt werden? Diese Frage stellt Unternehmen vor erhebliche technische und organisatorische Herausforderungen.

Praxis-Herausforderung: Beschwerden und Schatten-KI

Die Dringlichkeit der Debatte wird durch die Realität in den Unternehmen untermauert. Die Behörden verzeichnen bereits eine rapide steigende Zahl von Bürgerbeschwerden im Zusammenhang mit KI. Parallel kämpfen Organisationen intern mit dem Problem der „Schatten-KI“ – also dem Einsatz von KI-Tools durch Mitarbeiter ohne Freigabe durch IT oder Compliance. Experten warnen: Eine systematische Erfassung aller genutzten KI-Anwendungen wird 2026 zur Pflicht. Besonders sensibel ist der Einsatz im Personalwesen, wo neben DSGVO-Verstößen auch Risiken nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) drohen.

Passend zum Thema: Die EU-KI-Verordnung stellt Unternehmen vor konkrete Anforderungen an Kennzeichnung, Risikoklassifizierung und Dokumentation – besonders dann, wenn personenbezogene Daten zum Training genutzt werden. Unser kostenloser Umsetzungsleitfaden erklärt kompakt, welche Pflichten Entwickler, Anbieter und Nutzer treffen, liefert praktische Checklisten für die Risikobewertung und zeigt Schritt für Schritt, wie Sie Transparenz- und Dokumentationspflichten praktisch umsetzen. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Dreifach-Regulierung: KI-Verordnung, DSGVO und IT-Sicherheit

Für die Wirtschaft entsteht ein anspruchsvolles Dreiklang-Regime. Ab August 2026 gilt die EU-KI-Verordnung mit strengen Vorgaben zu Transparenz und Datenqualität. Sie muss im Einklang mit der DSGVO angewendet werden, sobald personenbezogene Daten im Spiel sind. Als dritte Säule kommt die verschärfte IT-Sicherheit durch das NIS-2-Gesetz hinzu. Die Cybersicherheitsmaßnahmen müssen nun auch die spezifischen Schwachstellen von KI-Systemen abdecken – eine Aufgabe, die die Verantwortung der Geschäftsführung weiter ausdehnt.

Europa sucht den praxistauglichen Rahmen

Die deutsche Initiative spiegelt eine gesamteuropäische Suche wider. In Brüssel wird über ein „Digital Omnibus“-Paket diskutiert, das bestehende Gesetze vereinfachen soll. Kritiker fürchten jedoch eine Aufweichung von Schutzstandards. Gleichzeitig zeigt eine kürzliche Konferenz in Luxemburg mit Politik, Wirtschaft und der neuen EU-KI-Behörde den großen Bedarf an praktischer Orientierung. Die Lücke zwischen rechtlichem Anspruch und betrieblicher Umsetzung muss geschlossen werden, um Rechtssicherheit zu schaffen.

KI-Governance wird zur Nachweispflicht

Für Unternehmen gibt es kein Zurück mehr. Der Aufbau einer proaktiven KI-Governance ist unumgänglich. Erster Schritt ist ein vollständiges Inventar aller Systeme, um Schatten-KI auszumerzen. Darauf aufbauend sind klare interne Richtlinien und umfassende Mitarbeiterschulungen essenziell. Selbst aktuelle Produktupdates, wie das kürzliche Release des KI-Browsers „Atlas“ von OpenAI, werfen sofort Fragen zu Transparenzpflichten auf. 2026 markiert den Punkt, an dem die systematische Steuerung von KI von einer Option zu einer nachweisbaren Verpflichtung wird.