Datenschützer, Druck

Datenschützer verschärfen 2026 den Druck auf KI-Projekte

03.01.2026 - 10:23:12

Die Datenschutzkonferenz verschärft die Durchsetzung: Unternehmen müssen für KI-Systeme nun verbindliche Risikobewertungen vorlegen, um Bußgelder und Betriebsuntersagungen zu vermeiden.

Datenschützer verschärfen 2026 den Druck auf KI-Projekte - Foto: über boerse-global.de
Datenschützer verschärfen 2026 den Druck auf KI-Projekte - Foto: über boerse-global.de

Die deutschen Aufsichtsbehörden stellen von Empfehlungen auf strenge Durchsetzung um – und setzen Unternehmen mit KI-Systemen unter Zugzwang.

Berlin/Stuttgart – Das neue Jahr beginnt für Unternehmen mit Künstlicher Intelligenz mit einer klaren Botschaft der Aufseher: Die Phase des Experimentierens ist vorbei. Unter der neuen Führung der Datenschutzkonferenz (DSK) rücken verbindliche Datenschutz-Folgenabschätzungen (DSFA) für KI-Entwicklungen in den Fokus. Seit dem 1. Januar hat Baden-Württembergs Landesdatenschützer, Prof. Dr. Tobias Keber, den Vorsitz der DSK übernommen und damit einen technisch versierteren Kurs eingeläutet.

Neue Führung, schärferer Fokus

Die Übergabe des DSK-Vorsitzes an das technologiestarke Baden-Württemberg fällt in eine entscheidende Phase: die Umsetzung des EU-KI-Gesetzes. Prof. Dr. Keber, Experte für Medienrecht und digitale Ethik, bringt einen ausgeprägten Technikfokus in die Aufsicht. Die Behörden stellen klar, dass die Schonfrist für „experimentelle“ KI-Einführungen ausgelaufen ist. Firmen, die KI-Systeme nutzen – besonders bei automatisierten Entscheidungen, Profiling oder der Verarbeitung sensibler Daten – müssen nun vollständig dokumentierte Folgenabschätzungen vorweisen.

Die „Muss-Liste“ und verbindliche Prüfungen

Kern der Strategie für 2026 ist die sogenannte „Muss-Liste“. Sie benennt Verarbeitungsvorgänge, für die nach Artikel 35 der DSGVO zwingend eine DSFA erforderlich ist. Nach aktuellen regulatorischen Hinweisen betont die DSK, dass die meisten Unternehmens-KI-Projekte nun unter diese Pflichtkriterien fallen. Explizit im Visier sind Systeme für Scoring, Bonitätsprüfungen oder die automatisierte Bewertung von Mitarbeiterleistungen.

Anzeige

Unternehmen müssen jetzt Datenschutz-Folgenabschätzungen vor Beginn der Verarbeitung durchführen – und die Behörden prüfen künftig die Qualität dieser Prüfungen sehr genau. Unser kostenloses E‑Book zur Datenschutz-Folgenabschätzung liefert praxisnahe Muster-Vorlagen, editierbare Checklisten und eine Schritt-für-Schritt-Anleitung, damit Sie Ihre DSFA rechtskonform und prüfungssicher erstellen. Ideal für Datenschutzbeauftragte und Verantwortliche, die die neuen DSK-Anforderungen erfüllen müssen; Download gegen Angabe der E‑Mail, sofort verfügbar. DSFA-Muster & Anleitung jetzt kostenlos herunterladen

Die Abschätzung muss vor Beginn der Verarbeitung erfolgen – eine Regel, die bei vielen Pilotprojekten bisher wohl umgangen wurde. Juristen warnen: Es reicht nicht, einfach ein Dokument zu haben. Die Qualität der Prüfung steht nun auf dem Prüfstand. Die Dokumentation muss konkret nachweisen, wie spezifische Risiken für die Rechte Einzelner minimiert werden.

Die „7 Garantieziele“ für KI in der Praxis

  1. Datenminimierung: Entwickler müssen belegen, dass das KI-Modell nicht mehr Daten verarbeitet als für seinen Zweck nötig.
  2. Transparenz: Das „Blackbox“-Problem ist keine akzeptable Ausrede mehr. Firmen müssen dokumentieren, wie Entscheidungen zustande kommen.
  3. Intervenierbarkeit: Systeme müssen menschliches Eingreifen ermöglichen, einschließlich der Korrektur oder Löschung von Daten im trainierten Modell – eine technische Herausforderung für viele große Sprachmodelle (LLMs).
  4. Verfügbarkeit, Integrität, Vertraulichkeit und Nicht-Verknüpfbarkeit: Diese klassischen Sicherheitsziele gelten speziell für Modellgewichte und Trainingsdaten.

Laut DSK müssen diese Prinzipien im gesamten Lebenszyklus der KI verankert sein – von der Designphase (Privacy by Design) bis zur Außerbetriebnahme.

Besondere Anforderungen für Generative KI und RAG

Für generative KI, insbesondere Retrieval Augmented Generation (RAG), verweist die DSK auf ihren spezialisierten Leitfaden vom Oktober 2025. Diese Architektur, die generative Modelle mit internen Firmendaten verbindet, wird grundsätzlich positiv gesehen, da sie „Halluzinationen“ reduziert.

Doch die Verbindung eines LLM mit einer Live-Datenbank schafft neue Einfallstore für Datenlecks. Die aktuellen Vorgaben fordern, dass Zugriffskontrollen innerhalb des Retrieval-Prozesses durchgesetzt werden. Die KI darf also kein Dokument zusammenfassen, das der Nutzer nicht einsehen darf.

Ausblick: Der Weg zum August 2026

Der aktuelle Druck zur DSFA dient als Vorbereitung auf die volle Anwendung der Hochrisiko-Pflichten des EU-KI-Gesetzes ab August 2026. Marktbeobachter deuten die DSK-Strategie so: Die erste Jahreshälfte wird genutzt, um die DSGVO-Durchsetzung mit den kommenden KI-Gesetz-Standards zu synchronisieren. Beide Regime werden komplementär behandelt.

Die Botschaft der neuen DSK-Führung an die Wirtschaft ist eindeutig: 2026 wird das Jahr der Dokumentation und Rechenschaftspflicht. Projekte ohne robuste, DSK-konforme Folgenabschätzung riskieren nicht nur Bußgelder, sondern auch Betriebsuntersagungen, während die Aufsichtsbehörden ihre Kontrollen intensivieren.

Anzeige

PS: Steht Ihr KI-Projekt vor der Einstufung als hochrisikorelevant? Unser kostenloser DSFA-Leitfaden erklärt präzise, wann eine Datenschutz-Folgenabschätzung Pflicht ist, liefert bearbeitbare Word- und Excel-Vorlagen und zeigt die Kernfragen, die Aufsichtsbehörden heute erwarten. Schützen Sie Ihr Unternehmen vor Sanktionen und Betriebsunterbrechungen – praxisnah, prüfungssicher und sofort einsatzbereit. Jetzt DSFA-Leitfaden mit Vorlagen herunterladen

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.