Datenschutz und KI: Neue Regeln, alte Probleme

Während Europa neue Werkzeuge für Datenschutz und Alterskontrolle vorstellt, schärft die US-Handelsaufsicht FTC die Sicherheitsvorgaben für Unternehmen. Doch zwischen ambitionierten Plänen und der Wirklichkeit klaffen teils große Lücken.

EU startet mit neuen Compliance-Werkzeugen durch

Die europäischen Aufseher setzen auf Vereinfachung und Innovation. Die Europäische Datenschutzbehörde (EDPB) veröffentlichte am 15. April einen standardisierten Vorlage für Datenschutz-Folgenabschätzungen (DSFA). Obwohl nicht verpflichtend, soll sie Unternehmen helfen, GDPR-konform Risiken bei der Datenverarbeitung zu identifizieren. Bis zum 9. Juni können sich Interessierte noch in einer Konsultation dazu äußern.

Die Erstellung einer rechtssicheren Datenschutz-Folgenabschätzung stellt viele Unternehmen vor große Hürden. Dieses kostenlose E-Book liefert Ihnen eine bearbeitbare Muster-DSFA sowie praktische Checklisten, um Bußgelder von bis zu 2 % des Jahresumsatzes effektiv zu vermeiden. Rechtssichere Muster-DSFA jetzt kostenlos herunterladen

Parallel stellte die EU-Kommission eine neue App zur anonymen Altersverifikation vor. Sie nutzt eine Null-Wissen-Beweistechnologie, um das Alter zu prüfen, ohne persönliche Daten preiszugeben. Erste Tests laufen bereits in Frankreich, Italien und Irland.

Doch während digitale Werkzeuge vorankommen, hinkt der Schutz kritischer Infrastruktur hinterher. Das deutsche Kritis-Dachgesetz ist zwar seit Mitte März in Kraft, praktische Umsetzungen wie Zäune oder Zugangskontrollen stocken. Grund sind fehlende Rechtsverordnungen und ein noch nicht funktionierendes Meldeportal. Ein Kontrast zur Cybersicherheit: Über 15.000 der geschätzt 29.500 betroffenen Unternehmen haben sich bereits im BSI-Portal unter der NIS-2-Richtlinie registriert.

Schärfere Gangart gegen Big Tech und KI

Die Aufseher lassen Tech-Giganten nicht aus den Augen. Am 15. April drohte die EU-Kommission Meta mit einstweiligen Maßnahmen. Der Vorwurf: Seit Januar schränke das Unternehmen WhatsApp-Nutzer auf den hauseigenen KI-Chatbot „Meta AI“ ein und schließe Konkurrenten aus. Meta weist die Vorwürfe zurück und verweist auf andere Zugänge zu KI-Diensten.

Einen Tag später richteten sich die Forderungen an Google. Die Kommission verlangt unter dem Digital Markets Act (DMA), dass der Konzern Suchanfragen, Rankings und Klickdaten mit Wettbewerbern teilt. Google lehnt dies ab und warnt vor der Preisgabe sensibler Daten zu Gesundheit oder Finanzen.

Für alle, die KI nutzen, zeichnet sich ein klares Haftungsregime ab. Rechtsexperten betonten Mitte April: Arbeitgeber tragen die volle Verantwortung für den KI-Einsatz, besonders in den Bereichen Datenschutz und Diskriminierungsfreiheit. Ab dem 2. August kommen neue Transparenzpflichten durch den EU-KI-Akt hinzu. Anbieter müssen synthetische Inhalte kennzeichnen, Nutzer von Deepfakes oder KI-Texten zu öffentlichen Themen offenlegen.

Die neuen Transparenzpflichten des EU AI Acts stellen Unternehmen vor dringende regulatorische Aufgaben. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Risikoklassen, Fristen und Dokumentationspflichten für einen rechtssicheren KI-Einsatz. Kostenloses E-Book zum EU AI Act sichern

Studie offenbart systematische Datenschutz-Pannen

Eine aktuelle Untersuchung zeigt, dass Regeln und technische Realität oft auseinanderklaffen. Eine webXray-Audit von Tausenden Websites diesen Frühling ergab: 55 Prozent setzten weiterhin Werbe-Cookies, obwohl Nutzer via Global Privacy Control (GPC) widersprochen hatten. Google ignorierte die Opt-out-Signale in über 85 Prozent der Fälle, Microsoft in etwa der Hälfte. Die potenzielle Haftung der Branche wird auf mehrere Milliarden Dollar geschätzt.

Gleichzeitig wachsen die Sicherheitsbedenken mit der KI-Verbreitung. Eine umfrage unter 500 deutschen Führungskräften ergab: Nur 15 Prozent machen sich keine Sorgen vor KI-gestützten Cyberangriffen. Gefürchtet werden vor allem personalisierte Phishing-Attacken und Deepfakes. Doch nur ein Drittel der Unternehmen setzt KI aktiv zur Cyberabwehr ein. Fast die Hälfte nutzte 2025 überhaupt keine KI-Sicherheitstools. Das BSI warnte jüngst vor speziellen KI-Modellen, die Software-Schwachstellen aufspüren können.

Führungsvakuum und klare Signale aus der Rechtsprechung

In Deutschland sorgt ein personeller Wechsel für Unsicherheit. Nach dem Rücktritt von Louisa Specht-Riemenschneider an der Spitze des Bundesdatenschutzbeauftragten warnen Verbände wie Eco und BVDW vor einem Vakuum. Sie fordern eine schnelle Nachbesetzung, um die Aufsicht in Zeiten raschen Wandels stabil zu halten.

Unternehmen erhalten klare Signale aus der Rechtsprechung. Ein Arbeitsgericht verurteilte im August 2025 einen Arbeitgeber zu Schadensersatz in vierstelliger Höhe. Ein neuer Vorgesetzter hatte ohne Einwilligung auf alte Leistungsbewertungen eines Mitarbeiters im HR-System zugreifen können – ein Verstoß gegen den Grundsatz der Datensparsamkeit.

Zudem zeigte eine Beschwerde der Electronic Frontier Foundation (EFF) vom 14. April: Google soll 2025 Nutzerdaten an US-Einwanderungsbehörden weitergegeben haben, ohne die Betroffenen zeitnah zu informieren.

Ausblick: Automatisierung, Dokumentation, harte Strafen

Der Fokus für die zweite Jahreshälfte 2026 liegt auf automatisierter Compliance und strengerer Dokumentation. Die US-amerikanische FTC verlangt von Unternehmen nun verbindlich Multi-Faktor-Authentifizierung, Ende-zu-Ende-Verschlüsselung und bestellte Sicherheitskoordinatoren. Verstöße können zu Bußgeldern von über 50.000 Euro pro Fall führen. Bei Datenlecks ohne Verschlüsselung drohen deutlich höhere Strafen.

Auch die Finanzaufsicht FINRA macht klar: Bestehende Aufsichtsregeln gelten uneingeschränkt für generative KI. Firmen müssen KI-Eingaben, -Ausgaben und menschliche Überprüfungen protokollieren. Angesichts der Fristen des EU-KI-Akts im August raten Experten Unternehmen, jetzt Governance-Strukturen und Testprotokolle für Risiken wie Halluzinationen oder sensible Daten zu etablieren. Die Reise in eine regulierte KI-Ära hat definitiv begonnen.

de | boerse | 69180775 |