Globale Datenschutz-Wende: KI im Fokus, EU-Grundrechte gestärkt

Die weltweite Datenschutz-Landschaft erlebt eine entscheidende Wende. Regulierer schärfen den Fokus auf Künstliche Intelligenz und verteidigen gleichzeitig fundamentale Privatsphären-Rechte. Diese Woche zeigen zwei parallele Entwicklungen, dass der regulatorische Druck auf Tech-Konzerne wächst – und Lobbyversuche für schwächere Standards scheitern.

61 Behörden erklären KI-Bildern den Krieg

In einer beispiellosen internationalen Aktion haben sich 61 Datenschutzbehörden zusammengeschlossen. Ihr gemeinsames Ziel: die massiven Privatsphären-Risiken durch KI-generierte Bilder und Videos eindämmen. Die am 23. Februar 2026 veröffentlichte Erklärung zeigt tiefe Besorgnis über Tools, die realistische, nicht einvernehmliche Darstellungen identifizierbarer Personen erstellen können.

Seit August 2024 gelten mit dem AI Act neue Regeln für den Einsatz künstlicher Intelligenz, die auch für Bild- und Videosysteme weitreichende Kennzeichnungspflichten vorsehen. Dieser kostenlose Leitfaden erklärt Ihnen kompakt die Anforderungen und Risikoklassen der neuen Verordnung, damit Ihr Unternehmen rechtssicher agiert. EU-KI-Verordnung kompakt: Jetzt Gratis-Leitfaden sichern

Besonders Kinder und schutzbedürftige Gruppen stehen im Fokus der Regulierer. Die Behörden warnen vor den Gefahren von Ausbeutung und Cybermobbing. Sie fordern von Entwicklern und Anbietern solcher KI-Systeme nun verschärfte Schutzmaßnahmen und absolute Transparenz über die Funktionsweise. Die globale Koalition kündigte an, Durchsetzungsstrategien abzustimmen – Tech-Konzerne müssen sich künftig auf eine geschlossene Front einstellen, nicht auf fragmentierte regionale Regeln.

EU stoppt Aushöhlung des „personenbezogenen Daten“-Begriffs

Während die globale Gemeinschaft KI in den Fokus nimmt, verteidigt Europa seine bestehenden Grundpfeiler. Ein geleakter Kompromisstext vom 20. Februar zeigt: Die EU-Mitgliedstaaten haben einen umstrittenen Vorstoß der Kommission gestoppt. Dieser hätte die Definition „personenbezogener Daten“ in der Datenschutz-Grundverordnung (DSGVO) grundlegend verändert – und damit ausgehöhlt.

Ursprünglich sollte das „Digital Omnibus“-Paket verschiedene Digitalgesetze vereinheitlichen und Bürokratie abbauen. Doch der Versuch, den Schutzbereich einzuengen, stieß auf massiven Widerstand. Die europäischen Datenschutz-Aufseher EDPB und EDPS hatten die Pläne scharf kritisiert. Sie argumentierten, die Änderungen widersprächen der etablierten Rechtsprechung. Mit ihrer Entscheidung folgen die Mitgliedstaaten nun dieser Linie und bewahren den umfassenden DSGVO-Schutz.

Konkrete Ermittlungen gegen Tech-Riesen laufen bereits

Die globale Erklärung zu KI-Bildern ist kein theoretisches Dokument – sie spiegelt sich in laufenden Ermittlungen wider. Bereits am 17. Februar kündigte die irische Datenschutzkommission eine großangelegte Untersuchung gegen X (ehemals Twitter) an. Im Fokus steht das KI-Sprachmodell der Plattform und damit verbundene generative KI-Funktionen.

Die Behörde prüft, ob bei der Erstellung und Verbreitung potenziell schädlicher, nicht einvernehmlicher Bilder mit personenbezogenen Daten europäischer Bürger – auch Kindern – gegen DSGVO-Pflichten verstoßen wurde. Konkret geht es um die Grundsätze der rechtmäßigen Verarbeitung, Privacy by Design und die Durchführung von Datenschutz-Folgenabschätzungen. Diese Ermittlung zeigt: Die regulatorischen Sorgen sind nicht theoretisch, sondern führen zu konkreten Konsequenzen.

Bei der Einführung neuer Technologien wie KI-Systemen ist eine rechtssichere Datenschutz-Folgenabschätzung (DSFA) oft zwingend erforderlich, um empfindliche Bußgelder zu vermeiden. Mit diesen kostenlosen Muster-Vorlagen und Checklisten erstellen Datenschutzbeauftragte eine DSFA in wenigen Schritten und sichern ihr Unternehmen fachgerecht ab. Kostenloses E-Book zur Datenschutz-Folgenabschätzung herunterladen

Selbst Grundrechte durchsetzen bleibt schwierig

Trotz des Fokus auf KI gestehen Behörden ein: Selbst die Durchsetzung fundamentaler Datenschutzrechte bleibt eine Herausforderung. Ein Bericht des EDPB vom 18. Februar zur Umsetzung des Rechts auf Löschung („Recht auf Vergessenwerden“) offenbart erhebliche Mängel.

An der paneuropäischen Untersuchung beteiligten sich 32 Aufsichtsbehörden. Das Ergebnis: Die Compliance in Unternehmen ist nach wie vor lückenhaft. Viele Organisationen haben keine dokumentierten internen Verfahren für Löschanträge und schulen ihre Mitarbeiter unzureichend. Unternehmen tun sich schwer, angemessene Aufbewahrungsfristen zu definieren und Daten in komplexen IT-Umgebungen sicher zu löschen. Während Regulierer also neue KI-Leitlinien entwickeln, kämpfen Firmen noch mit den Basics.

Was bedeutet das für Unternehmen?

Die Entwicklungen dieser Woche markieren einen Wendepunkt. Die koordinierte Aktion der 61 Behörden zeigt: Die internationale Datenschutz-Durchsetzung reift. Es geht nicht mehr um isolierte Strafen, sondern um globale Compliance-Standards für KI. Für multinationale Konzerne heißt das: KI-Systeme müssen von Grund auf einen hohen, international anerkannten Schutzstandard erfüllen – regionale Anpassungen reichen nicht mehr.

Die Ablehnung der schwächeren Daten-Definition in der EU hat ebenfalls weitreichende Folgen. Rechtsabteilungen hatten gehofft, dass der Umgang mit pseudonymisierten Daten erleichtert werden könnte – besonders für Datenhändler und KI-Entwickler, die auf massive Trainingsdatensätze angewiesen sind. Die Mitgliedstaaten senden ein klares Signal: Wirtschaftliche Wettbewerbsfähigkeit wird nicht über Grundrechte gestellt. Ein breites Spektrum digitaler Identifikatoren und visueller Daten bleibt voll geschützt.

Der Blick nach vorn: Strengere Regeln kommen

Die regulatorische Landschaft wird sich weiter verschärfen, besonders für automatisierte Systeme. Der geleakte EU-Kompromiss zum Digital Omnibus soll Ende Februar mit Diplomaten der Mitgliedstaaten besprochen werden – die Ablehnung der schwächeren Definitionen dürfte damit formalisiert werden.

Gleichzeitig müssen sich Tech-Unternehmen auf eine Eskalation bei Durchsetzungsmaßnahmen zu KI-generierten Inhalten einstellen. Mit dem schrittweisen Inkrafttreten des KI-Gesetzes (AI Act) 2026/2027 in der EU und neuen umfassenden Datenschutzgesetzen in US-Bundesstaaten werden verpflichtende Datenschutz-Folgenabschätzungen für Hochrisiko-Systeme zur Norm. Unternehmen müssen Privacy-by-Design-Prinzipien proaktiv in ihre Maschinenlern-Prozesse integrieren. Robuste Einwilligungsmechanismen und Inhalts-Sicherheitsvorkehrungen müssen vor Markteinführung vollständig operational sein – sonst drohen nicht nur Strafen, sondern auch Imageschäden in einer sensibilisierten Öffentlichkeit.