Datenpannen-Rekord: Frankreich meldet 6.167 Verstöße und 47 Mio. Bußgelder

Die französische Datenschutzbehörde CNIL meldet einen Rekordwert an Datenpannen – und die EU justiert ihre Regeln für das KI-Zeitalter nach.

Datenpannen auf Rekordniveau: Fast jeder Franzose betroffen

In ihrem Jahresbericht für 2025 dokumentierte die CNIL insgesamt 6.167 Datenschutzverstöße – ein Anstieg um 9,5 Prozent im Vergleich zum Vorjahr. Besonders alarmierend: Nahezu jeder erwachsene Franzose war in den letzten zwei Jahren von einer Datenpanne betroffen. Der Gesundheitssektor bleibt das Hauptangriffsziel und rangiert als zweitmeist betroffene Branche.

Die steigende Zahl an Datenpannen zeigt, wie kritisch eine lückenlose Dokumentation nach Art. 30 DSGVO für jedes Unternehmen ist. Mit dieser kostenlosen Excel-Vorlage und Anleitung erstellen Sie Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend. Kostenlose Muster-Vorlage jetzt herunterladen

Die Behörde verhängte zudem empfindliche Geldstrafen. Der Telekommunikationsanbieter Free musste 42 Millionen Euro zahlen, die Arbeitsagentur France Travail fünf Millionen Euro. Vor diesem Hintergrund schlug die Denkfabrik Génération Libre Ende Mai 2026 eine grundlegende Neuausrichtung vor: Sie plädiert für ein Eigentumsrecht an persönlichen Daten. Die Idee: Wer seine Daten besitzt, könnte Unternehmen haftbar machen. Kritiker wie Serge Abiteboul vom französischen Forschungsinstitut Inria warnen jedoch, Daten seien eher als kollektives denn als individuelles Gut zu betrachten.

EU einigt sich auf "Digital Omnibus"

Pünktlich zum zehnten Jahrestag des Inkrafttretens der DSGVO am 25. Mai 2016 schließen die EU-Institutionen neue Regelungen für die digitale Gegenwart ab. Am 6. Mai 2026 einigten sich Rat und Parlament auf das Paket "Digital Omnibus". Es soll Fristen für die KI-Umsetzung präzisieren und Doppelregulierungen abbauen.

Die wichtigsten Termine im Überblick:

• 2. Dezember 2026: Verbot von "Nudifier"-Apps und neue Transparenzpflichten für KI-generierte Inhalte
• 2. August 2027: Einrichtung von KI-Regulierungszonen („Sandboxes")
• 2. Dezember 2027: Compliance-Pflichten für eigenständige Hochrisiko-KI-Systeme
• 2. August 2028: Standards für Hochrisiko-KI in Produkten

Die EU-Kommission erwägt offenbar, die Auflagen für Hochrisiko-KI zu reduzieren. Rechtsexperten sehen darin ein Paradoxon: Lieber niedrigere Standards für viele als hohe Hürden, die kaum einer erfüllt. Die Datenschutzorganisation Noyb kritisiert hingegen geplante Änderungen, die das Auskunftsrecht (Artikel 15 DSGVO) auf reine Datenschutzzwecke beschränken könnten. Das eigentliche Problem sei die schlechte Umsetzung durch Unternehmen – nicht der Missbrauch des Gesetzes.

Angesichts der neuen EU-Fristen stehen Unternehmen bei der Implementierung von KI-Systemen unter erheblichem Zeitdruck. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihrer IT- und Rechtsabteilung, Risikoklassen und Pflichten sofort richtig einzuordnen. Gratis KI-Verordnung E-Book sichern

Governance-Lücken im Zeitalter autonomer KI

Die Forschung zeigt: KI-Nutzung ist nahezu flächendeckend, die Kontrolle bleibt löchrig. Der Netskope Threat Labs Report Europe 2026 belegt: 99 Prozent der europäischen Unternehmen nutzen generative KI – aber 59 Prozent aller Richtlinienverstöße betreffen regulierte Daten. Ein neuer Trend namens "Shadow AI" zeichnet sich ab: 15 Prozent der Nutzer wechseln zwischen privaten und geschäftlichen Konten.

Bestehende technische und organisatorische Maßnahmen (TOMs) gelten vielerorts als überholt. Viele Dokumentationsrahmen stammen aus den Jahren 2018 bis 2022 und berücksichtigen keine autonomen KI-Agenten. Laut Branchendaten können 63 Prozent der Organisationen die Zweckbindung für KI-Agenten nicht durchsetzen, 60 Prozent fehlt die Fähigkeit, einen fehlerhaften Agenten zu stoppen.

Der KI- und Digitalrat (CIANum) warnte im Februar 2026 vor "agentischer KI". Er identifizierte fünf Autonomiestufen und stellte fest: Vollständig selbstgesteuerte Systeme befinden sich noch in der Forschung. Die Risiken reichen von Kontrollverlust bis zu unklaren Haftungsfragen unter dem KI-Gesetz. Umweltbedenken kommen hinzu: Die französische Umweltagentur ADEME prognostiziert, dass KI-Agenten bis Ende 2026 zwischen 20 und 49 Prozent des Stromverbrauchs in Rechenzentren ausmachen könnten.

Deutsche Wirtschaft: Datenschutz als Bremse?

Die Stimmung in der deutschen Industrie ist skeptisch. Eine Bitkom-Studie von 2025 zeigt: 72 Prozent der Unternehmen halten den deutschen Datenschutz für "übertrieben" – 2020 waren es noch 40 Prozent. 69 Prozent der Firmen berichten, dass die DSGVO das Training von KI-Modellen erschwert. Trotz aller Kritik: 71 Prozent der Unternehmen haben die DSGVO weitgehend umgesetzt – ein massiver Anstieg gegenüber 2018, als es nur sieben Prozent waren.

Der Druck auf die Compliance-Abteilungen wächst zusätzlich durch neue Cybersicherheitsvorgaben. Seit Inkrafttreten des Digital Operational Resilience Act (DORA) im Dezember 2025 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) mehr als 600 schwerwiegende Vorfälle registriert. Sicherheitsforscher warnen zudem vor dem KI-Modell "Mythos" von Anthropic, das angeblich eigenständig Sicherheitslücken verknüpfen und ausnutzen kann. Experten empfehlen Unternehmen, isolierte "Cleanrooms" für den Notfall bereitzuhalten und Authentifizierungsmethoden auf attributbasierte Zugriffskontrollen (ABAC) umzustellen – denn kompromittierte Identitäten sind an neun von zehn Angriffen beteiligt.

de | wirtschaft | 69430981 |