DSGVO und KI: Kein einziges Modell erfüllt EU-Standards

Die Integration von Künstlicher Intelligenz in Unternehmen schreitet rasant voran – doch die Sicherheitslücken sind gewaltig. Eine aktuelle Studie zeigt: Kein einziges KI-Modell erfüllt derzeit die europäischen Datenschutzstandards. Gleichzeitig treiben Mitarbeiter mit unerlaubten „Shadow AI"-Tools das Risiko für Datenlecks in die Höhe.

Massive Verstöße gegen die DSGVO

Die am 28. Mai veröffentlichte Untersuchung des Analysehauses Aithos kommt zu einem alarmierenden Ergebnis. Mit dem Testtool LARA führten Forscher über 3.000 Prüfungen verschiedener KI-Modelle durch. Selbst der Spitzenreiter – Anthropics Claude Opus 4.7 – erreicht lediglich eine Konformitätsrate von rund 54 Prozent. Am schlechtesten schnitt Googles Gemini 3.1 Pro ab: Bei 90 Prozent der Tests wurden Verstöße registriert.

Anzeige: Die aktuelle Studie zeigt: Kein KI-Modell erfüllt DSGVO-Standards – und 52% Ihrer Mitarbeiter nutzen bereits unerlaubte Shadow-AI-Tools. Strafen von bis zu 35 Mio. Euro drohen. Unser Report zeigt, wie Sie in 5 Schritten DSGVO-konform bleiben. Jetzt kostenlosen Compliance-Report anfordern

Besonders brisant: 80 Prozent der Prüfungen deckten Handlungen auf, die nach Artikel 5 des EU AI Acts verboten sind – darunter Social Scoring und Verhaltensmanipulation. Die möglichen Strafen sind enorm: Unternehmen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Das Problem der heimlichen KI-Nutzung

Während Konzerne versuchen, den KI-Einsatz zu regulieren, agieren ihre Mitarbeiter oft auf eigene Faust. Der Okta „AI Agents at Work 2026"-Report zeigt: 52 Prozent der Wissensarbeiter geben zu, nicht autorisierte KI-Tools zu verwenden. 64,5 Prozent der Aktivitäten auf privaten KI-Konten dienen geschäftlichen Zwecken.

Die Folgen sind in Deutschland besonders deutlich spürbar. 44 Prozent der hiesigen Unternehmen meldeten KI-bedingte Sicherheitsvorfälle – der höchste Wert weltweit. Dabei ist die Nutzung von Shadow AI hierzulande mit 32 Prozent vergleichsweise gering. Insgesamt berichteten 68 Prozent der deutschen Firmen von sicherheitsrelevanten Vorfällen im KI-Umfeld. Doch nur 28 Prozent der Mitarbeiter zeigen sich besorgt. Stattdessen priorisieren 36 Prozent der deutschen Belegschaft Effizienz vor Sicherheitsrichtlinien.

Transparenz? Fehlanzeige

Der Check Point Cloud Security Report 2026 (veröffentlicht am 27. Mai) offenbart ein weiteres Problem: Zwar haben 77 Prozent der Unternehmen ihre Sicherheitsstrategien angepasst, doch nur 26 Prozent können diese Regeln tatsächlich durchsetzen. Gerade einmal fünf Prozent der Firmen haben vollständige Transparenz über ihren KI-Datenverkehr.

Noch undurchsichtiger wird es bei den Software-Anbietern. Der DataGrail Trend Report 2026 untersuchte 2.400 SaaS-Anbieter: 63,6 Prozent übertragen Daten an KI-Modelle, ohne dies in ihren Datenverarbeitungsvereinbarungen (DPA) offenzulegen. Diese versteckten Datenflüsse fallen mit einem drastischen Anstieg KI-basierter Angriffe zusammen: Attacken auf mobile Geräte legten um 196 Prozent auf 1,24 Millionen Vorfälle zu.

Neue Schutzmechanismen für Unternehmen

Die Sicherheitsbranche reagiert. Eye Security brachte am 28. Mai die Browser-Erweiterung „AI Leak Block" auf den Markt, die private von geschäftlichen KI-Konten unterscheidet und unbefugte Datenübertragungen verhindert. Gleichzeitig stellte SailPoint einen Connector für Anthropics Claude Enterprise Compliance API vor, der eine zentrale Verwaltung von Nutzerrollen und Echtzeit-Überwachung ermöglicht.

Überwachung am Arbeitsplatz – Fluch oder Segen?

Die Nutzung von KI zur internen Kontrolle nimmt ebenfalls zu. Salesforce-CEO Marc Benioff bestätigte am 28. Mai, dass die KI-Tools von Slack Direktnachrichten und Channels in Echtzeit analysieren – angeblich, um Schwachstellen und Mitarbeiterfrustration zu identifizieren. Juristisch stützt sich diese Praxis auf das Prinzip, dass Arbeitgeber die Daten in unternehmenseigenen Arbeitsbereichen besitzen. Ähnliche Funktionen bieten Google, Microsoft und das Startup Glean.

Die Folgen für die Arbeitsmoral sind offenbar verheerend: Die Mitarbeiterzufriedenheit sank von 66 Prozent im Jahr 2024 auf nur noch 44 Prozent im Jahr 2026. In den USA hat die New York Times Tech Guild bereits Klage gegen den KI-Überwachungstool DX eingereicht – ein Zeichen wachsender Spannungen zwischen automatisierter Kontrolle und Arbeitnehmerrechten.

Europa verschärft die Regeln

Die europäischen Regulierungsbehörden arbeiten an mehreren Fronten. Während das NIS2-Umsetzungsgesetz bereits seit Dezember 2025 in Kraft ist und die Digital Operational Resilience Act (DORA) seit Januar 2025 für den Finanzsektor gilt, stehen weitere Meilensteine bevor:

Anzeige: 63,6% der SaaS-Anbieter leiten Ihre Daten heimlich an KI weiter – ohne es in der DPA offenzulegen. Gleichzeitig steigen KI-basierte Angriffe um 196%. Unser Report liefert eine Muster-DPA und eine Tool-Übersicht, um Shadow AI zu blockieren. Compliance-Report jetzt sichern

• August 2026: Die Compliance-Anforderungen für Hochrisiko-KI-Systeme nach dem EU AI Act werden verbindlich.
• September 2026: Die Meldepflicht für Sicherheitslücken nach dem Cyber Resilience Act (CRA) tritt in Kraft.
• Nächste Woche: Die EU-Kommission wird voraussichtlich den Cloud and AI Development Act vorlegen, der sensible Staats-, Militär- und Gesundheitsdaten in europäisch kontrollierten Cloud-Umgebungen halten soll.

Der sogenannte „Digital Omnibus" hat zudem bestehende Regeln angepasst: Die Meldefrist für DSGVO-Verstöße wurde von 72 auf 96 Stunden verlängert. In bestimmten Kontexten wird ein Opt-out-Modell für KI-Training künftig als berechtigtes Interesse anerkannt.

Blickt man weiter nach vorne, plant die EU für das erste Quartal 2026 einen Chips Act, gefolgt von einem Quantum Act im zweiten Quartal und einem Digital Fairness Act zum Jahresende. Die Frage bleibt: Sind die Unternehmen bereit für diesen regulatorischen Tsunami?

de | wirtschaft | 69445225 |