KI-Modelle scheitern bei Datenschutz: Claude 54%, Gemini nur 10%

Neue Branchenvorgaben und Gerichtsurteile zwingen Unternehmen in Deutschland zu deutlichen Nachbesserungen – besonders im Umgang mit Künstlicher Intelligenz und internationalen Datenströmen.

Steuerberater und Architekten in der Pflicht

Im Steuerberatungssektor stehen Compliance-Experten vor einer besonderen Herausforderung: Die DSGVO schreibt die Löschung personenbezogener Daten vor, doch die gesetzlichen Aufbewahrungsfristen nach Handels- und Steuerrecht verlangen eine Speicherung von sechs bis zehn Jahren. Eine Prüfaktion des Bayerischen Landesamts für Datenschutzaufsicht (BayLfD) aus dem Jahr 2024 ergab, dass mehr als 60 Prozent der kontrollierten Unternehmen keine dokumentierten Löschfristen vorweisen konnten. Experten empfehlen nun die Einführung von Löschkonzepten nach dem ISO-27555-Standard.

Anzeige: Wer die DSGVO-Risiken beim KI-Einsatz im Unternehmen minimieren will, findet in diesem kostenlosen Report die wichtigsten Compliance-Hebel – von der Löschkonzept-Erstellung nach ISO 27555 bis zu 3 Sofortmaßnahmen gegen Ransomware. Jetzt kostenlosen Compliance-Report anfordern

Auch Architekten und Ingenieure stehen unter Druck – vor allem beim Einsatz Künstlicher Intelligenz. Ein aktuelles Fachgutachten warnt: Wer sensible Kundendaten in ungesicherte KI-Systeme hochlädt, riskiert eine Strafbarkeit nach Paragraf 203 StGB wegen Verletzung von Privatgeheimnissen. Die Unternehmen müssen sich im Spannungsfeld zwischen DSGVO, EU-AI-Act und Strafrecht bewegen.

Krankenhaus-Datenleck erschüttert Gesundheitsbranche

Ein schwerer Cyberangriff auf den saarländischen Klinikdienstleister Unimed zeigt die realen Gefahren unzureichender Datensicherheit. Der im April 2026 entdeckte Vorfall – öffentlich bekannt seit Mitte Mai – betraf die persönlichen Daten zehntausender Privatpatienten und Selbstzahler.

Nach Angaben der Behörden in Baden-Württemberg waren 17 Krankenhäuser betroffen. Gestohlen wurden Namen, Adressen, Geburtsdaten, in einigen Fällen auch Bankverbindungen und medizinische Diagnosen. Zwar betont der Dienstleister, dass der Großteil der Daten nicht hochsensibel sei und die Angreifer während des Vorfalls den Zugriff verloren hätten. Doch Juristen weisen darauf hin, dass Betroffene Schadensersatz nach Artikel 82 DSGVO fordern können.

Der Vorfall reiht sich in einen besorgniserregenden Trend ein: Die Behörden registrierten 2025 insgesamt 1.041 Ransomware-Fälle – ein Anstieg um zehn Prozent im Vergleich zum Vorjahr. Besonders brisant: Der Angriff erfolgte parallel zum bundesweiten Rollout der elektronischen Patientenakte (ePA), die seit dem 15. Januar 2025 als Widerspruchslösung eingeführt wird.

KI-Modelle fallen durch den Compliance-Test

Die große Ernüchterung bei Künstlicher Intelligenz: Selbst die besten Modelle erfüllen die europäischen Datenschutzstandards nicht. Eine Studie des Analysehauses Aithos vom 30. Mai 2026 zeigt, dass kein einziges großes KI-Modell die DSGVO oder den EU-AI-Act vollständig einhält. Der Spitzenreiter Claude Opus 4.7 erreichte lediglich 54 Prozent Konformität, Google Gemini kam auf magere zehn Prozent. Ein zeitgleich veröffentlichter Bericht von Amnesty International wirft mehreren bekannten Modellen zudem illegales Web-Scraping vor.

US-Tracking-Tools bleiben ein Risiko

Trotz des 2023 vereinbarten EU-US-Datenschutzrahmens (Data Privacy Framework) bleiben US-basierte Tracking-Tools wie Google Analytics 4 und der Meta Pixel ein rechtliches Minenfeld. Unternehmen sind verpflichtet, Transfer Impact Assessments (TIA) durchzuführen. Datenschutzexperten rechnen noch 2026 oder 2027 mit einer neuen Klage gegen das aktuelle Abkommen – eingereicht von Bürgerrechtlern.

Anzeige: Steuerberater und Architekten, die sensible Kundendaten in KI-Systeme einspielen, riskieren Strafbarkeit nach §203 StGB. Dieser Report liefert eine konkrete Checkliste für DSGVO-konformen KI-Einsatz und ein Schritt-für-Schritt-Löschkonzept. DSGVO-KI-Checkliste jetzt sichern

Gerichte schaffen Klarheit – mit Einschränkungen

Mehrere aktuelle Urteile geben Unternehmen und Behörden Orientierung. Das Berliner Verwaltungsgericht entschied am 6. Mai 2026: Identitätskontrollen und lokalisierte Videoüberwachung in Berliner Schwimmbädern sind datenschutzkonform. Der Schutz von Leben und Gesundheit wiege schwerer als der Eingriff in die Privatsphäre – vorausgesetzt, die Aufnahmen werden maximal 72 Stunden gespeichert und nicht live überwacht.

Im Wirtschaftsrecht sorgt ein Urteil des Landgerichts Nürnberg aus Juli 2025 für Aufsehen, das nun in Compliance-Prüfungen aufgegriffen wird. Demnach ist es zulässig, eine Einwilligung zur Datenverarbeitung zur Vertragsbedingung zu machen – solange der Anbieter keine Monopolstellung hat. Zugleich stellte das Gericht klar: „Bloßes Unbehagen" über die Datenverarbeitung reicht nicht für Schadensersatz nach Artikel 82 DSGVO. Kläger müssen einen konkreten Schaden nachweisen.

de | wirtschaft | 69465047 |